Qu’est ce qu' Exposition à une menace d'identité ?

Les expositions aux menaces d'identité (ITE) sont des failles de sécurité qui exposent un environnement à des menaces d'identité : vol d'identifiants, élévation de privilèges ou mouvement latéral. Un ITE peut résulter d'une mauvaise configuration, d'un héritage infrastructure d'identité, ou même des fonctionnalités intégrées.

Les attaquants utilisent ces ITE comme co-conspirateurs pour effectuer le vol d'informations d'identification, l'élévation de privilèges et mouvement latéral. De plus, en raison de la pratique courante de synchronisation d'AD des comptes d'utilisateurs ou administrateurs au cloud IdP, ceci exposition souterraine pourrait également fournir aux attaquants un accès direct à votre environnement SaaS.

Pourquoi les expositions aux menaces d’identité sont-elles dangereuses ?

La grande majorité des organisations utilisent aujourd'hui une infrastructure d'identité hybride, avec Active Directory (AD) pour les ressources sur site et un IdP cloud pour le SaaS.

La pratique courante consiste pour AD à synchroniser les hachages des utilisateurs avec l'IdP du cloud, afin que les utilisateurs puissent accéder aux applications SaaS avec les mêmes informations d'identification que les ressources sur site. Cela augmente considérablement le potentiel de l'environnement SaaS surface d'attaque, car toute attaque permettant à l'adversaire d'obtenir des mots de passe en clair ouvre la voie au cloud computing.

ITE qui exposent des hachages de mots de passe faiblement déchiffrés (NTLM, NTLMv1, administrateurs avec SPN) ou permettent aux attaquants de réinitialiser les mots de passe des utilisateurs (administrateurs fantômes) sont déjà largement exploitées par les adversaires.

Quels sont les types d’expositions aux menaces d’identité ?

Nous classons les ITE en quatre groupes, en fonction des actions malveillantes qu'ils permettent aux attaquants de réaliser :

  • Exposants de mots de passe: ITE qui permettent aux adversaires d'accéder au mot de passe en clair d'un compte utilisateur.
  • Escaliers privilèges: ITE qui permettent aux adversaires d’augmenter les privilèges d’accès qu’ils possèdent déjà.
  • Déménageurs latéraux: ITE qui permettent aux adversaires d'utiliser comptes compromis pour effectuer un mouvement latéral non détecté.
  • Dodgers de protection: ITE qui rendent les contrôles de sécurité moins efficaces pour surveiller et protéger les comptes d'utilisateurs.

Exemples d’expositions à des menaces d’identité

CatégoriesServices Connexes MITRE ATT & CKExemples
Exposants de mots de passeAccès aux informations d'identificationNTLM authentificationNTLMv1authentificationAdministrateurs avec SPN
Escaliers privilègesElévation de privilègesAdministrateurs fantômesDélégation sans contrainte
Déménageurs latérauxMouvement latéralLes comptes de service Utilisateurs prolifiques
Dodgers de protectionIl n’existe pas de technique MITRE ATT&CK exacte qui corresponde à cette catégorie. Cela permet aux attaquants de passer inaperçus pendant de longues périodes.Nouveaux comptes d'utilisateursComptes partagésUtilisateurs obsolètes

Comment se protéger contre les expositions aux menaces d’identité ?

  1. Sachez où vous êtes exposé
    Assurez-vous d’avoir une visibilité sur tous les différents types d’ITE dans votre environnement. Si vous synchronisez les utilisateurs AD avec votre IdP cloud, assurez-vous qu'il respecte les meilleures pratiques de Microsoft et ne crée pas une masse d'utilisateurs inactifs.
  2. Éliminez les risques là où vous le pouvez
    Assurez-vous d’avoir une visibilité sur tous les différents types d’ITE dans votre environnement. Si vous synchronisez les utilisateurs AD avec votre IdP cloud, assurez-vous qu'il respecte les meilleures pratiques de Microsoft et ne crée pas une masse d'utilisateurs inactifs.
  3. Contenir et surveiller les risques existants
    Pour les ITE qui ne peuvent être éliminés, comme privilégiés ou l'utilisation de NTLM, assurez-vous que l'équipe SecOps dispose d'un processus pour surveiller de près ces comptes afin de déceler tout signe de compromission.
  4. Prendre des mesures préventives
    Appliquer segmentation identitaire règles ou appliquer des politiques MFA pour empêcher les comptes d’utilisateurs d’être victimes des ITE présentés lorsque cela est possible. Mettez en œuvre des politiques d'accès sur vos comptes de service qui les empêcheraient d'accéder à toute destination au-delà de leurs ressources prédéfinies.
  5. Connecter les équipes identité et sécurité
    La responsabilité de Protection de l'identité est réparti entre les équipes d'identité et de sécurité, où les connaissances de ces dernières leur permettent de prioriser les ITE à résoudre, tandis que les premières peuvent mettre en œuvre ces correctifs, créant ainsi un système intégré. sécurité d'identité posture.