Les mesures de sécurité classiques telles que l'authentification multifacteur ou les programmes antivirus ne suffisent pas pour une cybersécurité complète. Les entreprises doivent donc poursuivre une approche de défense en profondeur et se concentrer principalement sur la sécurisation des identités et des accès privilégiés, explique l'expert en sécurité CyberArk.
Dans la plupart des attaques, quel que soit leur auteur, la couche d'identité est le premier point d'entrée dans le réseau d'une organisation. Dans de nombreux cas, il a été démontré que les attaquants sont capables de maintenir un accès persistant, non détecté et à long terme dans des environnements compromis en utilisant, entre autres, des informations d'identification légitimes.
MFA, EDR, AntiVirus - tout compte
Pour plus de cybersécurité sur les terminaux, une entreprise doit, d'une part, se rabattre sur des pratiques éprouvées. Il s'agit par exemple de la mise en place de MFA (multi-factor authentication), de l'introduction de solutions EDR (endpoint detection and response) et AV (anti-virus), de l'utilisation d'un pare-feu, de l'installation régulière de correctifs et - si nécessaire – l'utilisation de mots de passe sécurisés.
D'autre part, des mesures supplémentaires sont nécessaires pour accroître la cybersécurité dans le cadre d'une approche de défense en profondeur. Cela comprend les mesures suivantes :
- Utilisation de solutions pour le contrôle des applications : Les entreprises doivent bloquer l'exécution des fichiers EXE inconnus car ils peuvent contenir des commandes potentiellement dangereuses. Le rechargement d'un code malveillant et son exécution sur l'appareil final compromis font partie d'une attaque dans presque toutes les intrusions dans les systèmes informatiques.
- Restriction des droits d'accès : La mise en œuvre cohérente d'un concept de moindre privilège et la désactivation des comptes qui ne sont pas nécessaires sont indispensables. La limitation des privilèges est essentielle car le vol d'informations d'identification permet aux attaquants d'accéder à des informations critiques. Une extension juste à temps des autorisations devrait également être encouragée. Cela signifie : si un utilisateur a besoin de droits élevés ou les plus élevés pour travailler sur le système ou pour effectuer certaines étapes de travail, ces droits ne peuvent être attribués que temporairement et en fonction de l'objectif - au binaire ou à l'action. Les fonctions de détection des menaces peuvent accélérer la détection et la prévention des tentatives d'attaque.
- Détection de l'administrateur fantôme : Les administrateurs fantômes sont souvent dotés d'autorisations sensibles qui leur permettent d'élever les privilèges dans les environnements cloud. Ces identités, souvent nées de mauvaises configurations ou d'un manque de sensibilisation, peuvent être ciblées par des attaquants, laissant tout l'environnement en danger. Il existe différentes solutions pour détecter les administrateurs fantômes, comme l'outil open source zbang.
- Sauvegarde des sauvegardes : Les entreprises doivent sauvegarder de manière fiable les contrôleurs de domaine, car les attaquants pourraient tenter d'accéder ou de créer une copie de la base de données du domaine Active Directory pour voler des informations d'identification ou d'autres informations sur les appareils, les utilisateurs ou les droits d'accès. Des outils avec des fonctions de détection des menaces qui protègent le fichier NTDS dans lequel les données sensibles d'Active Directory sont stockées peuvent être envisagés pour la sauvegarde.
- Utilisation du chiffrement AES Kerberos : L'utilisation du chiffrement AES Kerberos au lieu de RC4 peut empêcher un attaquant d'utiliser à mauvais escient un ticket d'octroi de tickets (TGT) Kerberos valide ou d'espionner le trafic réseau pour accéder à un service d'octroi de tickets (TGS) reçu, qui pourrait être vulnérable par des méthodes de force brute. Par exemple, le module RiskySPN de l'outil zBang peut être utilisé pour détecter le Kerberoasting.
- Protection des certificats d'accréditation : Les certificats utilisateur enregistrés pour la connexion aux systèmes cibles doivent être sécurisés de manière fiable afin d'empêcher les attaquants de tenter de signer des certificats avec des jetons. Cela peut également être utilisé pour atténuer des menaces telles qu'une attaque Golden SAML, dans laquelle les attaquants reçoivent un jeton SAML valide, c'est-à-dire un faux élément d'authentification. Cela leur donne presque toutes les autorisations pour presque tous les services d'une entreprise - en fonction des services qui utilisent SAML comme protocole d'authentification.
Cybersécurité : des mesures de sécurité à plusieurs niveaux protègent
« Des mesures de sécurité isolées ne suffisent plus à une époque de cybercriminalité croissante. L'ordre du jour est : Défense en profondeur – maintenant. Cela signifie qu'une entreprise doit prendre des mesures de sécurité à plusieurs niveaux pour protéger les systèmes, les applications et les données confidentiels et pour minimiser les éventuels effets négatifs d'une attaque », explique Christian Götz, directeur de l'ingénierie des solutions DACH chez CyberArk. "Un bon point de départ pour cela est une approche de sécurité basée sur l'identité, c'est-à-dire un concept de sécurité qui classe l'identité comme la ligne centrale de défense d'une entreprise - qu'il s'agisse d'une personne, d'une application ou d'une machine."
Plus sur Cyberark.com
À propos de CyberArk
CyberArk est le leader mondial de la sécurité des identités. Avec Privileged Access Management comme composant central, CyberArk fournit une sécurité complète pour toute identité - humaine ou non humaine - dans les applications métier, les environnements de travail distribués, les charges de travail cloud hybrides et les cycles de vie DevOps. Les plus grandes entreprises mondiales font confiance à CyberArk pour sécuriser leurs données, infrastructures et applications les plus critiques. Environ un tiers des entreprises du DAX 30 et 20 des entreprises de l'Euro Stoxx 50 utilisent les solutions de CyberArk.