Le récent piratage de Twitter, qui a compromis plusieurs comptes de premier plan, en est un autre exemple frappant.
L'accès privilégié est un élément clé du mouvement latéral dans les cyberattaques, car les comptes privilégiés ont le plus large éventail d'accès aux informations critiques, ce qui en fait les actifs les plus précieux pour les attaquants. Les attaquants utilisent les comptes à privilèges pour obtenir un accès non autorisé en recourant à de multiples techniques : vol d'informations d'identification, abus de protocole, ingénierie sociale, logiciels malveillants, hameçonnage, pulvérisation de mots de passe, ou simplement deviner des noms de compte et des mots de passe simples et par défaut.
Il y a ensuite la menace d'une mauvaise utilisation par un employé, connu sous le nom de "rogue individu", qui cause intentionnellement des dommages ou vole des données. Ou des problèmes aussi simples qu'un employé autorisé qui commet des erreurs de configuration exposant des comptes ou des systèmes. Les adversaires et les praticiens de la sécurité sont tous deux conscients de l'exposition et du risque que représente l'accès privilégié.
Un récent rapport de Gartner révèle que l'accès privilégié est la principale priorité des praticiens de la sécurité. En outre, Forrester estime que 80 % des failles de sécurité impliquent des comptes à privilèges. En fait, presque toutes les brèches impliquent une forme ou une autre d'abus d'accès privilégié.
Si l'on fait abstraction du site individu ou de l'employé dupé, l'utilisation illégitime d'outils d'administration par des utilisateurs légitimes est difficile à détecter, ce qui explique pourquoi l'accès privilégié reste un vecteur d'attaque critique dans tant de brèches.
L'attaque très médiatisée contre Twitter semble avoir eu un succès limité en termes de gains financiers, mais pour des raisons évidentes, elle a eu un impact significatif en termes de visibilité et de potentiel d'atteinte à la réputation de la marque. Au cours des prochaines heures et des prochains jours, les spécialistes des incidents travailleront d'arrache-pied pour déterminer l'étendue de la compromission et rechercher toute preuve d'orchestration à distance au cas où les attaquants auraient réussi à pénétrer dans les systèmes de Twitter et à y persister.
Dans le rapportVectra 2020 Spotlight Report : L'accès privilégié est-il synonyme d'accès de confiance ?, on apprend notamment que ce sont les secteurs de la finance et de l'assurance, de la santé et de l'éducation qui présentent le plus de comportements anormaux en matière d'accès privilégié, et ce dans neuf secteurs d'activité différents. Ces trois secteurs représentent à eux seuls près de la moitié (47 %) de tous les comportements anormaux détectés en matière d'accès privilégié.
La plateforme Cognito de Vectra adopte une approche d'observation qui se concentre sur les entités privilégiées et fournit des capacités de détection qui mettent en évidence ces comportements malveillants là où les mesures préventives ne suffisent pas.
Que ce soit à l'initiative de individu ou d'un acteur externe, l'observation des privilèges est indispensable en tant que point critique supplémentaire pour établir et comprendre une base de référence des comportements. Si vous êtes prêt à changer votre approche de la surveillance et de la protection de vos entités privilégiées, contactez-nous pour voir une démonstration.