Avec l'augmentation du travail à distance, les administrateurs informatiques, les équipes de sécurité et les employés réguliers dépendent désormais fortement de l'accès à distance aux systèmes d'entreprise, aux environnements DevOps et aux applications. Cela donne aux acteurs de la menace une surface d'attaque beaucoup plus grande : l'usurpation d'identité.
Les identités numériques sont devenues l'arme de choix des cybercriminels. Lorsque les utilisateurs privilégiés d'une organisation utilisent régulièrement des comptes privilégiés partagés pour l'accès, en particulier à distance via un VPN, tout attaquant qui compromet ces informations d'identification a, au pire, un accès étendu aux données et ressources critiques. De plus, les utilisateurs privilégiés ne sont pas les seuls à être menacés. De nombreuses cyberattaques ciblent les comptes des employés réguliers pour les utiliser comme rampe de lancement pour explorer le réseau.
Dans cette optique, les organisations doivent examiner l'impact d'une main-d'œuvre distribuée, des sous-traitants externes et de la surface d'attaque croissante d'une infrastructure informatique hautement distribuée, et envisager de mettre en œuvre de nouvelles stratégies Zero Trust pour mieux répondre à ces nouvelles dynamiques.
Stratégie Zero Trust pour les identités humaines et machine
Avec le modèle Zero Trust, aucun acteur demandant l'accès aux données, applications ou infrastructures sensibles de l'entreprise n'est approuvé en amont. Cependant, les mesures de sécurité ne doivent pas s'arrêter aux identités humaines des utilisateurs. Les identités non humaines et les comptes de service pour les machines, les applications et d'autres charges de travail constituent de plus en plus la majorité des « utilisateurs » dans de nombreuses organisations. Cela est particulièrement vrai dans les environnements cloud et DevOps où les outils de développement, les applications conteneurisées, les microservices et les charges de travail élastiques - qui nécessitent toutes des identités pour communiquer entre elles - jouent un rôle prédominant. Par conséquent, pour améliorer leur posture de sécurité basée sur l'identité, les organisations doivent se concentrer sur la gestion des autorisations d'accès privilégié sur la base d'une approche de confiance zéro.
Sécurité Zero Trust grâce à Privilege Access Management (PAM)
Le périmètre du réseau traditionnel se dissout à mesure que les utilisateurs et les ressources informatiques sont de plus en plus répartis géographiquement. Par conséquent, il n'est plus pratique de baser les décisions d'accès sur des concepts simples tels que "les utilisateurs de confiance sont à l'intérieur du périmètre et les utilisateurs non fiables sont à l'extérieur" et d'utiliser les adresses IP pour cette distinction. Les entreprises doivent supposer que les acteurs de la menace sont déjà à l'intérieur de leurs systèmes. L'approche obsolète « faire confiance mais vérifier » doit être remplacée par « ne jamais faire confiance, toujours vérifier ».
"Ne jamais faire confiance" signifie que les administrateurs légitimes n'ont plus carte blanche pour accéder aux comptes privilégiés. Autrement dit, au lieu d'autoriser les comptes privilégiés partagés tels que root et administrateur local à faire ce qu'ils veulent, les administrateurs utilisent leur compte d'entreprise approuvé par les RH, qui dispose de privilèges de base. Cela évite les erreurs fatales et réduit l'impact si un attaquant compromet ce compte. Les contrôles de sécurité PAM peuvent ensuite accorder de manière sélective des privilèges élevés lorsque la situation l'exige, en fonction de rôles et de politiques centralisés. Plutôt que des identités ayant de larges privilèges tout le temps, cette approche de moindre privilège réduit les risques de sécurité tout en permettant aux administrateurs légitimes de faire leur travail en demandant juste assez de privilèges, juste à temps et pour une durée limitée. Pour assurer une protection efficace, les entreprises doivent appliquer cette approche de manière cohérente à toutes les ressources informatiques, que ce soit dans le centre de données, dans la zone démilitarisée (DMZ), le cloud privé virtuel ou dans des environnements multi-cloud.
En mettant en œuvre cette approche de confiance zéro pour PAM à l'aide de contrôles d'accès à moindre privilège, les organisations minimisent leur surface d'attaque, améliorent la visibilité des audits et de la conformité, et réduisent les risques, la complexité et les coûts.
Étapes importantes sur la voie d'une bonne confiance zéro
PAM est une technologie complexe, mais les organisations peuvent faire des progrès significatifs en matière de sécurité avec seulement quelques notions de base et continuer à améliorer leur niveau de maturité Zero Trust en mettant en œuvre des fonctionnalités de plus en plus avancées. Les premières étapes importantes sont l'amélioration de l'hygiène des mots de passe, la sécurisation des comptes privilégiés partagés et l'application de l'authentification multifacteur (MFA) pour les administrateurs.
1. Bonne hygiène des mots de passe pour les identités humaines et machine
Un seul mot de passe compromis peut potentiellement nuire à l'ensemble de l'organisation. Des mots de passe à haute entropie et difficiles à déchiffrer sont donc indispensables. Les rotations fréquentes des mots de passe réduisent également la fenêtre d'opportunité pour les attaquants potentiels. Ceci est également important pour les comptes non humains. Ils sont rarement modifiés par peur de casser une application ou un service. PAM permet de gérer ces comptes de manière centralisée et d'appliquer une politique de rotation fréquente. Ce faisant, ces solutions peuvent tirer parti d'une fonctionnalité de compte multiplexé pour s'assurer que le mot de passe est synchronisé sur tous les ordinateurs dépendants avant la rotation afin d'atténuer le risque de défaillance de l'application.
Étant donné que l'humain reste le maillon le plus faible de la chaîne de sécurité et donc l'une des principales cibles des attaquants, une formation continue à la sécurité devrait être obligatoire pour tous les utilisateurs, et pas seulement pour les administrateurs.
2. Authentification multifacteur pour les administrateurs
Une autre étape concrète pour renforcer la sécurité des identités est la mise en place de l'authentification multi-facteurs pour tous les administrateurs. Pour les attaquants aussi, le temps c'est de l'argent. Par conséquent, des obstacles de sécurité supplémentaires tels que MFA peuvent inciter un attaquant à simplement passer à la prochaine victime potentielle.
L'utilisation d'un authentificateur physique (par exemple YubiKey, notification push ou biométrie intégrée comme Apple Touch ID) comme deuxième facteur présente un obstacle très élevé pour les attaquants. Cette mesure arrête également les bots ou les logiciels malveillants. Une application cohérente de MFA sur plusieurs points d'accès est essentielle.
3. Sauvegarde des mots de passe
Les identités avec des autorisations permanentes présentent un risque de sécurité important. Les systèmes Linux en particulier sont une excellente source de comptes privilégiés locaux. La meilleure méthode consiste à éliminer autant de ces comptes que possible. Les comptes qu'une entreprise ne peut pas éliminer doivent être conservés dans un coffre-fort de mots de passe et l'accès est limité aux urgences uniquement. Ces deux mesures réduisent déjà considérablement la surface d'attaque. À l'étape suivante, les administrateurs ne devraient recevoir que les autorisations dont ils ont besoin, juste à temps, lorsqu'ils en ont besoin.
Le nombre croissant de cyberattaques réussies montre que les concepts traditionnels de sécurité basés sur le périmètre ne suffisent plus. Car une fois ce mur de protection franchi, les criminels s'en tirent généralement très bien. Les entreprises doivent supposer que les attaquants sont déjà sur leurs réseaux et fonder leurs mesures de sécurité sur cette hypothèse. C'est le seul moyen de protéger tous les actifs et les données sensibles d'une entreprise et de minimiser les dommages causés par les attaques externes et les menaces internes.
Plus sur Sophos.com
À propos de Thycotic Centrify ThycoticCentrify est l'un des principaux fournisseurs de solutions de sécurité des identités dans le cloud qui permettent la transformation numérique à grande échelle. Les solutions de gestion des accès privilégiés (PAM) de ThycoticCentrify, leaders du secteur, réduisent les risques, la complexité et les coûts tout en protégeant les données, les appareils et le code de l'entreprise dans les environnements cloud, sur site et hybrides. ThycoticCentrify bénéficie de la confiance de plus de 14.000 100 entreprises leaders dans le monde, dont plus de la moitié du Fortune XNUMX. Les clients comprennent les plus grandes institutions financières, agences de renseignement et sociétés d'infrastructures critiques du monde. Qu'il soit humain ou machine, dans le cloud ou sur site - avec ThycoticCentrify, l'accès privilégié est sécurisé.