DSI NumériquePartage d'expériencesCombattre le vol d’identifiants avec l’automatisation

Combattre le vol d’identifiants avec l’automatisation

La réponse au casse-tête des CISOs

 

Plus de 24 Milliards d’identifiants volés sont disponibles sur Internet et le Darkweb.Leur exploitation par les groupes de cybercriminels représente le premier vecteur d’attaque, loin devant le phishing et l’exploitation de vulnérabilités. En utilisant ces identifiants, les attaquants prennent le contrôle des comptes utilisateurs et exposent les organisations à des violations, à des ransomwares et au vol de données.

 

Bien que les CISOs soient conscients de cette menace et disposent souvent d’outils pour réduire ce risque, l’actualité démontre que leur application s’avère largement insuffisante.Une démarche structurée et continue permet de réduire l’exposition au risque mais elle représente une charge trop importante pour des équipes sécurité souvent limitées. L’automatisation de la détection et de l’identification des risques réels pour l’organisation constitue la seule réponse adaptée à la dynamique des cybermenaces.

 

Nature du risque

 

80% des violations d’applications Web impliquent des identités compromises. Les attaquants utilisent des techniques comme l’ingénierie sociale, la force brute et l’achat d’identifiants sur le Darkweb pour compromettre les identités et obtenir un accès aux ressources des organisations.

 

Ils tirent souvent parti des faiblesses suivantes :

  • Mot de passe unique entre plusieurs applications
  • Mot de passe commun entre applications personnelles et professionnelles
  • Mots de passe stockées dans les navigateurs
  • Réutilisation de mots de passe ou durée de vie importante
  • Identifiants non utilisés (collaborateurs ayant quitté l’entreprise, prestataires, comptes de service, etc.)
  • Mots de passe partagés entre différents utilisateurs

 

Le principal défi pour l’organisation est que les attaquants n’ont besoin que d’un seul identifiant valide pour s’introduire.

 

Mitigation du risque

 

Pour réduire leur exposition au risque, les organisations doivent se concentrer sur ce qui est exploitable du point de vue des attaquants.

 

Une méthodologie efficace repose sur les étapes suivantes :

 

  1. Collecter les identifiants dérobés

 

Pour commencer à résoudre le problème, les équipes sécurité doivent collecter des données sur les identifiants qui ont été dérobés à divers endroits du Web et sur le Darkweb. Des outils comme HaveIBeenPwned ou celui de l’Institut Hass-Platner sont utiles. Cette étape permet d’obtenir un premier état de la situation et d’identifier les comptes individuels qui doivent être mis à jour.

 

  1. Identifier le risque d’exposition réel

 

Une fois les données collectées, les équipes sécurité doivent déterminer quels identifiants peuvent être réellement exploités.

Pour ce faire, elles doivent utiliser des techniques similaires à celles des attaquants :

  • Vérifier si les identifiants permettent l’accès aux ressources externes, tels que les services Web et les bases de données
  • Tenter de déchiffrer les hachages de mots de passe capturés
  • Valider les correspondances entre les identifiants dérobés et les outils de gestion des identités de l’organisation, tels que l’Active Directory
  • Tester des variantes pour identifier de nouvelles identités qui pourraient être compromises : les utilisateurs utilisant généralement les mêmes modèles de mot de passe
  1. Réduire le risque d’exposition

Après avoir validé les identifiants dérobés qui exposent réellement l’organisation, les équipes sécurité doivent prendre des mesures ciblées pour atténuer le risque.

Par exemple :

  • Supprimer les comptes inactifs divulgués de l’Active Directory
  • Initier des changements de mot de passe pour les utilisateurs actifs
  • Revoir les processus et la politique de gestion des mots de passe (durcissement, cycle de vie)

 

  1. Mettre en place une démarche de validation continue

 

Les techniques des attaquants tout comme la surface d’attaque des organisations évoluent en permanence, en particulier en termes de comptes utilisateurs. Par conséquent, un effort ponctuel pour identifier, vérifier et réduire le risque d’exposition des identifiants est insuffisant.  Pour combattre durablement ce risque, les organisations doivent adopter une démarche de traitement continu. Cependant, la charge que représente ces actions manuelles est trop importante pour des équipes de sécurité aux ressources limitées.

 

La seule façon de gérer efficacement la menace est d’automatiser le processus de validation.

 

Automatisation

 

Depuis 2021, le cabinet Gartner a introduit cette automatisation au travers des concepts « Automated Penetration Test and Red Team Tool » et « External Attack Surface Management ». Ces concepts rassemblent des techniques visant à identifier de façon continue les risques exposant la surface d’attaque des organisations afin de concentrer le travail de remédiation sur les risques avérés.

 

 

Parmi les acteurs, la société Pentera constitue aujourd’hui le leader de la cybervalidation automatisée.

Utilisant les dernières techniques d’attaques les plus avancées, leur solution permet de réaliser de façon automatique et continue des attaques éthiques afin de mettre en évidence les vulnérabilités statiques et dynamiques.  Ces tests sont exécutés aussi bien depuis l’extérieur que depuis l’intérieur de l’organisation, permettant de couvrir toute la surface d’attaque.

 

Parmi les fonctionnalités, le module « Leaked Credentials » automatise les étapes de découverte des identifiants dérobés et la vérification de l’exposition qu’ils représentent pour l’organisation :

  • Sur les services externes (SaaS, sites Web, messagerie)
  • Sur les services internes (applications, postes de travail, serveurs, éléments d’infrastructure).

 

Le résultat de ces investigations présente les vecteurs d’attaques complets ainsi que la description des actions de remédiation à réaliser par les équipes sécurité. La communication avec des outils de type SIEM ou ITSM permet d’intégrer ce processus dans le processus global de gestion du risque de cybersécurité. Ces solutions correspondent à l’avenir de la surveillance, de la détection et de la prévention des menaces.

 

Jérôme BEAUFILS, dirigeant de la société SASETY

Articles récents

Cela pourrait aussi vous interesser
Innovations

Build et Run : les deux faces de la transformation digitale

S’appuyer à tout moment sur des plateformes reposant sur...

SCC présente son tour de France en amont des Jeux Olympiques et Paralympiques de Paris 2024

SCC France, leader auprès de partenaires technologiques majeurs, va à...

Pourquoi la conformité réglementaire doit inclure les outils de chats et messageries instantanées

Aligner ses processus de gestion et d’échange avec les...

Provectio renforce sa stratégie de croissance avec une levée de fonds

Provectio, un fournisseur de services informatiques de référence, annonce...

Nouvelle solution de communication : découvrez ÉHO.CONNECT par Eho.Link

Eho.Link, concepteur de solutions de cybersécurité souveraines, dévoile sa...

Livre Blanc : Fin de la maintenance standard pour SAP ECC et SAP S/4HANA

"Chez delaware, nous tenons à informer pleinement nos clients...

Le DSI au Codir : stratégie d’entreprise ou ambition personnelle ?

La présence au Codir est-elle le Graal à conquérir...

La plateforme d’évaluation du risque cyber de Trustable disponible sur le marché : une réponse aux besoins des entreprises

Trustable, éditeur d’une plateforme dédiée à l'évaluation du risque...

Label Cybersecurity made in Europe : Altospam confirme son engagement en faveur de la souveraineté numérique

L’éditeur souverain Altospam, pionnier et acteur historique de la cybersécurité...

Enjeux de sécurité numérique : Les constats et recommandations du baromètre 2023

Docaposte, filiale du groupe La Poste et leader français...

Infrastructures IT : clés de la souveraineté numérique

De nos jours, les acteurs de l’IT sont invités...

Unitel Technologies innove au salon Global Industrie avec un réseau 5G mobile et sécurisé

Unitel Technologies, fournisseur de services Telecom et Cloud de...