Avec l'augmentation des attaques basées sur l'identité et la cause de brèches majeures, l'authentification multifactorielle (AMF) a été largement adoptée par les entreprises, les organisations et les gouvernements du monde entier. Mais comme près de 90 % des organisations subiront des attaques basées sur l'identité en 2023, la mise en œuvre de l'AFM ne suffit pas.
Comme nous le savons, l'authentification multifactorielle implique deux et souvent trois facteurs de vérification de l'identité avant d'accorder à un utilisateur l'accès à des données, à un réseau, à un compte ou à une application.
Trois types d'authentification
L'authentification à facteur unique est très simple. En tant qu'utilisateur, vous saisissez un code à trois ou quatre chiffres - c'est-à-dire quelque chose que vous connaissez - pour accéder à vos messages téléphoniques, à vos comptes bancaires en ligne, etc. Cependant, le recours à des authentificateurs à facteur unique s'est avéré peu protecteur. Les pirates ont rapidement trouvé des moyens de copier, voler ou deviner les codes "secrets" et d'accéder aux comptes privés.
L'authentification à deux facteurs ou en deux étapes implique un élément que vous connaissez, tel qu'un code PIN ou un code secret, et l'ajout d'un élément que vous possédez, tel qu'un appareil mobile personnel, pour recevoir une notification push ou un message texte. Dans cet exemple, il y a deux niveaux de vérification. Pour accéder à l'utilisateur, il faut connaître son code secret et avoir un accès immédiat à son appareil mobile.
L'authentification multifactorielle qui va au-delà de deux facteurs ajoute un troisième facteur - c'est-à-dire quelque chose que vous êtes - un attribut physique qui vous est propre, comme une empreinte digitale, la voix ou la reconnaissance faciale. L'AMF requiert généralement les trois facteurs pour que l'utilisateur obtienne l'accès qu'il recherche.
Le paysage de la sécurité de l'AMF et les attaques basées sur l'IA
En réalité, les risques liés à l'utilisation de l'AMF en tant que procédure efficace de sécurité de l'identité continueront probablement à augmenter à l'avenir. La principale raison en est l'émergence de cyberattaques basées sur l'intelligence artificielle ou l'IA, qui se sont intensif iées en 2023. L'IA et l'apprentissage automatique s'avèrent être de formidables multiplicateurs de force, permettant aux cybercriminels de lancer des attaques hautement complexes et automatisées qui contournent ou dépassent les protections habituelles de l'AMF.
Par exemple, les attaques alimentées par l'IA peuvent personnaliser les attaques de spear-phishing pour se concentrer spécifiquement sur une seule personne afin de tromper l'utilisateur en lui faisant croire que l'attaquant est cette personne. Les attaques pilotées par l'IA usurpent l'identité d'un utilisateur de confiance en ingérant des milliers de points de données provenant de sources publiques, de publications sur les médias sociaux et de comportements en ligne afin d'évaluer les goûts et les caractéristiques spécifiques de cette personne et de créer des messages et une présence en ligne profondément faux mais très persuasifs. Ces attaques et d'autres types d'attaques basées sur l'IA deviendront de plus en plus courantes en 2024.
Les attaquants de la brèche Okta sont si heureux que vous ayez choisi l'AMF
Mais les attaques basées sur l'IA ne sont pas les seules à alimenter l'augmentation des attaques d'identité. En réalité, même si vous faites tout ce qu'il faut, les attaquants peuvent toujours contourner vos contrôles préventifs. En fait, plusieurs risques situationnels courants conduisent à des attaques basées sur l'identité très réussies et très publiques.
Par exemple, la violation d'Okta en novembre 2023 n'était pas une attaque pilotée par l'IA, mais simplement le résultat d'un programme de gestion de l'accès à l'identité (IAM) sans visibilité suffisante sur les utilisateurs, l'accès à leur compte ou le suivi des informations d'identification. Les pirates ont obtenu un accès non autorisé au réseau par le biais d'informations d'identification volées d'un compte de service stocké sur leur système et ont accédé à toutes les informations personnelles de chaque titulaire d'un compte Okta.
La violation a été réalisée par une simple attaque basée sur l'identité que le MFA n'a pas été en mesure de prévenir ou de détecter à temps. La violation d'Okta confirme l'adage selon lequel les personnes sont à la fois notre atout le plus précieux mais, selon la situation, peuvent également représenter le plus grand risque, même pour les organisations les mieux préparées.
L'attaque d'Okta n'était certainement pas très innovante, mais elle a fonctionné.
Menace situationnelle Risques
Il est essentiel de comprendre que la violation d'Okta était due à des risques de menaces situationnelles, qui sont beaucoup plus contrôlables que les menaces induites par l'IA si vos capacités de détection sont ce qu'elles devraient être. Il y a, bien sûr, l'ironie de la violation d'Okta dans la mesure où il s'agit du leader de l'authentification multifactorielle (MFA), qui est spécifiquement conçue pour prévenir les attaques basées sur l'identité. Cependant, les risques liés aux menaces situationnelles restent une cause fréquente d'attaques basées sur l'identité.
La bonne nouvelle, c'est que même si elles sont souvent utilisées, elles peuvent être évitées avec la bonne solution de détection et de réponse aux menaces liées à l'identité. Sachant cela, la première chose à faire est d'évaluer les risques de menaces situationnelles dans votre propre environnement. Les risques ne sont peut-être pas aussi évidents que vous le souhaiteriez. Pourtant, en y regardant de plus près, vous trouverez des risques situationnels qui peuvent ne pas être couverts - ou découverts - par vos pratiques et procédures de gestion des accès aux identités (IAM) ou même de gestion des accès privilégiés (PIM).
Voici les cinq principales menaces situationnelles contrôlables qui contribuent à l'augmentation rapide des attaques basées sur l'identité et qui, avec la bonne solution, peuvent être facilement évitées.
1. Activités liées aux fusions et acquisitions
Les activités de fusion et d'acquisition (F&A) sont en hausse, les opérations de capital-investissement et les transactions entre entreprises devant augmenter de 12 % à 13 % en 2024. Si votre organisation est engagée dans une activité de fusion et d'acquisition - ou prévoit de l'être - sachez que la tolérance au risque d'une organisation est à son niveau le plus bas pendant le processus de fusion et d'acquisition.
Il y a plusieurs raisons à cela. Tout d'abord, au niveau d'analyse le plus élevé, chaque phase de l'activité de fusion et d'acquisition introduit de nouveaux comportements, de nouvelles personnes, de nouveaux processus, de nouveaux objectifs et de nouveaux événements dans la vie quotidienne de votre organisation. Ces changements auront un impact sur tous les niveaux de l'organisation, depuis les employés de base jusqu'à la direction. En bref, les nouvelles réalités s'accompagnent de nouveaux risques.
Au niveau opérationnel, le processus de fusion et d'acquisition implique de nouvelles stratégies, la sélection de nouvelles personnes, l'harmonisation de pratiques de diligence raisonnable différenciées, des perturbations dans les routines, le partage de données, de nouveaux processus d'intégration de systèmes, de nouvelles transactions et d'autres changements de situation et de comportement. Chacun de ces changements présente de nouveaux défis et de nouveaux risques. Certains de ces risques seront évidents, d'autres ne le seront peut-être pas.
Au niveau culturel et des ressources humaines, la conciliation des pratiques commerciales quotidiennes, du comportement des employés, des attentes en matière de gestion des risques et des défis liés à l'intégration du personnel peut également entraîner des risques situationnels nouveaux et inconnus. En outre, par nature, les fusions et acquisitions impliquent généralement des suppressions d'emplois, ce qui peut se traduire par des employés mécontents, des conflits territoriaux entre les membres du personnel et d'autres modèles de comportement susceptibles de poser des risques liés à l'identité.
À tous ces facteurs s'ajoute la volonté du conseil d'administration et de la direction générale de conclure l'opération en limitant au maximum les perturbations et les pertes commerciales. Cela peut signifier que certains cadres prennent des raccourcis par rapport aux meilleures pratiques en matière de procédures ou de gestion des risques, par exemple en partageant trop de données trop tôt, en accordant un accès de haut niveau lorsque cela n'est pas nécessaire, et en prenant d'autres raccourcis pour conclure l'opération plus rapidement.
Ces risques, ainsi que d'autres risques situationnels, sont inhérents aux fusions et acquisitions.
2. Les organisations qui détiennent des données sensibles ou des infrastructures critiques sont des cibles de grande valeur
Une autre forme de risque situationnel concerne les entreprises et les organisations qui travaillent avec des données et/ou des infrastructures de grande valeur ou qui en possèdent. Elles sont donc plus susceptibles d'être la cible d'attaques identitaires.
Par exemple, Okta, avec son infrastructure critique, a une probabilité élevée d'être ciblée par des attaquants d'identité. Une société de services financiers dont les actifs se chiffrent en milliards de dollars serait un autre exemple d'entreprise présentant une probabilité élevée de risque situationnel d'attaque d'identité. Les entreprises du secteur de l'énergie disposant d'une infrastructure nucléaire, les entreprises du secteur de la santé, les entreprises de télécommunications, les cabinets d'avocats et certains fabricants présentent également des risques situationnels élevés en matière d'attaques d'identité.
3. Risque lié à l'accès de tiers
Le risque d'attaques basées sur l'identité augmente au fur et à mesure que les organisations utilisent des applications, des contractants tiers et des services externes et qu'elles s'y fient. Le maintien d'un contrôle d'accès strict aux réseaux, services et applications sensibles devient plus difficile à mesure que le nombre de partenaires, de sous-traitants et de fournisseurs tiers augmente.
Par exemple, les attaquants peuvent utiliser les identités Microsoft pour accéder aux applications Microsoft connectées et aux applications SaaS fédérées. Les attaques dans ces environnements ne se produisent pas en exploitant des vulnérabilités en tant que telles, mais en abusant des fonctionnalités natives de Microsoft. Le groupe d'attaquants Nobelium, lié aux attaques de SolarWinds, a été documenté comme utilisant des fonctionnalités natives telles que la création de Federated Trusts pour obtenir un accès ininterrompu à un locataire Microsoft.
Les organisations qui font appel à de multiples partenaires et tiers trouveront également problématique de devoir contrôler leurs partenaires pour s'assurer que les procédures de gestion des risques et des accès sont bien suivies et appliquées. Des niveaux d'expertise différents, des partenaires commerciaux géographiquement dispersés, ainsi que des coutumes et des attentes comportementales culturellement différentes sont autant de risques d'atteinte à l'intégrité des organisations.
4. individu Risques liés aux menaces et à la réduction des effectifs/aux licenciements
Vos employés peuvent être une source majeure de risque pour leur identité. Même aujourd'hui, alors que le danger des cybermenaces est bien connu, la plupart d'entre eux ne suivent pas les protocoles de sécurité les plus élémentaires pour protéger leur identité.
Par exemple, 62 % des professionnels utilisent un seul mot de passe pour plusieurs comptes, ce qui rend les attaques basées sur l'identité beaucoup trop faciles. Cela explique pourquoi 31 % des organisations interrogées disent avoir subi des attaques par force brute ou par pulvérisation de mot de passe au cours de l'année écoulée. Les VPN peuvent aider à vérifier et à autoriser l'accès de tiers à distance, mais leur visibilité est limitée.
Les réductions d'effectifs et les licenciements peuvent également être une cause importante de menaces basées sur l'identité individu . Par exemple, près d'un ancien employé sur trois a toujours accès au SaaS de l'entreprise. Avec les plateformes basées sur cloud comme Microsoft 365, qui ont de nombreux points d'accès, les cybercriminels peuvent accéder aux informations d'identification de vos anciens employés par le biais de leur appareil personnel sous-protégé, d'applications partagées ou d'autres moyens.
5. Accès excessif des employés
Un autre risque situationnel très courant consiste à donner aux employés un accès aux données, aux applications et aux réseaux supérieur à ce dont ils ont besoin pour accomplir leur travail. Un accès excessif peut se produire lorsque les nouveaux employés se voient accorder un niveau d'accès fixe ou standardisé au réseau, aux systèmes et aux applications de l'entreprise qui dépasse ce qui est nécessaire à leur rôle.
Un accès excessif ouvre la porte à des employés de bas niveau, peu responsables, qui peuvent ne pas surveiller leurs porte-clés, ordinateurs portables ou facteurs d'authentification comme ils le devraient, et devenir des vecteurs involontaires d'attaques basées sur l'identité. Dans ces cas, les outils de gestion des identités et des accès sont inefficaces parce que l'accès excessif a été accordé, de sorte que l'abus n'est pas reconnu.
C'est également le cas lorsque les employés se voient accorder un niveau d'accès autorisé plus élevé pour un projet ou un objectif spécifique. Une fois la tâche ou le projet achevé, l'accès élevé n'est pas révoqué, ce qui entraîne un risque d'abus d'identité.
Il n'y a pas que les employés à faible niveau d'accès qui présentent des risques d'accès qui ne peuvent pas être atténués par les outils IAM ou PAM. Les identités privilégiées, en particulier les comptes de service, sont difficiles à surveiller et à contrôler les autorisations d'accès. Par conséquent, les équipes de sécurité ont souvent peu de visibilité sur les données et/ou les actifs sensibles auxquels leurs employés privilégiés accèdent et sur les raisons de cet accès.
Un autre scénario courant d'excès d'accès est celui d'un employé qui change de division ou de rôle au sein de l'entreprise ou de l'organisation. Les niveaux d'accès antérieurs peuvent rester ouverts inutilement, son ordinateur portable peut ne pas être débarrassé de ses accès antérieurs ou ses porte-clés peuvent ne pas être collectés ou désactivés. Il s'agit là de risques situationnels courants qui peuvent augmenter le risque d'une attaque basée sur l'identité.
Le manque de visibilité sur l'accès et le comportement des utilisateurs augmente les risques liés à l'identité
Le manque de visibilité sur les accès, les identités et les comportements des utilisateurs est le point commun de la plupart des risques situationnels, y compris les cinq énumérés dans cet article. De plus, les équipes SOC seront de plus en plus confrontées à la difficulté de défendre leurs organisations contre les risques liés à l'identité à l'avenir.
Il y a plusieurs raisons à cela.
L'explosion des applications SaaS a rendu très difficile pour les équipes de sécurité informatique l'accès et la visibilité des applications SaaS, de l'identité des utilisateurs et de leur comportement au sein du réseau.
L'expansion du travail à distance a rendu plus difficile la détermination de l'identité et de la nécessité des employés tiers accédant au réseau. Cette tendance va se poursuivre.
L'augmentation rapide du nombre d'identités augmente la menace des risques liés à l'identité. Les statistiques sont stupéfiantes. Environ 98 % des organisations ont constaté une augmentation du nombre d'identités (ISDA). En outre, pour chaque identité humaine, il y a 45 identités de machines/services, et 62 % des organisations n'ont pas de visibilité sur les employés ou les machines qui accèdent à leurs données et actifs sensibles.
Ces facteurs rendent les programmes IAM moins efficaces qu'ils ne devraient l'être et peuvent permettre à des utilisateurs non vérifiés d'obtenir un accès à partir d'adresses IP non autorisées et d'accéder à des données restreintes, voire pire. Sans visibilité, il peut être difficile, voire impossible, d'appliquer les règles relatives au partage des comptes par les employés et de déterminer le statut d'emploi d'une personne ou son comportement au sein du réseau à un niveau granulaire.
Tirer parti de l'IA pour obtenir une visibilité et un contexte situationnel de l'identité et du comportement de l'utilisateur
La clé pour comprendre et arrêter les risques liés à l'identité est d'être capable d'inverser les principaux facteurs de risque situationnels. Ces facteurs comprennent le manque de visibilité sur l'identité de l'utilisateur, la garantie que le niveau d'accès de l'utilisateur au réseau est approprié et la capacité à contextualiser rapidement le comportement de l'utilisateur. Votre équipe SOC doit être en mesure de vérifier automatiquement un utilisateur, d'obtenir instantanément une visibilité sur le comportement de l'utilisateur au sein du réseau et sur cloud, et de le corréler immédiatement avec le niveau d'accès et les tâches de l'utilisateur, quel que soit l'endroit où il se trouve.
Déterminer l'identité et la nécessité des employés tiers qui accèdent au réseau et à cloud, par exemple, est un défi courant. Il peut toutefois être résolu avec la bonne solution qui offre une visibilité approfondie sur les environnements hybrides des entreprises. Mais sans visibilité, il peut être difficile, voire impossible, d'appliquer les règles relatives au partage des comptes par les employés, de déterminer le statut d'emploi d'une personne ou son comportement au sein de l'environnement hybride à un niveau granulaire.
En outre, la protection des organisations par des réponses appropriées automatisées est également nécessaire pour minimiser le risque d'attaques basées sur l'identité. La remédiation instantanée pilotée par l'IA permet à votre équipe d'arrêter les comportements non autorisés, d'éliminer l'accès et de prévenir les brèches, les abus d'application, l'exfiltration ou d'autres dommages, en quelques minutes, et non en quelques mois.
C'est très important.
Vectra ITDR s'appuie sur l'IA Attack Signal IntelligenceTM pour signaler les comportements d'identité actifs et cachés tels que les administrateurs furtifs, les comptes de service mal utilisés et les ouvertures de session malveillantes sur de multiples surfaces d'attaque. Grâce au contexte complet des incidents et à la connaissance du comportement des attaquants, il garantit une vision à 360 degrés des attaques basées sur l'identité avec >80% de bruit d'alerte en moins par rapport aux autres outils.
Vectra AI offre une clarté de signal, une couverture et un contrôle inégalés, permettant aux entreprises de voir immédiatement, de comprendre et d'arrêter les connexions non autorisées, l'accès au moteur de script, l'abus d'applications de confiance, les changements de fédération de domaines et l'abus généralisé de privilèges sur le réseau et sur cloud avant l'apparition de ransomware et de violations de données.
Réservez dès aujourd'hui une analyse gratuite des lacunes en matière d'exposition à l'identité et évaluez votre niveau de protection en cas d'atteinte potentielle à l'identité.