Les cyberattaques sont désormais rarement menées par des attaquants techniquement hautement qualifiés. Les méthodes de piratage traditionnelles telles que le décodage du cryptage ou l'infiltration des pare-feu appartiennent au passé. L'anatomie d'une cyberattaque évolue.
Les criminels ne piratent plus ; ils viennent de se connecter. En effet, des informations d'identification faibles, volées ou autrement compromises créent un point d'entrée facile pour les acteurs malveillants, même s'ils ont peu de compétences techniques.
Identifiants volés aux employés
La récente violation de Twitter, qui a piraté des dizaines de comptes d'utilisateurs importants, est un bon exemple de la façon dont les cyberattaques sont menées aujourd'hui. Selon une étude du géant des médias sociaux, un jeune de 17 ans originaire de Floride a utilisé des techniques d'ingénierie sociale pour obtenir les informations d'identification d'un petit nombre d'employés de Twitter. L'attaquant a alors pu abuser de ces identifiants pour accéder à un système interne important. Et Twitter n'est pas le seul : Forrester estime que 80 % des failles de sécurité sont désormais dues à des identifiants compromis. Si un attaquant détourne un compte privilégié, il peut s'en servir pour se déplacer longuement et inaperçu dans le réseau afin d'exfiltrer des données sensibles ou provoquer des perturbations.
La voie d'attaque des cybercriminels
Chaque cyberattaque diffère par sa motivation et les dommages qui en résultent. Cependant, toutes les attaques contiennent trois composants de base importants qui s'appliquent aux menaces externes et internes. Voici un aperçu de la façon dont les cyberattaques modernes se produisent souvent :
1. Trouvez un moyen d'entrer
Comme mentionné, les criminels d'aujourd'hui utilisent généralement à mauvais escient des informations d'identification compromises pour leurs attaques. Ils utilisent généralement des techniques d'ingénierie sociale, telles que des campagnes de phishing, pour voler les identifiants de connexion. Les pirates profitent également des millions d'informations d'identification divulguées qui sont en vente sur le dark web. Par conséquent, les utilisateurs qui utilisent des mots de passe identiques ou similaires pour plusieurs comptes courent un risque si un attaquant utilise des techniques telles que le bourrage d'informations d'identification ou la pulvérisation de mots de passe.
2. Naviguer dans le système
Une fois dans le système, l'attaquant tentera de reconnaître son environnement et d'augmenter ses privilèges pour se déplacer latéralement dans le réseau et accéder à des infrastructures plus critiques contenant des données potentiellement précieuses. À ce stade, les pirates tentent de comprendre leur environnement en examinant les horaires informatiques, les mesures de sécurité ou les flux de trafic réseau. Les ressources réseau, les comptes privilégiés, les contrôleurs de domaine et Active Directory sont les principales cibles des attaquants, car ils disposent souvent d'informations d'identification privilégiées.
3. Vol de données et brouiller les pistes
Une fois que les attaquants sauront où accéder aux données précieuses, ils chercheront des moyens d'augmenter encore leurs privilèges d'accès pour extraire ces données et couvrir leurs traces. Ils peuvent également créer une porte dérobée, par exemple en créant une clé SSH pour exfiltrer plus de données à l'avenir.
Meilleures pratiques pour se protéger contre les cyberattaques d'aujourd'hui
Construire un périmètre solide et investir dans une équipe de sécurité bien rodée reste fondamental. Cependant, comme les attaquants d'aujourd'hui exploitent de plus en plus de mauvaises pratiques de mots de passe et des comptes privilégiés non sécurisés, les entreprises doivent adapter leur stratégie de sécurité à ces menaces et se concentrer sur la protection des identités et des informations d'identification.
Les informations d'identification privilégiées partagées doivent être triées et placées dans un coffre-fort de mots de passe pour une gestion appropriée. Cependant, la sauvegarde seule ne suffit pas pour se défendre contre le paysage des menaces dynamiques, qui a été considérablement élargi par la transformation numérique et a de plus en plus de surfaces d'attaque telles que le cloud ou DevOps.
Appliquer l'approche du moindre privilège
Par conséquent, les entreprises doivent appliquer une approche de moindre privilège basée sur les identités individuelles des humains et des machines. De plus, cela nécessite des systèmes qui vérifient quel employé ou quelle application demande l'accès aux ressources et pour quelle raison. Le risque de l'environnement d'accès respectif doit être déterminé et seules les autorisations pour l'objet cible doivent être accordées pour la durée minimale requise. Voici trois points que les entreprises devraient mettre en œuvre dans leur stratégie de sécurité :
- Application d'une approche zéro confiance : le modèle zéro confiance suppose que les attaquants sont déjà sur le réseau. Par conséquent, aucun utilisateur ou demande ne doit être approuvé tant qu'il n'a pas été entièrement vérifié. Seul l'accès au moindre privilège doit alors être accordé, en accordant autant d'autorisations que nécessaire. Les architectures de sécurité doivent être structurées pour en tenir compte.
- Tirer parti de l'authentification multifacteur pour la gestion des accès privilégiés : l'authentification multifacteur est un moyen de sécurité simple et doit être utilisée partout où les privilèges sont élevés, avec des zones d'accès dédiées qui renforcent cette défense.
- Apprentissage automatique pour une sensibilisation aux risques en temps réel : les algorithmes d'apprentissage automatique peuvent surveiller le comportement des utilisateurs privilégiés, identifier les activités anormales et risquées et déclencher des alertes pour arrêter les opérations suspectes.
Les cybercriminels d'aujourd'hui peuvent avoir des compétences techniques sophistiquées ou simplement les connaissances de base des script kiddies. Cependant, en mettant en œuvre un solide plan de gestion des accès privilégiés centré sur l'identité et basé sur les principes Zero Trust, les organisations peuvent protéger leurs actifs critiques contre la vague croissante d'attaques et réduire considérablement le risque d'atteinte à la sécurité.
Plus sur Centrify.com
À propos de Thycotic Centrify ThycoticCentrify est l'un des principaux fournisseurs de solutions de sécurité des identités dans le cloud qui permettent la transformation numérique à grande échelle. Les solutions de gestion des accès privilégiés (PAM) de ThycoticCentrify, leaders du secteur, réduisent les risques, la complexité et les coûts tout en protégeant les données, les appareils et le code de l'entreprise dans les environnements cloud, sur site et hybrides. ThycoticCentrify bénéficie de la confiance de plus de 14.000 100 entreprises leaders dans le monde, dont plus de la moitié du Fortune XNUMX. Les clients comprennent les plus grandes institutions financières, agences de renseignement et sociétés d'infrastructures critiques du monde. Qu'il soit humain ou machine, dans le cloud ou sur site - avec ThycoticCentrify, l'accès privilégié est sécurisé.