Le rapport identitaire clandestin
Vos défenses sont très hautes, mais sous terre, vous êtes exposé.
En matière de protection de l'identité, les comptes d'utilisateurs et les configurations dont nous avons connaissance sont bien visibles au-dessus du sol. Nous pouvons donc les défendre efficacement contre les menaces identitaires.
Malheureusement, ces connaissances superficielles sont malheureusement limitées. Sous la surface connue des attaques d’identité existe un monde souterrain de mauvaises configurations, de comptes d’utilisateurs oubliés, de paramètres hérités, de mauvaises pratiques et de fonctionnalités intégrées non sécurisées. Dans ce rapport, nous les appelons expositions à des menaces d’identité (ITE).
Les attaquants utilisent ces ITE comme co-conspirateurs pour effectuer le vol d’informations d’identification, l’élévation des privilèges et les mouvements latéraux. De plus, en raison de la pratique courante consistant à synchroniser les comptes d'utilisateurs AD avec l'IdP du cloud, cette exposition clandestine pourrait également fournir aux attaquants un accès direct à votre environnement SaaS.
Nous avons étudié en profondeur la prévalence et la gravité des ITE dans des centaines d'environnements de production en direct, et voici ce que nous avons découvert :
- 67 % des organisations ont exposé leurs applications SaaS à des compromissions en raison d'une synchronisation non sécurisée des mots de passe sur site.
- 37 % des administrateurs s'authentifient en NTLM, permettant aux attaquants d'accéder aux mots de passe en clair.
- En moyenne, 109 nouveaux administrateurs fantômes sont introduits par une seule mauvaise configuration d'AD, permettant aux attaquants de réinitialiser le mot de passe d'un véritable administrateur.
- 31 % de tous les utilisateurs sont des comptes de service dotés de privilèges d'accès élevés et d'une faible visibilité.