Menaces Office 365 et inversion du réseau d'entreprise

6 janvier 2021
Oliver Tavakoli
Chief Technology Officer
Menaces Office 365 et inversion du réseau d'entreprise

L'année 2020 a représenté un véritable raz-de-marée de défis pour les entreprises de tous les secteurs, de la santé à l'hôtellerie en passant par l'aviation. Chaque organisation a été contrainte d'adapter un aspect de sa stratégie, que ce soit en réduisant les dépenses, en diminuant le personnel, en recrutant à tour de bras ou en changeant de modèle d'exploitation.

La transformation numérique face à la main-d'œuvre à distance

Bien que l'impact de la pandémie de COVID-19 de 2020 sur l'industrie technologique soit en retard par rapport à d'autres secteurs, il y a tout de même eu un nombre important de changements. De nombreuses organisations ont été contraintes de mettre en œuvre et d'accélérer les initiatives de transformation numérique pour répondre aux besoins d'une main-d'œuvre à distance rapidement déployée.

Les organisations qui avaient beaucoup investi dans le développement et la création d'architectures de sécurité robustes sur site ont dû transformer et mettre à jour de manière significative leur stratégie de sécurité pour se protéger contre les menaces pesant sur les actifs utilisés en dehors des murs de l'entreprise. En fait, l'une des principales prises de conscience et leçons tirées en matière de sécurité en 2020 est que la sécurité de la protection de l'appareil d'un employé, de l'interaction avec Internet et de l'accès aux applications de l'entreprise doit pouvoir voyager avec lui, indépendamment de l'endroit où il se trouve à un moment donné.

Impact de l'adoption de Cloud et de SaaS sur le paysage de la sécurité

Conséquence directe de l'accélération des initiatives de travail à domicile, l'adoption et l'utilisation quotidienne de cloud et des applications SaaS (Software-as-a-Service) ont fait un bond en 2020, ce qui a engendré de nombreuses nouvelles menaces. Les attaques ciblant les comptes d'utilisateurs SaaS et cloud figuraient parmi les problèmes les plus fréquents et à la croissance la plus rapide pour les entreprises, même avant que le COVID-19 n'impose le passage rapide et massif au travail à distance.

Les organisations ayant augmenté leur utilisation des logiciels cloud , des applications telles qu'Office 365 ont dominé l'espace de productivité. La plateforme Office 365 compte plus de 250 millions d'utilisateurs actifs chaque mois et est devenue la base du partage, du stockage et de la communication des données d'entreprise, ce qui en fait également un trésor incroyablement riche pour les attaquants.

Il n'est donc pas surprenant qu'Office 365 soit devenu la cible des attaquants en 2020, entraînant des pertes financières et de réputation considérables, malgré l'adoption croissante de l'authentification multifactorielle et d'autres contrôles de sécurité destinés à barrer la route aux attaquants. Parmi les violations impliquant Office 365, les prises de contrôle de comptes ont été la technique d'attaque la plus répandue et celle qui a connu la croissance la plus rapide.

Outils exploités par des attaquants dans l'environnement Office 365

Les attaquants se concentrent désormais sur la prise de contrôle de comptes plutôt que sur la compromission d'e-mails pour obtenir un accès initial à un environnement. Selon une étude récente, le mouvement latéral est la catégorie de comportement suspect la plus courante dans les environnements Office 365, suivie de près par les tentatives d'établir une communication de commande et de contrôle. Deux outils Office 365 se sont révélés précieux pour les attaquants : Power Automate et eDiscovery Compliance Search.

Microsoft Power Automate, anciennement Microsoft Flow, automatise les tâches quotidiennes des utilisateurs dans Office 365 et Azure et est activé par défaut dans tous les locataires d'Office 365. Il peut réduire le temps et les efforts consacrés à l'accomplissement de certaines tâches pour les utilisateurs - mais comme pour PowerShell, les attaquants ont tendance à vouloir automatiser les tâches également. Avec plus de 350 connecteurs d'applications disponibles, les cyber-attaquants qui utilisent Power Automate disposent d'un large éventail d'options. Office 365 eDiscovery Compliance Search permet de rechercher des informations dans tout le contenu d'Office 365 à l'aide d'une simple commande. Toutes ces techniques sont activement utilisées aujourd'hui, et elles sont fréquemment utilisées conjointement tout au long du cycle de vie de l'attaque.

Le nombre de menaces ciblant les utilisateurs d'Office 365 et d'autres plateformes similaires continuera sans aucun doute à augmenter en 2021. L'identification des abus d'accès des utilisateurs a traditionnellement été abordée à l'aide d'approches basées sur la prévention et centrées sur les politiques, ou s'est appuyée sur des alertes qui identifiaient les menaces potentielles au fur et à mesure qu'elles se produisaient, ce qui laissait peu de temps pour réagir de manière appropriée. Ces approches traditionnelles continueront à échouer car elles montrent seulement qu'un compte approuvé est utilisé pour accéder à des ressources et ne fournissent pas d'informations plus approfondies sur la manière dont les ressources sont utilisées ou sur les raisons de cette utilisation, ni sur la question de savoir si le comportement observé pourrait être utile à un attaquant.

En 2021, les équipes de sécurité doivent se concentrer sur la mise en œuvre de mesures qui fournissent un aperçu plus détaillé de la façon dont leurs utilisateurs utilisent les actions privilégiées - connues sous le nom de privilèges observés - dans les applications SaaS comme Office 365. Il s'agit de comprendre comment les utilisateurs accèdent aux ressources d'Office 365 et à partir d'où. Il s'agit de comprendre les modèles d'utilisation et les comportements, et non de définir des politiques d'accès statiques.

On ne saurait trop insister sur l'importance de surveiller l'utilisation abusive de l'accès des utilisateurs aux données SaaS, compte tenu de sa prévalence dans les attaques réelles. Les plates-formes SaaS sont un refuge pour les mouvements latéraux des attaquants, d'où la nécessité de surveiller l'accès des utilisateurs aux comptes et aux services.

Mesures de sécurité et considérations pour l'avenir

À l'horizon 2021, quelles sont les autres considérations de sécurité auxquelles les entreprises doivent se préparer ? L'inversion du réseau d'entreprise restera prédominante, car de nombreuses entreprises dans le monde se concentrent sur l'adoption d'une structure de travail hybride plus permanente ou complètement à distance pour augmenter la productivité, réduire les frais généraux et offrir aux employés une plus grande flexibilité. Il n'est plus question que les données hautement sensibles et confidentielles soient uniquement conservées sur place, où un petit nombre d'exceptions sont faites dans les politiques de protection du pare-feu pour permettre les communications sortantes.

En 2021, la dépérimètrisation des réseaux de l'entreprise sera enfin acceptée comme la norme, ce qui est prévu depuis des années et que la pandémie a accéléré. L'un des principaux indicateurs de cette évolution est le fait que les entreprises abandonnent Active Directory (architecture traditionnelle sur site) et transfèrent toutes leurs identités vers Azure AD (une technologie moderne compatible avec cloud).

L'une des meilleures choses qu'une organisation puisse faire pour se préparer aux défis de la sécurité en 2021 est d'investir dans détection et réponse aux incidents (NDR ) et de fournir un accès utilisateur via une architectureZero Trust . Les entreprises devraient réfléchir à l'endroit où se trouvent leurs données les plus importantes (très probablement sur le site cloud et dans les applications SaaS) et déterminer l'efficacité de leur équipe de sécurité à débusquer les attaquants de tous ces endroits avant qu'ils ne causent des dommages substantiels.

Pour découvrir comment NDR et Zero Trust peuvent aider les organisations à atteindre ces objectifs, planifiez une démonstration dès aujourd'hui.

Foire aux questions