Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Combattre le vol d’identifiants avec l’automatisation

novembre 2022 par Jérôme BEAUFILS, Président de Sasety

Plus de 24 Milliards d’identifiants volés sont disponibles sur Internet et le Darkweb.Leur exploitation par les groupes de cybercriminels représente le premier vecteur d’attaque, loin devant le phishing et l’exploitation de vulnérabilités. En utilisant ces identifiants, les attaquants prennent le contrôle des comptes utilisateurs et exposent les organisations à des violations, à des ransomwares et au vol de données.

Bien que les CISOs soient conscients de cette menace et disposent souvent d’outils pour réduire ce risque, l’actualité démontre que leur application s’avère largement insuffisante.Une démarche structurée et continue permet de réduire l’exposition au risque mais elle représente une charge trop importante pour des équipes sécurité souvent limitées. L’automatisation de la détection et de l’identification des risques réels pour l’organisation constitue la seule réponse adaptée à la dynamique des cybermenaces.

Nature du risque

80% des violations d’applications Web impliquent des identités compromises. Les attaquants utilisent des techniques comme l’ingénierie sociale, la force brute et l’achat d’identifiants sur le Darkweb pour compromettre les identités et obtenir un accès aux ressources des organisations.

Ils tirent souvent parti des faiblesses suivantes :
  Mot de passe unique entre plusieurs applications
  Mot de passe commun entre applications personnelles et professionnelles
  Mots de passe stockées dans les navigateurs
  Réutilisation de mots de passe ou durée de vie importante
  Identifiants non utilisés (collaborateurs ayant quitté l’entreprise, prestataires, comptes de service, etc.)
  Mots de passe partagés entre différents utilisateurs

Le principal défi pour l’organisation est que les attaquants n’ont besoin que d’un seul identifiant valide pour s’introduire.

Mitigation du risque

Pour réduire leur exposition au risque, les organisations doivent se concentrer sur ce qui est exploitable du point de vue des attaquants.

Une méthodologie efficace repose sur les étapes suivantes :

1. Collecter les identifiants dérobés

Pour commencer à résoudre le problème, les équipes sécurité doivent collecter des données sur les identifiants qui ont été dérobés à divers endroits du Web et sur le Darkweb. Des outils comme HaveIBeenPwned ou celui de l’Institut Hass-Platner sont utiles. Cette étape permet d’obtenir un premier état de la situation et d’identifier les comptes individuels qui doivent être mis à jour.

2. Identifier le risque d’exposition réel

Une fois les données collectées, les équipes sécurité doivent déterminer quels identifiants peuvent être réellement exploités.
Pour ce faire, elles doivent utiliser des techniques similaires à celles des attaquants :
  Vérifier si les identifiants permettent l’accès aux ressources externes, tels que les services Web et les bases de données
  Tenter de déchiffrer les hachages de mots de passe capturés
  Valider les correspondances entre les identifiants dérobés et les outils de gestion des identités de l’organisation, tels que l’Active Directory
  Tester des variantes pour identifier de nouvelles identités qui pourraient être compromises : les utilisateurs utilisant généralement les mêmes modèles de mot de passe
3. Réduire le risque d’exposition
Après avoir validé les identifiants dérobés qui exposent réellement l’organisation, les équipes sécurité doivent prendre des mesures ciblées pour atténuer le risque.
Par exemple :
  Supprimer les comptes inactifs divulgués de l’Active Directory
  Initier des changements de mot de passe pour les utilisateurs actifs
  Revoir les processus et la politique de gestion des mots de passe (durcissement, cycle de vie)

4. Mettre en place une démarche de validation continue

Les techniques des attaquants tout comme la surface d’attaque des organisations évoluent en permanence, en particulier en termes de comptes utilisateurs. Par conséquent, un effort ponctuel pour identifier, vérifier et réduire le risque d’exposition des identifiants est insuffisant. Pour combattre durablement ce risque, les organisations doivent adopter une démarche de traitement continu. Cependant, la charge que représente ces actions manuelles est trop importante pour des équipes de sécurité aux ressources limitées.

La seule façon de gérer efficacement la menace est d’automatiser le processus de validation.

Automatisation

Depuis 2021, le cabinet Gartner a introduit cette automatisation au travers des concepts « Automated Penetration Test and Red Team Tool » et « External Attack Surface Management ». Ces concepts rassemblent des techniques visant à identifier de façon continue les risques exposant la surface d’attaque des organisations afin de concentrer le travail de remédiation sur les risques avérés.

Parmi les acteurs, la société Pentera constitue aujourd’hui le leader de la cybervalidation automatisée.
Utilisant les dernières techniques d’attaques les plus avancées, leur solution permet de réaliser de façon automatique et continue des attaques éthiques afin de mettre en évidence les vulnérabilités statiques et dynamiques. Ces tests sont exécutés aussi bien depuis l’extérieur que depuis l’intérieur de l’organisation, permettant de couvrir toute la surface d’attaque.

Parmi les fonctionnalités, le module « Leaked Credentials » automatise les étapes de découverte des identifiants dérobés et la vérification de l’exposition qu’ils représentent pour l’organisation :
  Sur les services externes (SaaS, sites Web, messagerie)
  Sur les services internes (applications, postes de travail, serveurs, éléments d’infrastructure).

Le résultat de ces investigations présente les vecteurs d’attaques complets ainsi que la description des actions de remédiation à réaliser par les équipes sécurité. La communication avec des outils de type SIEM ou ITSM permet d’intégrer ce processus dans le processus global de gestion du risque de cybersécurité. Ces solutions correspondent à l’avenir de la surveillance, de la détection et de la prévention des menaces.


Voir les articles précédents

    

Voir les articles suivants