Silverfort

LE RAPPORT IDENTITÉ SOUTERRAIN

Les failles de sécurité des identités les plus courantes qui conduisent à des compromissions

Vos défenses sont très hautes, mais sous terre, vous êtes exposé.

Nous avons remarqué une lacune dans la recherche sur la cybersécurité. La plupart des rapports sur les menaces disponibles aujourd’hui fournissent des informations très détaillées sur les logiciels malveillants, les acteurs de la menace et les chaînes de destruction des attaques, mais ils incluent très peu de données sur les lacunes d’identité et les faiblesses qui jouent un rôle dans presque toutes les cyberattaques. Nous avons décidé de changer cela.

L'Identity Underground est la première tentative visant à identifier les faiblesses les plus critiques en matière de sécurité des identités qui conduisent au vol d'identifiants, à l'élévation des privilèges ou aux mouvements latéraux, à la fois sur site et dans le cloud. Il ne s’agit pas de vulnérabilités ou d’attaques en soi, mais plutôt de faiblesses inhérentes à l’infrastructure d’identité régulièrement utilisées par les acteurs malveillants dans leurs attaques. C’est pourquoi nous avons décidé d’appeler ces lacunes des expositions aux menaces d’identité (ITE).

Les données de ce rapport sont collectées à partir de centaines d’environnements de production en direct. Nous espérons qu'Identity Underground pourra aider les équipes d'identité et de sécurité à comparer leurs programmes de sécurité et leur permettre de prendre des décisions éclairées sur les domaines dans lesquels investir dans la sécurité des identités.

LE SAVIEZ-VOUS?

de tous les utilisateurs sont des comptes de service avec des privilèges d’accès élevés et une faible visibilité.

0 %

des comptes d’utilisateurs sont obsolètes et n’effectuent aucune activité.

0 %

des comptes d'administrateur sont configurés pour avoir une délégation sans contrainte

0 %

Les expositions aux menaces d'identité (ITE) exposent votre organisation aux attaques

L'Identity Underground recense les ITE les plus critiques qui permettent aux attaquants d'accéder aux informations d'identification, d'élever les privilèges et de se déplacer latéralement, à la fois sur site et dans le cloud. Nous les avons classés en quatre catégories : les exposants de mots de passe, les escalators de privilèges, les déplaçant latéralement et les esquiveurs de protection. Les ITE sont difficiles à éliminer et peuvent résulter d'une mauvaise configuration, d'une mauvaise pratique, d'une infrastructure d'identité héritée ou même de fonctionnalités intégrées. Ils sont à l'origine de la forte augmentation du vol d'informations d'identification et des mouvements latéraux, une caractéristique de presque toutes les attaques. Les ITE de ce rapport se sont avérés répandus, impactants et exploitables par les attaquants. Bien qu'il existe de nombreux ITE de différents types, nous n'avons inclus que ceux qui présentent un risque que chaque organisation est susceptible de rencontrer.

Exposants de mots de passe

Permet aux attaquants de se déplacer latéralement sans être détectés.

Technique MITRE ATT&CK associée : élévation de privilèges

Exemples :

  • Authentification NTLM
  • Authentification NTLMv1
  • Administrateurs avec SPN

Escaliers privilèges

Permet aux attaquants de se déplacer latéralement sans être détectés.

Technique MITRE ATT&CK associée : élévation de privilèges

Exemples :

  • Administrateurs fantômes
  • Délégation sans contrainte

Déménageurs latéraux

Permet aux attaquants d’élever les privilèges d’accès existants.

Technique associée MITRE ATT&CK : Mouvement latéral

Exemples :

  • Les comptes de service
  • Utilisateurs prolifiques

Facilement craquée par des attaques par force brute, l'authentification NTLM est une cible privilégiée pour les attaquants cherchant à voler des informations d'identification et à pénétrer plus profondément dans un environnement.

Recherches récentes de Sécurité du point de preuve montre l'acteur menaçant TA577 volant des informations d'authentification NTLM pour obtenir des mots de passe. Ceci est un autre exemple d’ITE Password Exposer.

C'est une pratique courante pour Active Directory (AD) pour synchroniser les hachages des utilisateurs avec l'IdP cloud afin que les utilisateurs puissent accéder aux applications SaaS avec les mêmes informations d'identification que les ressources sur site.

En synchronisant les mots de passe des utilisateurs de cette manière, les organisations migrent par inadvertance les faiblesses de l'identité sur site vers le cloud et créent un ITE Password Exposer. Les attaquants, dont le Groupe de rançongiciels Alphv BlackCat, sont connus pour pirater les environnements cloud à partir des paramètres sur site.

Une seule mauvaise configuration dans un Active Directory le compte génère 109 nouveaux administrateurs fantômes en moyenne. 

Les administrateurs fantômes sont des comptes d'utilisateurs ayant le pouvoir de réinitialiser les mots de passe ou de manipuler les comptes d'une autre manière. Considérés comme des escalators de privilèges, les attaquants utilisent les Shadow Admins pour modifier les paramètres et les autorisations et s'accorder davantage d'accès aux machines à mesure qu'ils s'enfoncent plus profondément dans un environnement.

Près d'un tiers de tous les comptes d'utilisateurs sont des comptes de service hautement privilégiés. 

Les comptes de service sont utilisés pour la communication de machine à machine et sont des identités qui disposent de nombreux accès et privilèges. Cible des attaquants privilégiés, car ils sont souvent négligés par les équipes de sécurité. Seulement 20% des entreprises sont très confiantes qu'ils ont une visibilité sur chaque compte de service et peuvent les protéger. Nous considérons les comptes de service inconnus comme des ITE à déplacement latéral.

Ce que vous pouvez faire aujourd'hui pour protéger votre organisation

L'identité reste un élément insidieux de presque toutes les attaques. Un monde souterrain d'expositions aux menaces d'identité contribue à la surface d'attaque d'une organisation. La bonne nouvelle est qu'il existe des mesures que vous pouvez prendre dès aujourd'hui pour éliminer ces ITE et renforcer la sécurité de votre identité.

01

Sachez où vous êtes exposé et éliminez les risques lorsque cela est possible

Gagnez en visibilité sur les ITE de votre environnement, suivez les meilleures pratiques de Microsoft et éliminez tous les ITE résultant de mauvaises pratiques ou de mauvaises configurations.

02

Contenir et surveiller les risques existants

Pour les ITE qui ne peuvent pas être éliminés, tels que les comptes de service ou l’utilisation de NTLM, surveillez de près ces comptes pour déceler tout signe de compromission.

03

Prendre des mesures préventives

Appliquez des règles de segmentation d'identité ou des politiques MFA pour protéger les comptes d'utilisateurs et appliquer des politiques d'accès sur vos comptes de service.

04

Connecter les équipes identité et sécurité

Combinez les domaines d’expertise de vos équipes d’identité et de sécurité pour prioriser et mettre en œuvre des correctifs contre les ITE. 

Obtenez le premier rapport au monde 100 % dédié à la révélation des expositions aux menaces d'identité.