Stopper la dynamique des cyberattaques par la Gestion des Accès à Privilèges

Spread the love
Stopper la dynamique des cyberattaques par la Gestion des Accès à Privilèges

Alors que de plus en plus d’entreprises déplacent leurs applicatifs dans le cloud, adoptent des outils de collaboration pour permettre le travail à distance et augmentent leurs capacités d’automatisation, les criminels peaufinent constamment leurs stratégies pour exploiter les secteurs des entreprises en transformation.

Poursuivre l’activité et permettre la résilience de l’entreprise face à ce contexte de menaces croissantes commence par la compréhension de l’état d’esprit d’un cybercriminel. Bien que les motivations puissent varier – du simple appât du gain, en passant par l’espionnage jusqu’à la pure volonté de nuire – le cycle d’attaque reste relativement constant. Tout d’abord, les attaquants motivés utilisent des moyens standard, comme le phishing ou l’exploitation d’une vulnérabilité logicielle connue, pour prendre pied sur un réseau. Une fois cette étape franchie, ils cherchent généralement à exploiter des comptes à privilèges – qui disposent d’un accès administrateur large et complet – à des fins de reconnaissance ou de présence durable sur le réseau pour y lancer de nouvelles attaques. Cependant, il convient de noter que sans accès dotés de privilèges, la grande majorité des attaques ne se déploie pas au-delà d’un stade embryonnaire.

Conquérir un accès dit à privilèges est toujours une priorité pour les cyberattaquants. La transformation rapide des entreprises au rythme d’investissements dans les technologies, a contribué à la diffusion conséquente des comptes à privilèges dans les environnements cloud et hybrides, fournissant ainsi encore plus de points d’accès potentiels. Les processus métier critiques, les applications et les instances cloud, par exemple, ont tous nécessairement des comptes à privilèges qui leurs sont associés pour les maintenir et les protéger.

Leur sécurisation permet de réduire la surface d’exposition au risque en amputant les outils classiques des pirates informatiques et en limitant la propagation d’une attaque. Limiter les mouvements latéraux les oblige à utiliser des tactiques « moins discrètes » et donc plus facilement identifiables. Les organisations sont alors alertées plus rapidement et peuvent travailler à stopper la progression de l’attaque avant d’être considérablement touchées.

Basées sur l’analyse des tactiques et vecteurs communs aux cyberattaques du Labs de CyberArk, voici quatre recommandations qui permettent aux entreprises d’être mieux armées, parées à se défendre en se focalisant sur la Gestion des Accès à Privilèges.

publicité

Arrêter l’escalade des privilèges

Une fois que les criminels ont accès au réseau, ils utilisent une variété de techniques pour incrémenter leurs privilèges afin d’obtenir des autorisations de niveau supérieur et d’initier des mouvements latéraux.

Les logiciels et applications sur lesquels les organisations comptent pour gérer leur entreprise peuvent être truffés de mauvaises configurations et de vulnérabilités, surtout si les mises à jour et les correctifs ne sont pas effectués de façon régulière. Selon une étude menée par l’Institut Ponemon, en 2019, 60% des atteintes à la protection des données concernaient des vulnérabilités non corrigées. Mais pour un attaquant, la vulnérabilité elle-même représente une « porte ouverte » pour prendre pied dans l’infrastructure. L’étape critique est de savoir comment les cybercriminels peuvent utiliser leur position initiale pour accroître leurs privilèges et faciliter les mouvements latéraux sur des réseaux de plus en plus distribués et décentralisés.

L’escalade des privilèges est le maillon le plus sensible de la chaîne d’attaque, car elle peut permettre à un pirate informatique d’accomplir plusieurs actions clé, notamment l’obtention de la persistance sur le réseau, la construction de portes dérobées supplémentaires et, en fin de compte, l’accès aux ressources critiques. Un programme moderne de Gestion des Accès à Privilèges (PAM) applique le principe du moindre privilège qui alloue aux utilisateurs l’accès strictement nécessaire pour remplir leurs fonctions – et rien de plus. Cela permet de limiter significativement le nombre d’autorisations de niveau super-utilisateur et administrateur – et donc de réduire significativement la surface d’attaque globale.

Prévenir les mouvements latéraux

Le mouvement latéral est une tactique – souvent connectée avec l’escalade des privilèges – conçue pour permettre aux hackers de s’introduire dans les systèmes et de et prendre le contrôle d’un réseau dans le but de propager une attaque ou d’y faciliter leur persistance à long terme. Les criminels utilisent le mouvement latéral pour progresser à partir de l’ancrage d’origine afin de trouver des informations précieuses, d’avoir accès à des systèmes critiques pour l’entreprise ou d’exécuter une attaque. L’exploitation d’un accès à privilèges est le moyen de faciliter ce mouvement. En augmentant les privilèges, les cyberattaquants peuvent effectivement se déplacer d’un endroit à un autre, y compris des environnements locaux vers les environnements cloud, et vice versa. La gestion des accès à privilèges est l’un des moyens les plus efficaces d’arrêter ces mouvements latéraux en sécurisant les points d’accès nécessaires aux hackers pour se déplacer sur un réseau, contribuant ainsi à bloquer la progression d’une attaque.

Ralentir la propagation des ransomwares

Le ransomware reste l’une des cyberattaques les plus courantes et les plus coûteuses. Alors que l’attaque commence généralement sur un point d’accès, le but du ransomware est de chiffrer les fichiers, les applications ou les systèmes afin de tenir une organisation en otage jusqu’à ce qu’une rançon soit payée. Accéder à un ordinateur portable ne va certainement pas suffire à contenter le criminel, mais compromettre grâce à lui un réseau tout entier le pourra très certainement.

Le passage du point d’accès au réseau est un aspect critique de la stratégie du ransomware. Cybersecurity Ventures estime que, l’année prochaine, le coût mondial des ransomwares dépassera 20 milliards de dollars et prédit qu’une attaque par ransomware touchera une entreprise toutes les 11 secondes.

Dans des environnements totalement interconnectés, l’attaque par ransomware d’entreprises de toutes tailles est une préoccupation majeure. Pour contrer les dommages, la gestion des accès à privilèges peut limiter sa propagation et circonscrire l’attaque au point d’infection initial. Basé sur la recherche du Labs de CyberArk, qui a testé 2,5 millions de variantes de ransomwares, la suppression des droits d’administration locaux, combinée au contrôle des applications au niveau des points d’accès, a été efficace à 100% pour stopper la propagation des ransomwares.

Prévenir les prises de contrôle de comptes

Les attaques par prise de contrôle de compte (ATO) sont sophistiquées, ciblées et conçues pour donner à l’attaquant le plus de contrôle possible sur un environnement en subtilisant et en exploitant les informations d’identification d’un utilisateur. Lors d’une ATO, les cybercriminels se focalisent sur les comptes à privilèges – et en particulier sur les comptes avec un accès « toujours connecté ». Ces comptes importants permettent aux pirates informatiques de se déplacer à travers un réseau et de mettre la main sur l’Active Directory, le contrôleur de domaine ou même des environnements cloud entiers.

Les solutions de Gestion des Accès à Privilèges – en particulier celles qui incluent des contrôles d’accès juste-à-temps – peuvent réduire considérablement la surface d’attaque en sécurisant les informations d’authentification qui sont réparties entre les environnements. Une approche juste-à-temps permet de fournir les niveaux appropriés d’accès aux bonnes ressources durant la bonne durée – éliminant ainsi les comptes toujours connectés que les cyberattaquants convoitent. Ces solutions compliquent fortement la tâche de l’assaillant en empêchant l’escalade des privilèges et en restreignant sévèrement les mouvements latéraux.

Compromettre des comptes à privilèges reste le cœur du processus d’une cyberattaque. En savoir plus sur la façon dont la Gestion des Accès à Privilèges peut aider à casser la dynamique d’une attaque et permettre de protéger les données, l’infrastructure et les actifs les plus critiques des organisations.

>> Téléchargez une copie gratuite du Magic Quadrant Gartner 2020 pour la Gestion des Accès à Privilèges¹.

Gartner est totalement indépendant des fournisseurs, produits et services cités dans ses études, et ne recommande pas aux utilisateurs de choisir nécessairement leur fournisseur parmi les mieux positionnés. Les études Gartner reflètent l’opinion des équipes de recherche Gartner et ne doivent en aucun cas être considérées comme des faits établis. Gartner décline toute responsabilité, explicite ou implicite, concernant cette étude, notamment toute garantie de qualité marchande ou d’adéquation à un usage particulier.

¹ Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4 August 2020 

Leave a Reply