Et s'il y avait un compromis Supply Chain d'un IDP comme Okta ?

25 mars 2022
Luke Richards
Threat Intelligence Lead
Et s'il y avait un compromis Supply Chain d'un IDP comme Okta ?

Un rapport de Luke Richards, Dmitriy Beryoza et Kat Traxler.

L'incident de sécurité survenu récemment chez Okta est un autre exemple de compromission de la chaîne d'approvisionnement. Bien que cette attaque ne semble pas avoir été pleinement réalisée, ce qui fait que le nombre d'entreprises touchées est apparemment limité, elle pose une série de questions intéressantes sur ce à quoi ressemblerait une attaque de la chaîne d'approvisionnement contre une IDP lorsqu'elle serait pleinement réalisée. Le résultat de la compromission d'un PDI ou de toute autre technologie similaire à usage généralisé pourrait être un groupe d'attaquants ayant accès à des millions d'utilisateurs et à des milliers d'entreprises. 

La tactique d'une compromission de la chaîne d'approvisionnement n'est pas nouvelle en soi, avec des brèches récentes très médiatisées comme celles de Kaseya et SolarWinds. Mais l'idée d'une attaque de la chaîne d'approvisionnement axée sur la gestion des comptes est effrayante lorsque l'on se penche sur l'exercice papier de ce qu'une équipe de sécurité devrait faire.      

L'accès aux comptes a joué un rôle dans 85 % des compromissions récentes. Les comptes permettent aux attaquants d'accéder à presque tout dans une organisation, depuis les ressources gérées par cloud dans les applications publiques cloud SaaS jusqu'aux actifs du réseau, sans avoir besoin de charges utiles ou de contact avec des points d'extrémité surveillés. 

Compte tenu des questions posées sur ce qui aurait pu se produire, nous présentons ci-dessous des recommandations à l'intention des équipes de sécurité dans l'éventualité où un IDP ou un autre logiciel axé sur l'identité serait impliqué dans la compromission d'une chaîne d'approvisionnement. Ces recommandations s'appliquent également à la compromission de comptes résultant de tactiques autres que les attaques de la chaîne d'approvisionnement. Pour un attaquant, la chaîne d'approvisionnement n'est qu'une méthode parmi d'autres pour compromettre un compte. La manière dont les attaquants utilisent les comptes compromis pour atteindre leurs objectifs dans un environnement cible, et la manière dont les défenseurs peuvent détecter ces actions et y répondre, sont essentiellement les mêmes, quelle que soit la méthode initiale de compromission.     

Évaluer la situation actuelle 

Obtenir autant d'informations que possible sur la violation.

‍Lorsqu'une compromission implique un tiers, les informations contrôlées publiées par l'organisation touchée et les déclarations des attaquants, il peut être difficile de dresser un tableau complet de la situation. Pour estimer l'ampleur de l'incident, il convient de prendre en compte plusieurs sources d'information dans votre analyse, y compris les commentaires de chercheurs en sécurité indépendants. 

Déterminer le calendrier approximatif de l'infraction

La nouvelle de l'événement de sécurité apparaît parfois des semaines, voire des mois après l'attaque. Pour trouver le plus grand nombre possible d'éléments de référence, il faut ratisser large et définir un délai réaliste au cours duquel l'activité malveillante aurait pu se produire. 

Faites l'inventaire de tout ce que votre fournisseur d'identité touche

Les entreprises modernes utilisent des centaines de services et d'applications différents, et parfois même les SOC ont des difficultés à suivre l'image précise de l'inventaire. Il est donc essentiel d'acquérir une connaissance complète de toutes les entités desservies par le fournisseur afin de couvrir toutes les conséquences d'une violation. 

Examiner l'activité récente dans les journaux et les alertes qui ont été déclenchées.

Les fournisseurs établis devraient disposer de bons journaux de toutes les activités critiques au sein de l'environnement. Armés de l'estimation du calendrier, examinez tous les changements pertinents dans la configuration du système pour repérer tout ce qui pourrait permettre aux attaquants de prendre pied dans votre entreprise : nouveaux utilisateurs administrateurs, autorisations élevées, identifiants d'accès redondants, applications nouvellement installées, dispositifs enrôlés, et ainsi de suite. Les alertes de sécurité enregistrées doivent également être évaluées. 

Étudier toute autre modification susceptible d'offrir un accès redondant.

Il arrive que la journalisation disponible ne soit pas activée ou adéquate. Il vaut la peine de revoir les paramètres de sécurité actuels pour voir si quelque chose a été modifié qui sort de l'ordinaire.   

Atténuer les changements malveillants

Annulation des changements de paramètres malveillants

Cette étape se passe d'explications : toute modification malveillante détectée doit être annulée. Les détails complets doivent être enregistrés afin de dresser un tableau complet de la compromission et de faciliter les activités médico-légales ultérieures. 

Réinitialiser les mots de passe des utilisateurs

Lorsque vous soupçonnez que des comptes d'utilisateurs individuels peuvent être compromis, il peut s'avérer nécessaire de forcer le transfert des informations d'identification de l'utilisateur. Bien que cette mesure soit impopulaire auprès de vos utilisateurs, elle est facile à mettre en œuvre et constitue une étape pratique dans la gestion d'une éventuelle compromission de compte. 

Rotation des clés et des certificats

La réinitialisation des informations d'identification des applications et des services est généralement une activité beaucoup plus complexe et exigeante en termes de main-d'œuvre. Bien qu'elle puisse être inévitable en cas de fuite des secrets concernés, assurez-vous qu'elle est nécessaire avant de vous lancer. 

Révoquer toutes les autorisations excessives des tiers

Certains fournisseurs d'identité (dont Okta) peuvent demander l'autorisation au client d'accéder et de modifier les paramètres du locataire ou d'effectuer un débogage du système. Face à la compromission d'un fournisseur, il serait prudent de révoquer tout accès de ce type déjà accordé. 

Renforcer les défenses 

Réviser les paramètres de sécurité actuels

Il s'agit là d'une autre étape évidente. Un incident de sécurité est une excellente occasion de revoir vos paramètres de sécurité actuels et de les renforcer. Les produits de gestion de la posture de sécurité tels que Siriux, qui peuvent analyser et identifier les lacunes dans les configurations des contrôles Azure AD et M365, peuvent être d'une aide précieuse. 

Installer une solution de surveillance

Même la solution de sécurité la mieux configurée n'est pas à l'abri des failles. Le facteur humain ou les attaques de la chaîne d'approvisionnement (comme une violation de l'IdP) peuvent contourner les défenses externes. Pour faire face aux incidents, vous avez besoin d'une solution de détection et de réponse efficace comme la plateforme Vectra pour surveiller les activités malveillantes et stopper la progression des attaquants. 

Examiner les manuels de réponse aux incidents

Idéalement, vous avez déjà un plan pour faire face à un incident chez votre fournisseur d'identité, et vous l'exécutez en ce moment même. Ceux qui constatent des lacunes dans leur préparation devraient profiter de l'occasion pour mettre en œuvre un plan permettant de faire face aux retombées d'une violation chez un fournisseur d'infrastructures critiques dont dépend votre entreprise. 

Envisager un audit par un tiers

Lorsque la poussière retombe, il est bon de prévoir un audit par un fournisseur de sécurité respectable pour vérifier que votre dispositif de sécurité est bien conçu et qu'il ne présente pas de failles apparentes.  

Quels sont les signes d'un compte compromis ?   

Lorsqu'un ou plusieurs comptes sont compromis, l'impact n'est pas toujours immédiatement visible. En raison de la diversité des actions qu'un compte peut effectuer et de la manière dont les actifs sont gérés, le signal d'un compte compromis se caractérise le plus souvent par une activité anormale liée à l'accès à des services, des fonctionnalités, des hôtes ou des données de valeur. Définir ce qui est anormal et même ce qui a de la valeur n'est évidemment pas une tâche simple.

Si les équipes peuvent fouiller dans les journaux de l'Active Directory du réseau et examiner les actions enregistrées par un service cloud , l'ampleur et la nature ambiguë du problème sont mieux gérées en utilisant des solutions d'IA pour donner un sens à ce qui est anormal et conforme à l'objectif d'un attaquant. Ceci est particulièrement important lorsque l'on est confronté à des scénarios où l'alternative à ne pas savoir précisément qui est compromis est de relancer les informations d'identification, les jetons d'accès et potentiellement les clés privées.

Vectra applique l'IA axée sur la sécurité pour surveiller et répondre aux actions des attaquants avec des comptes compromis couvrant votre entreprise sur les sites hybridescloud, SaaS et AWS. Les alertes se concentrent non seulement sur les anomalies, mais aussi sur le comportement des attaquants. Des techniques comme Privilege Analytics de Vectra, qui comprend automatiquement la valeur des comptes et des actifs dans les environnements hybridescloud et SaaS, peuvent donner un sens à l'anormal en comprenant la valeur des actifs sur la base de leur activité historique.  

Enquêter manuellement sur les comptes compromis et à haut risque 

Pour ceux qui ne bénéficient pas d'une plateforme comme Vectra, les chasseurs de menaces devront évaluer les spécificités de l'incident et la façon dont l'IDP interagit avec leur environnement pour déterminer les comptes potentiels qui sont soupçonnés d'être compromis. Dans le cas d'Okta, cela peut se faire en examinant les changements de compte pendant la période de contrôle de l'attaquant au sein de l'infrastructure IDP, par exemple. 

Au cours des opérations normales, les analystes des opérations de sécurité peuvent consacrer des efforts supplémentaires à la surveillance des comptes à haut profil, tels que les administrateurs de domaine et les comptes de service. Il s'agit en général de comptes robustes et stables, dont le fonctionnement est peu modifié au jour le jour. Lorsque nous sommes contraints d'envisager une attaque de type chaîne d'approvisionnement, l'attention ne se porte plus sur ces comptes à privilèges élevés, mais sur la quasi-totalité des comptes du réseau. Le renouvellement des informations d'identification, des jetons d'accès et éventuellement des clés privées est une tâche qui est non seulement compliquée et longue, mais parfois intenable.

Si un compte est soupçonné d'être compromis ou considéré comme présentant un risque élevé, le meilleur endroit où chercher en dehors des détections est le journal de sécurité d'Active Directory et, en particulier, les ID d'événements suivants 

- 4624 (Un compte s'est connecté avec succès) ce compte produit deux types de notes de connexion. 

- Type de connexion 10 

§ Connexion interactive à distance - Il s'agit de la connexion RDP, de l'assistance à distance ou de la connexion fantôme. Ce type de connexion permet également de se connecter à l'adresse IP distante. 

- Type de connexion 3 

§ Connexion au réseau - Cela indique qu'un utilisateur authentifié se connecte à un service sur l'hôte distant. 

- 4768 Un ticket d'authentification Kerberos (TGT) a été généré. Cet événement indique qu'un compte d'utilisateur est en cours d'authentification sur le réseau. Le TGT est attribué à un compte valide avec un mot de passe valide. Une fois de plus, cet événement génère une adresse IP permettant de suivre un comportement anormal potentiel. 

Le suivi de ces journaux peut révéler l'activité de comptes potentiellement compromis. Les comptes d'applications et de services ont tendance à être très stables, c'est pourquoi Vectra apprend le comportement normal de ces comptes et peut fournir une détection d'anomalie de privilège lorsqu'ils commencent à agir en dehors de leurs modèles établis. Il en va de même pour les comptes plus éphémères ou ceux qui ont un champ d'action plus large, tels que les comptes d'opérateurs ou les comptes d'utilisateurs normaux. Ces comptes sont moins susceptibles d'interagir avec les services qui sont stables et critiques pour l'entreprise, ce qui permet à l'approche de Vectrade surveiller les identités pour détecter les comportements anormaux et orienter l'attention de votre équipe en conséquence.

Pour en savoir plus sur Vectra, n'hésitez pas ànous contacterou àessayer notre démo!

Foire aux questions