« Les cybercriminels n’ont besoin de viser juste qu’une seule fois, contrairement aux équipes de sécurité, qui n’ont pas le droit à l’erreur. » Ce principe a façonné d’innombrables stratégies de cybersécurité, en avançant qu’une seule compromission de nos défenses peut avoir des conséquences désastreuses.
Face à l’émergence de nouveaux risques et à l’élaboration de tactiques pour échapper aux contrôles par les cybercriminels, les équipes de sécurité ont la lourde tâche de protéger un nombre croissant d’identités connectées. De nombreuses entreprises adoptent désormais des stratégies de résilience, en acceptant que les incidents sont inévitables et que, tôt ou tard, elles feront l’objet d’une attaque. En effet, les équipes de sécurité sont restées focalisées sur la mission impossible de tout protéger dans l’entreprise.
Mais une nouvelle approche de la cyberdéfense apparue ces dernières années au sein du secteur trace la voie vers une stratégie plus efficace. Plutôt que de tout protéger, les équipes de sécurité doivent se donner pour objectif de neutraliser les tactiques, techniques et procédures (TTP) des cybercriminels, qui sont difficiles à remplacer. De cette façon, elles perturberont l’exécution de la chaîne d’attaque.
Qu’est-ce que la chaîne d’attaque ? Et comment la protection des menaces liées aux identités la perturbe-t-elle ? C’est ce que nous allons voir dans cet article.
La pertinence durable de la chaîne d’attaque
Aucun autre concept n’a aussi bien capturé l’essence même des cyberattaques réussies que la chaîne d’attaque (aussi appelée « chaîne de frappe »), développée par Lockheed Martin en 2011. Douze ans plus tard, la chaîne d’attaque reste pertinente, tandis que les équipes de sécurité peinent à prévenir les incidents les plus graves.
Si les cybercriminels ne suivent pas toujours la même séquence d’actions, les phases de base d’une attaque sont en revanche à peu près toujours les mêmes :
Étapes de la chaîne de cyberattaque.
Le défi de la compromission initiale
La première phase de la chaîne d’attaque correspond à la compromission initiale. Les cybercriminels modernes ont recours à un large éventail de tactiques pour infiltrer les entreprises et semer le chaos sur leurs systèmes, des attaques BEC aux prises de contrôle de comptes cloud en passant par les ransomwares.
Une tendance consiste à exploiter des relations tierces de confiance pour compromettre des entreprises par le biais de leurs fournisseurs. Un email initial en apparence inoffensif peut se transformer en compromission d’envergure en un rien de temps. Une fois que des cybercriminels ont obtenu un accès sans restriction au domaine d’une entreprise, ils peuvent infiltrer des comptes de messagerie pour se livrer à des activités frauduleuses.
Fait alarmant, les emails de phishing d’identifiants de connexion peuvent échapper à toute détection et ne laisser aucune trace de compromission ou de malware. Malgré l’essor de l’authentification multifacteur (MFA), ces attaques continuent à se multiplier.
Une fois que des comptes ont été compromis via un email de phishing d’identifiants de connexion ou une session RDP vulnérable, les entreprises entrent dans la phase suivante de la chaîne d’attaque : l’élévation des privilèges et le déplacement latéral sur leurs réseaux.
Phase suivante : élévation des privilèges et déplacement latéral
Il s’agit du milieu de la chaîne d’attaque. C’est également le moment où les cybercriminels essaient de créer des brèches dans les défenses d’une entreprise. Pour ce faire, ils compromettent souvent les identités de collaborateurs, de sous-traitants, de fournisseurs de services ou de terminaux en périphérie. Leur principal objectif est d’exploiter cet accès initial pour élever leurs privilèges, généralement en ciblant Active Directory (AD).
AD, qui est utilisé par de nombreuses entreprises à travers le monde, est vulnérable aux compromissions et peut fournir aux cybercriminels un contrôle sans précédent sur l’infrastructure informatique d’une entreprise. Avec cet accès, ceux-ci peuvent se déplacer latéralement et distribuer des malwares dans toute l’entreprise, causant ainsi plus de dégâts.
Enfin, le risque de fuite de données
Les cyberpirates ne misent pas tout sur un coup de chance. Leur succès repose sur une série de manœuvres précises. Les gains financiers tirés de l’exfiltration de données sont souvent leur objectif. Une fois qu’ils ont parcouru le réseau complexe d’identités, ils peuvent cibler des données précieuses et orchestrer des opérations de vol de données.
Les équipes de sécurité doivent perturber cette chaîne d’événements pour prévenir la fuite de données sensibles, telles que la propriété intellectuelle ou les données personnelles de clients. Elles peuvent alors prendre l’avantage et renverser le cours des événements en leur faveur.
Les trois meilleures opportunités de briser la chaîne d’attaque.
Élaboration d’une cartographie de votre entreprise
Le meilleur moyen de briser la chaîne d’attaque est d’élaborer une cartographie de votre entreprise et de l’examiner dans son intégralité. Grâce à cette vue, les tendances deviennent évidentes :
- La plupart des compromissions initiales découlent d’attaques de phishing et d’identifiants de connexion compromis.
- La majeure partie des élévations de privilèges et des déplacements latéraux ont lieu via Active Directory.
- La plupart des exfiltrations de données surviennent via ces mêmes identités compromises ou les actions d’un utilisateur interne qui dispose déjà d’un tel niveau d’accès.
Pour exfiltrer des données, les cybercriminels se déplacent sur les réseaux et systèmes en passant d’une identité à une autre et en élevant leurs privilèges au fur et à mesure. Une entreprise lambda offre un nombre presque illimité de voies d’attaque, pour la simple raison qu’AD connecte pratiquement toutes les ressources informatiques de l’entreprise.
En pratique, cela peut aller de l’utilisation d’identifiants de connexion mis en cache sur un endpoint compromis à la recherche d’un serveur unique où le groupe d’utilisateurs du domaine est un administrateur local, ce qui permet à leurs outils de s’exécuter dans ce contexte, ou d’innombrables autres combinaisons.
Comment les cybercriminels comprennent-ils la multitude de voies d’attaque disponibles et font-ils leur choix parmi celles-ci ? Ils adoptent une approche semblable à la navigation dans le monde réel : ils utilisent des applications de cartographie.
Tout comme vous pourriez consulter Google Maps ou l’application Plans d’Apple pour vous déplacer dans une nouvelle ville, un cyberpirate avec une identité compromise peut utiliser des outils similaires pour atteindre la destination souhaitée. BloodHound, Impacket et PingCastle en font partie. La destination correspond toujours au plus haut niveau de privilèges dans AD (appelé droit de niveau 0, ou simplement administrateur de domaine).
Si un attaquant infiltre votre « ville », vous pouvez fermer des routes pour l’empêcher d’accéder à vos ressources stratégiques. Mais si vos usagers empruntent une route à des fins légitimes, sa fermeture n’est pas envisageable. Vous devez donc mettre en place un fil-piège sur cette route pour détecter les attaquants tout en autorisant le trafic légitime.
Ces pièges peuvent être des leurres ou de faux identifiants de connexion qu’un cybercriminel pourrait utiliser pour se connecter aux systèmes de votre environnement. Ils vous avertiront lorsqu’un attaquant essaie d’emprunter la route. Grâce à cette visibilité, vous pouvez éviter d’autres incidents plus graves, comme les ransomwares ou le vol de données.
Les cybercriminels détestent lorsqu’ils ne peuvent pas atteindre la destination souhaitée depuis leur emplacement. S’ils ne peuvent pas suivre la voie que leurs outils leur indiquent, ils abandonneront et quitteront votre environnement.
Les cybercriminels cartographient les réseaux et les systèmes.
Zoom sur la détection et la neutralisation des menaces liées aux identités (ITDR)
L’émergence de l’ITDR s’accompagne d’une transformation profonde des pratiques de cybersécurité. Il introduit une nouvelle catégorie d’outils et de bonnes pratiques pour protéger et défendre les identités contre les cybercriminels. Il transforme également la manière dont les entreprises perçoivent la protection des identités. Plutôt que de se contenter de s’assurer de la légitimité des utilisateurs qui accèdent aux systèmes, il élargit le champ d’intervention pour inclure des défenses proactives contre les menaces liées aux identités.
L’ITDR est aujourd’hui une catégorie majeure du marché de la cybersécurité. Ce nouveau statut est une indication claire que les identités méritent le même niveau de contrôle et de protection que celui que les équipes appliquent aux réseaux, systèmes et logiciels. Et il est grand temps d’adopter cette nouvelle approche : selon l’étude The Identity Security Paradox d’ESG, plus de la moitié des entreprises ont été victimes de compromissions suite à l’exploitation d’identités et d’identifiants de connexion.
Gartner a utilisé le terme ITDR pour la première fois début 2022, lorsqu’il a mis en avant les tendances en matière de gestion de la sécurité et des risques. À l’époque, Peter Firstbrook, Research Vice President de Gartner, a insisté sur le fait que les entreprises avaient fait d’importants progrès en matière d’amélioration des fonctionnalités de gestion des identités et des accès (IAM). Mais il a également ajouté que : « Une grande partie de ces progrès se sont concentrés sur les technologies permettant d’améliorer l’authentification des utilisateurs, ce qui élargit en réalité la surface d’attaque pour une part fondamentale de l’infrastructure de cybersécurité. Les outils ITDR peuvent contribuer à protéger les systèmes d’identité, à détecter leur compromission et à effectuer une correction efficace ».
L’incident SolarWinds de 2020 est un exemple de la façon dont les cybercriminels obtiennent un accès aux environnements vulnérables. C’est un rappel brutal de la manière dont nous devons considérer les identités. Il est difficile d’empêcher un cyberpirate disposant de moyens importants d’obtenir un accès initial à un environnement par le biais d’une mise à jour logicielle malveillante ou d’une attaque de la chaîne logistique similaire. Mais le déplacement latéral qui s’ensuit, via Golden SAML, vers l’objectif ultime (souvent des données dans Microsoft 365) est bien plus facile à détecter et à prévenir que la méthode hautement sophistiquée de compromission initiale.
Lorsque vous examinez la chaîne d’attaque dans son intégralité, il est évident que les identités jouent un rôle déterminant dans les attaques. Par conséquent, les équipes de sécurité doivent concentrer leurs efforts sur la protection proactive des identités pour prévenir des incidents similaires. Pour cela, elles doivent d’abord investir dans une solution complète de gestion des identités. Les entreprises peuvent ainsi renforcer leur niveau de sécurité et protéger leurs ressources stratégiques.
Le rôle des solutions ITDR
Si vous souhaitez empêcher les cybercriminels de multiplier leurs attaques, vous devez adopter des mesures proactives. Vous avez également besoin de contrôles de sécurité complets. Grâce aux contrôles robustes des solutions ITDR, vous bénéficiez d’outils qui vous aideront pour différentes tâches :
- Bloquer les attaques de phishing et de malwares ciblées
- Détecter et neutraliser rapidement les prises de contrôle de comptes
- Identifier et bloquer les déplacements latéraux
- Prévenir les élévations de privilèges
- Renforcer vos défenses contre les tentatives d’exfiltration de données
Les solutions ITDR vous aident à vous défendre de façon proactive contre les menaces à un stade précoce. Elles analysent chaque endpoint et référentiel d’identités pour offrir une vue ascendante et descendante sur les risques liés aux identités non gérées, mal configurées et exposées. Les équipes de sécurité bénéficient ainsi de la visibilité dont elles ont besoin pour éliminer les voies d’attaque via Active Directory que les cybercriminels souhaitent utiliser pour déployer des ransomwares et voler des données.
Les solutions ITDR sont un outil essentiel pour briser la chaîne d’attaque. Elles peuvent vous aider à bloquer les attaques avant qu’elles ne deviennent des incidents dévastateurs.
Conclusion
L’essor de l’ITDR en tant que catégorie essentielle du marché prouve que la sensibilisation aux risques liés aux identités croît et qu’il existe un engagement collectif pour renforcer les défenses dans le paysage des menaces dynamique d’aujourd’hui.
En adoptant l’ITDR et les pratiques associées, les équipes de sécurité peuvent contrer les menaces émergentes. Nous pouvons assurer la résilience de nos entreprises malgré les défis constants liés aux identités. En combinant l’ITDR à des solutions couvrant toute la chaîne d’attaque qui bloquent la compromission initiale et à des outils de défens des données, nous sommes mieux armés pour briser la chaîne d’attaque.
L’identité est votre nouveau périmètre de sécurité. Vous avez besoin d’un nouvel ensemble d’outils pour le défendre. Les plates-formes Proofpoint Aegis Threat Protection et Proofpoint Sigma Information Protection unissent leurs forces avec Proofpoint Identity Threat Defense pour briser la chaîne d’attaque. Ensemble, elles offrent une approche basée sur une plate-forme de la protection de vos collaborateurs et de vos données.
En savoir plus sur l’ITDR
Break the attack chain. Détectez et prévenez les risques liés aux identités pour bloquer les déplacements latéraux et les élévations de privilèges grâce aux solutions ITDR de Proofpoint.
Téléchargez votre exemplaire gratuit de New Perimeters
Pour accéder à davantage d’articles et découvrir comment briser la chaîne d’attaque avec Proofpoint Identity Threat Defense, consultez le numéro New Perimeters – L’identité est la nouvelle surface d’attaque.