Il n'est pas surprenant que les cyberattaques modernes cherchent des moyens de se déplacer latéralement, à la fois dans un environnement sur site et vers les services, applications et ressources basés sur le cloud d'une organisation. La plupart des environnements exploitant une forme de configuration hybride, toutes les informations d'identification susceptibles d'être piratées offrent à un attaquant un accès potentiellement illimité à la fois au cloud et à l'environnement sur site.
Et pourquoi est-il si facile de compromettre une identité élevée ? Des faiblesses dans la configuration, la gestion et la surveillance de votre identité en sont probablement la cause.
Pensez au-delà d’un simple mot de passe non sécurisé : comptes, autorisations et délégations non documentés ou oubliés ; manque de sécurité supplémentaire protocoles d'authentification Les facteurs de vulnérabilité, les privilèges permanents et bien d'autres encore sont autant de problèmes qui affligent la plupart des organisations (car nous sommes tous tellement concentrés sur la gestion du « prochain » problème). Ce sont ces faiblesses que les cybercriminels recherchent et dont ils profitent… tout cela parce qu'ils savent que vous ne les avez pas traitées.
Dans ce webinaire, Yiftach Keshet, vice-président du marketing produit chez Silverfort, plonge plus profondément dans le commun sécurité d'identité lacunes qui existent dans les environnements sur site et qui permettent aux acteurs malveillants d’accéder également aux applications et plateformes SaaS.
Tout d'abord, Nick Cavalancia, quatre fois MVP Microsoft, explique pourquoi l'identité reste une priorité surface d'attaque, en utilisant le cadre MITRE ATT&CK pour démontrer comment presque toutes les actions entreprises renvoient inévitablement à une surface d'attaque d'identité faible.
Ensuite, Yiftach se penche sur les failles de sécurité les plus courantes et montre comment elles peuvent être utilisées pour fournir un accès aux environnements sur site et dans le cloud. Il s'agit notamment de :
- Comment les adversaires exploitent les faiblesses sur site pour se déplacer latéralement et compromettre l'environnement cloud en obtenant un accès initial à une machine, puis en utilisant soit un chemin NTLM, soit Kerberos chemin pour accéder aux environnements cloud.
- Identifier les utilisateurs disposant de privilèges d'accès excessifs : 1 utilisateur sur 7 (en moyenne) dispose de privilèges d'accès similaires à ceux des administrateurs, même s'il n'appartient à aucun groupe d'administrateurs. Naturellement, ces utilisateurs ne bénéficient d'aucune protection, car personne ne sait qu'ils sont de facto privilégiés. Les attaquants peuvent saisir leur chance et cibler ces utilisateurs pour passer « sous le radar » mouvements latéraux.
- Comptes obsolètes et comptes partagés : une pratique courante qui crée une surface d'attaque énorme. Les comptes obsolètes ne sont pas protégés (plus de 15 % de tous les utilisateurs dans de nombreux cas). Les comptes partagés ne peuvent pas être protégés avec authentification multi-facteurLes deux types sont largement ciblés.
Yiftach montre également comment il est possible de détecter ces types d'attaques et discute des meilleures pratiques pour atténuer les faiblesses d'identité grâce à des contrôles de sécurité qui incluent l'authentification multifacteur et segmentation identitaire.