Silverfort Research constate que les deux tiers des entreprises synchronisent leurs mots de passe on-premise vers les environnements dans le cloud, les rendant vulnérables aux cyberattaques
La société dévoile son premier rapport exclusif Identity Underground 2024, entièrement consacré à la fréquence et à la prévalence des expositions à la menace liées à l'identité
Alphv BlackCat et Lockbit, les auteurs de menaces par rançongiciel, puisent dans les lacunes en matière d'identité pour voler des informations d'identification, se faufiler au travers des privilèges et se déplacer dans des organisations sans être détectés
TEL AVIV, Israël & BOSTON, 23 avril 2024 /PRNewswire/ -- Aujourd'hui, Silverfort, l'entreprise de protection unifiée de l'identité a dévoilé son rapport Identity Underground, qui met en lumière la fréquence des lacunes en matière de sécurité d'identité qui mènent à des attaques réussies contre des organisations dans tous les secteurs et toutes les régions. Alimenté par les données exclusives de Silverfort, le rapport est le premier du genre. Il met l'accent sur l'identité en tant que vecteur d'attaque et offre un aperçu de l'exposition aux menaces liées à l'identité (Identity Threat Exposures, ou ITE) qui ouvre la voie aux cyberattaques. Les données, les analyses et les renseignements aident les équipes de l'identité et de la sécurité à évaluer leurs programmes de sécurité, ce qui leur permet de prendre des décisions éclairées sur les investissements à faire dans la sécurité de l'identité.
Ce qui ressort – et c'est alarmant –, c'est que deux entreprises sur trois (67 %) synchronisent régulièrement la plupart des mots de passe de leurs utilisateurs à partir de leurs répertoires locaux vers leurs annuaires dans le cloud. Cette pratique migre par mégarde les faiblesses d'identité on-premise dans le cloud, ce qui pose des risques de sécurité importants en créant une passerelle que les attaquants peuvent exploiter pour pirater ces environnements. Le groupe de rançongiciels Alphv BlackCat est connu pour utiliser Active Directory comme tremplin pour compromettre les fournisseurs d'identité dans le cloud.
Au cours de la dernière décennie, il y a eu une ruée vers le cloud– et pour une bonne raison. En même temps, toutefois, les lacunes en matière de sécurité découlant de l'infrastructure existante, des erreurs de configuration et des fonctionnalités non sécurisées créent des voies d'accès au cloud pour les attaquants, ce qui affaiblit considérablement la résilience d'une entreprise aux menaces liées à l'identité.
« L'identité est une question incontournable. Nous savons que l'identité joue un rôle clé dans presque toutes les cyberattaques. Lockbit, BlackCat, TA577, Fancy Bear – Tous utilisent des lacunes d'identité pour entrer dans le système, se déplacer latéralement et obtenir de plus en plus d'autorisations, a déclaré Hed Kovetz, PDG et cofondateur de Silverfort. Mais nous devons savoir à quel point chaque lacune en matière de sécurité d'identité est commune afin de pouvoir commencer à les combler méthodiquement. Enfin, nous avons des preuves concrètes qui décrivent la fréquence des lacunes en matière d'identité, que nous pouvons maintenant classer en ces catégories : exposition de mots de passe, déplacement latéral ou escalade des privilèges, et ce sont tous des véhicules utilisés par les auteurs de menaces pour mener à bien leurs attaques. Nous espérons qu'en faisant la lumière sur la prévalence de ces problèmes, les équipes de l'identité et de la sécurité disposeront des chiffres concrets dont elles ont besoin pour prioriser des investissements adéquats en matière de sécurité et éliminer ces angles morts. »
Les principales conclusions sont les suivantes :
- Deux tiers de tous les comptes d'utilisateurs sont authentifiés au moyen du protocole NTLM faiblement crypté, ce qui permet aux attaquants d'accéder facilement aux mots de passe en texte clair. Facilement enfreinte par des attaques par force brute, l'authentification NT Lan Manager (NTLM) est une cible de choix pour les attaquants qui cherchent à voler des informations d'identification et à pénétrer plus profondément dans un environnement. Des recherches récentes de Proofpoint Security montrent que l'auteur de menaces TA577 utilise des renseignements d'authentification NTLM pour voler des mots de passe.
- Une seule erreur de configuration dans un compte Active Directory produit 109 nouveaux administrateurs fantômes en moyenne. Les administrateurs fantômes sont des comptes d'utilisateur qui ont le pouvoir de réinitialiser les mots de passe ou de manipuler les comptes d'autres façons. Les attaquants utilisent des administrateurs fantômes pour modifier les paramètres et les autorisations et obtenir un plus grand accès aux machines à mesure qu'ils pénètrent dans un environnement.
- 7 % des comptes d'utilisateurs détiennent par inadvertance des privilèges d'accès d'administrateur, ce qui donne aux attaquants plus d'occasions d'accumuler des privilèges et de se déplacer dans des environnements sans être détectés.
- 31 % des comptes d'utilisateurs sont des comptes de service. Les comptes de service sont utilisés pour la communication machine à machine et ont un niveau de privilèges élevé. Les attaquants ciblent les comptes de service, car les équipes de sécurité les ignorent souvent. Seulement 20 % des entreprises sont très confiantes d'avoir une visibilité sur chaque compte de service et de pouvoir les protéger.
- 13 % des comptes d'utilisateurs sont classés comme des « comptes périmés », qui sont effectivement des comptes d'utilisateurs inactifs que l'équipe des TI a peut-être oubliés. Ce sont des cibles faciles pour les déplacements latéraux et pour éviter aux attaquants d'être repérés.
L'équipe de recherche de Silverfort a méticuleusement classé l'exposition aux menaces liées à l'identité (ITE) en quatre catégories distinctes. Leur objectif est d'équiper l'industrie de la cybersécurité d'un cadre pour classifier et comprendre le spectre diversifié des problèmes d'identité et des erreurs de configuration qui permettent le vol d'informations d'identification, l'escalade des privilèges et le déplacement latéral par des acteurs malveillants.
Les quatre catégories d'ITE
- Exposition de mot de passe : Permet à un attaquant de découvrir les mots de passe des utilisateurs en exposant le hachage de mot de passe à des techniques de compromission courantes. Exemples : authentification NTLM, authentification NTLMv1 et administrateurs avec SPN.
- Escalade des privilèges : Permet à un attaquant d'obtenir des privilèges d'accès supplémentaires. En général, l'escalade de privilèges est le résultat d'une mauvaise configuration ou de paramètres hérités non sécurisés. Par exemple, les administrateurs fantômes et la délégation sans contrainte.
- Déplacements latéraux : Permet à un attaquant de se déplacer latéralement sans être détecté. Les comptes de service et les utilisateurs prolifiques (qui ont des privilèges élevés et donc accès à de nombreuses ressources, sans pour autant être classifiés comme comptes d'administrateur) en sont des exemples.
- Fraude de la protection : Ouvre potentiellement des comptes d'utilisateurs légitimes aux attaquants, dû à des erreurs humaines ou une mauvaise hygiène informatique; il ne s'agit pas de lacunes de sécurité intrinsèques ou d'erreurs de configuration. Exemples : nouveaux utilisateurs, comptes partagés et utilisateurs périmés.
Joignez-vous aux experts de Silverfort le 16 avril, en partenariat avec Hacker News, pour une analyse approfondie des conclusions du rapport. Visitez Identity Underground pour accéder au rapport complet.
À propos de Silverfort
Silverfort, l'entreprise de protection unifiée de l'identité, est la première et la seule plateforme à permettre d'appliquer une sécurité moderne des identités à tous les accès. Nous nous connectons aux silos de l'infrastructure d'identité de l'entreprise pour unifier la sécurité des identités dans tous les environnements on-premise et dans le cloud. Grâce à notre architecture unique et à nos intégrations à toutes les plateformes de gestion des identités, nous éliminons la complexité de la sécurisation des identité et étendons la protection aux ressources qui ne peuvent être protégées par aucune autre solution telles que les systèmes hérités, les interfaces de ligne de commande, les comptes de servçce (identités non-humaines) et l'infrastructure IT/OT, parmi de nombreuses autres. Silverfort est un partenaire Microsoft de premier ordre, qui a été sélectionné en tant que Zero-Trust Champion de l'année par Microsoft. Des centaines de multinationales font confiance à Silverfort comme fournisseur de services de sécurité d'identité, y compris plusieurs entreprises Fortune 50. Pour en savoir plus, consultez le site www.silverfort.com ou LinkedIn.
Contact pour les médias :
Jill Creelman
[email protected]
Logo - https://mma.prnewswire.com/media/2321859/Silverfort_Logo.jpg
Partager cet article