Les trois Ms de la gestion des accès à privilèges
En raison de l'adoption croissante du cloud dans les organisations, le paysage des menaces s'est élargi, les cybercriminels profitant de toutes les faiblesses d'une surface d'attaque de plus en plus croissante. L'un des composants les plus couramment utilisés dans une attaque aujourd'hui est l'utilisation d'informations d'identification compromises, dans lesquelles des acteurs malveillants exploitent des mots de passe faibles, des bogues et des erreurs de configuration pour accéder à des informations sensibles et précieuses ou à des contrôles système dans ce que l'on appelle des attaques d'« escalade de privilèges ». . La solution Verizon Rapport d'enquêtes sur la violation de données 2021 par exemple, ont constaté que 80 % des violations impliquent des informations d'identification compromises.
Le problème est que la gestion des accès privilégiés (PAM) - dans laquelle les équipes informatiques et de sécurité contrôlent qui a accès à quoi sur le système d'une organisation, y compris en accordant aux utilisateurs des privilèges d'accès limités dans le temps et temporaires - s'étend également à mesure que l'adoption du cloud se développe et que les systèmes informatiques deviennent plus complexe à gérer. Les cyber-attaquants profitent de cette complexité car ils sont capables d'obtenir un accès initial via un compte de niveau inférieur, puis de remonter la chaîne, en prenant le contrôle de plus en plus de systèmes et de rôles administratifs jusqu'à ce qu'ils aient compromis et aient accès au l'ensemble de l'environnement informatique. Les résultats de l'élévation des privilèges peuvent être très préjudiciables, entraînant une violation de données à part entière avec des informations sensibles à risque.
La bonne nouvelle, c'est qu'il existe trois domaines - trois M - dont les organisations peuvent s'assurer qu'elles sont conscientes afin de minimiser les risques d'attaques par escalade de privilèges : Erreurs, Abuser et Malice.
Erreurs
Nous faisons tous erreurs – c'est un trait humain. Selon un récent rapport de l'Université de Stanford, environ 88 % des violations de données sont causées par des erreurs humaines. Ces erreurs peuvent aller d'erreurs de compte administratif où un accès excessif a été accordé, à des fautes d'utilisateur telles que des mots de passe faibles ou être la proie d'une escroquerie par hameçonnage. Des erreurs techniques telles que les configurations de service ou de réseau peuvent également laisser un système ouvert aux attaques.
Ces erreurs peuvent être le résultat de nombreux facteurs. Par exemple, les fournisseurs de cloud public et privé peuvent avoir des configurations et des paramètres complexes différents (AWS a une configuration différente d'Azure par exemple), ce qui signifie que les gens ont tendance à se perfectionner dans l'un puis dans l'autre, laissant les zones les plus faibles vulnérables. La surcharge de travail, les pénuries de compétences et le trop grand nombre de tâches manuelles à accomplir dans des délais serrés augmentent également la probabilité d'erreurs. Ajoutez à cela les priorités commerciales en concurrence avec les besoins de sécurité ainsi que le nombre et la variété croissants des surfaces d'attaque dans le cloud, et les pirates ont amplement l'occasion de se faufiler à travers une fissure dans le système.
Le principe des contrôles du « moindre privilège » est un outil essentiel dans la boîte pour limiter la portée d'une attaque dans ce scénario. Sous ces contrôles, les utilisateurs ne peuvent accéder qu'à ce dont ils ont réellement besoin pour effectuer une tâche. Cela limite les retombées d'une attaque car les attaquants sont incapables de se déplacer latéralement dans le système. De plus, suivre une solution PAM basée sur l'identité, basée dans le cloud, peut aider à éliminer les erreurs ou les points faibles et les utilisateurs, et à les atténuer avant qu'ils ne s'aggravent.
Abuser
Nous avons tous pris des raccourcis. Mais lorsque les utilisateurs compromettent intentionnellement un système ou abusent de leurs privilèges, par commodité ou pour leur propre profit personnel, les conséquences peuvent être désastreuses. En effet, on estime que 74 % des violations de données impliquent une mauvaise utilisation ou une compromission de l'accès aux privilèges.
Abuser peuvent être intentionnellement actifs et malveillants, comme lorsqu'un employé mécontent, dont l'accès n'a pas été révoqué, vole délibérément des données dans l'intention de les utiliser pour nuire à son ancien employeur. L'utilisation abusive peut également être quelque chose d'aussi simple et passif que l'utilisation de mots de passe par défaut, faibles ou répétés. Il peut s'agir d'utiliser des portes dérobées non documentées dans des environnements ou de l'informatique fantôme, ou de ne pas avoir mis en place de processus PAM adéquats.
Le plus souvent, cependant, l'utilisation abusive n'a pas d'intention malveillante. Si les employés téléchargent des fichiers sur leurs comptes personnels Dropbox ou OneDrive, par exemple, ils peuvent involontairement ouvrir la porte à un acteur malveillant, car les données de l'entreprise se trouvent désormais dans un emplacement inconnu - très probablement non sécurisé - où l'informatique de l'organisation n'a aucune compétence et le les mêmes processus de gouvernance d'entreprise et de sécurité ne sont pas en place.
La sauvegarde des mots de passe – dans laquelle les comptes privilégiés centralisés sont stockés dans un « coffre-fort » numérique – ne suffira pas toujours à éviter cette utilisation abusive. Mais en supprimant les privilèges permanents et en utilisant les contrôles PAM modernes comme le moindre privilège, les organisations peuvent réduire le nombre de comptes privilégiés et les risques associés.
Malice
Souvent le résultat d'erreurs et d'abus, malice se produit lorsque des acteurs malveillants utilisent des informations d'identification volées pour exploiter des vulnérabilités afin d'accéder à des actifs protégés ou de perturber des opérations. Ces types d'attaques malveillantes font la une des journaux pour une raison, et nous avons tous vu des histoires d'attaques de logiciels malveillants, de logiciels espions, de ransomwares et de chevaux de Troie. Les pirates peuvent causer de graves dommages avec ces types d'attaques. Par exemple, Nvidia, le plus grand fabricant de micropuces aux États-Unis, a dû fermer certaines parties de son activité pendant deux jours en raison d'une attaque de ransomware dans laquelle le groupe de piratage, Lapsus$, a menacé de divulguer 1 To de données de l'entreprise, y compris les informations d'identification des employés. – à moins qu'ils ne remettent une rançon.
Les attaques malveillantes sont malheureusement là pour rester, mais en prenant des précautions pour éviter les erreurs et en réduisant les abus, les organisations peuvent réduire la probabilité d'être victime d'une telle attaque.
Des mesures de sécurité flexibles sont essentielles dans le cloud
Le cloud a fait des systèmes informatiques et de sécurité un terrain de jeu en constante évolution, ce qui oblige les équipes informatiques et de sécurité à garder une longueur d'avance. Les solutions PAM traditionnelles, telles que la sauvegarde des mots de passe, ne sont pas toujours adaptées à cet environnement tentaculaire. Ils n'ont pas été conçus pour la nature dynamique du cloud et peuvent entraîner l'absence de surveillance des actifs cloud pendant une période de temps significative. Ils ne peuvent pas non plus gérer les privilèges persistants ou fournir une visibilité sur les environnements et les applications hybrides.
À l'ère du travail agile et des charges de travail élastiques, les entreprises doivent être en mesure d'accéder à l'activité en temps réel et de l'évaluer afin d'identifier les objets à risque ou mal configurés et de prendre automatiquement des mesures correctives. Dans un environnement hybride, où les travailleurs travaillent habituellement sur une variété d'appareils, de réseaux et de systèmes, les équipes informatiques et de sécurité doivent être en mesure de voir clairement et de gérer l'accès en temps réel - elles peuvent ensuite inverser, approuver ou mettre en quarantaine les utilisateurs et accorder des privilèges accès aux comptes lorsqu'ils les ont validés. De cette façon, les comptes orphelins - les comptes oubliés qui se trouvent sur le réseau et qui sont les meilleurs candidats à une utilisation abusive - peuvent également être supprimés.
Les processus PAM basés sur le cloud sont la clé ici - permettant aux organisations d'adapter leur sécurité avec leur environnement cloud. Sans les privilèges permanents traditionnels et la sauvegarde des informations d'identification privilégiées découvrables, les organisations ont une visibilité et un contrôle sur ce qui se passe dans leurs systèmes. En effet, l'intégration des principes du moindre privilège et de l'accès juste à temps est un élément essentiel de toute approche cloud-PAM. Il garantit que les utilisateurs finaux reçoivent le bon niveau de privilège pour leurs tâches immédiates, quel que soit l'endroit où ils travaillent ou l'appareil, le réseau ou la plate-forme qu'ils utilisent, protégeant ainsi les actifs et les données critiques des regards indiscrets.
