Démystifier les attaques avancées de Microsoft Cloud

1er mars 2022

Pour la première fois, des armes de cyberguerre ont été déployées en conjonction avec des armes cinétiques, alors que les tensions entre l'Ukraine et la Russie ont dégénéré en un conflit brûlant.L'un des principaux enseignements est que les organisations qui ont toujours eu l'impression de n'être que des cibles pour des criminels opportunistes peuvent se retrouver face à un acteur motivé, un État-nation. 

À l'adresse Vectra, la mission de notre organisation est de rendre le monde plus sûr et plus juste.Et nous avons l'expérience de la protection des organisations contre les acteurs des États-nations.Si, en raison de ce conflit, votre organisation est attaquée, nous vous aiderons gratuitement. 

En guise d'acompte sur cette promesse, nous aimerions partager un peu de ce que nous avons appris. 

Enseignements tirés de deux années de protection des services Azure AD et Microsoft 365 contre les acteurs étatiques.

En décembre 2020, la National Security Agency a publié l'un des avis de cybersécurité les plus importants de la dernière décennie. Elle y décrivait comment des acteurs étatiques avaient découvert des moyens d'abuser des identités fédérées pour obtenir un accès privilégié à des informations sensibles et manipuler à leur profit des identités d'utilisateurs standard. Ce mois-ci, le ministère de la sécurité intérieure a alerté le monde entier sur le fait que des compromissions d'identité étaient utilisées pour perturber les opérations des entreprises de défense américaines dans le cadre de leurs activités mondiales. 

Pour les équipes de sécurité des entreprises qui utilisent les services cloud de Microsoft pour l'identité, la messagerie et la collaboration avec l'infrastructure SaaS M365, voici quelques conseils rapides pour protéger votre entreprise contre les attaques sophistiquées. 

Surveiller l'intégrité des comptes Service Principal au sein de votre locataire M365 - De nombreuses organisations s'appuient sur les comptes Service Principal pour les charges de travail informatiques hybrides qui fonctionnent entre les systèmes sur site et le site Microsoft cloud. Il est essentiel que des contrôles compensatoires soient utilisés pour renforcer ces comptes afin de réduire la probabilité d'abus et d'optimiser l'audit et la journalisation de la moindre activité impliquant ces comptes. 
Contrôler l'intégrité de l'authentification Authentification multifactorielle pour les utilisateurs à privilèges élevés - Les politiques d'accès conditionnel sont généralement déployées pour contrôler l'utilisation des identités privilégiées au sein de Microsoft cloud. Malheureusement, les attaquants peuvent manipuler les options de configuration pour réduire l'efficacité de l'authentification multifactorielle. Par exemple, si un compte privilégié est activé pour autoriser les protocoles d'authentification traditionnels pour PowerShell, l'AMF est essentiellement contournée. 
Contrôler l'intégrité des appareils mobiles utilisés pour les autorisations Aut henticator - Dans une évaluation récente d'une organisation qui se considérait comme ayant une excellente posture de sécurité, plus de 60% des iPhones associés aux Authenticators Microsoft étaient vulnérables à l'exploitation à distance et au clonage de l'Authenticator Microsoft par un attaquant. L'hygiène des appareils mobiles est essentielle lorsqu'ils constituent un deuxième facteur d'authentification.

Principaux enseignements concernant les attaques de Microsoft Cloud

Les vérifications ci-dessus ne sont en aucun cas exhaustives - des politiques efficaces en matière de mots de passe, la vérification des utilisateurs par rapport aux listes d'identifiants ayant fait l'objet d'une fuite et la gestion des risques liés à la capacité des utilisateurs à consentir à des applications tierces sont autant de mesures précieuses que les organisations peuvent prendre pour limiter leur exposition.

Mais ces trois voies d'attaque constituent des autoroutes majeures que les acteurs sophistiqués et opportunistes de la cyberattaque suivront pour obtenir un accès non autorisé à des identités, à des données sensibles et à des systèmes. En les gérant et en les surveillant, les défenseurs du réseau ont non seulement la possibilité d'accroître la difficulté d'une attaque, mais aussi de découvrir des indicateurs indiquant qu'une attaque est en cours.

Si votre organisation est en difficulté sur ces fronts, contactez-nous - nous pouvons vous aider. Notre équipe Siriux a une grande expérience de la chasse aux menaces dans les locataires M365 et nos conseils de renforcement ont été développés sur la base de l'analyse de certains des locataires les plus attaqués dans le monde.

Rejoignez Aaron le jeudi 03 mars à 16h00 GMT sur le webinaireVectra : Protéger Microsoft 365 des menaces avancées.

‍

Vous voulez en savoir plus ?

Vectra® est le leader de la détection et de la réponse aux menaces hybrides cloud pilotées par l'IA. La plateforme et les services de Vectra couvrent le site public cloud, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et sur cloud-. Les organisations du monde entier s'appuient sur la plateforme et les services Vectra pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous