Les attaques de prise de contrôle de comptes sont devenues l’une des menaces les plus persistantes et les plus dommageables pour les environnements SaaS basés sur le cloud. Pourtant, malgré des investissements importants dans les mesures de sécurité traditionnelles, de nombreuses organisations continuent de lutter pour prévenir ces attaques. Un nouveau rapport, « Pourquoi les attaques de prise de contrôle de compte réussissent toujours et pourquoi le navigateur est votre arme secrète pour les arrêter » soutient que le navigateur est le principal champ de bataille où se déroulent les attaques de prise de contrôle de compte et, par conséquent, où elles doivent être neutralisées. Le rapport fournit également des conseils efficaces pour atténuer le risque de prise de contrôle de compte.
Voici quelques-uns des points clés soulevés dans le rapport :
Le rôle du navigateur dans les piratages de comptes
Selon le rapport, la chaîne de destruction SaaS exploite les composants fondamentaux contenus dans le navigateur. Pour la prise de contrôle de compte, il s’agit notamment de :
- Pages Web exécutées – Les attaquants peuvent créer des pages de connexion de phishing ou utiliser MiTM sur des pages Web légitimes pour collecter et accéder aux informations d’identification.
- Extensions de navigateur – Les extensions malveillantes peuvent accéder et exfiltrer des données sensibles.
- Informations d’identification enregistrées – Les attaquants visent à détourner le navigateur ou à exfiltrer ses informations d’identification stockées pour accéder aux applications SaaS.
Une fois les identifiants de l’utilisateur compromis, l’attaquant peut se connecter aux applications et agir en toute impunité à l’intérieur. Il s’agit d’une chaîne de destruction différente et beaucoup plus courte que la chaîne de destruction sur site, ce qui explique également pourquoi les mesures de sécurité traditionnelles ne parviennent pas à s’en protéger.
Analyse des TTP de prise de contrôle de compte
Le rapport détaille ensuite les principales tactiques, techniques et procédures de prise de contrôle de comptes. Il analyse leur fonctionnement, les raisons pour lesquelles les contrôles de sécurité traditionnels sont inefficaces pour s’en protéger et la manière dont une plate-forme de sécurité de navigateur peut atténuer le risque.
1. Hameçonnage
Le risque : Les attaques de phishing exploitent la manière dont le navigateur exécute la page Web. Il existe deux principaux types d’attaques de phishing : une page de connexion malveillante ou l’interception d’une page légitime pour capturer des jetons de session.
La défaillance de la protection : Les solutions SSE et les pare-feu ne peuvent pas protéger contre ces attaques, car les composants de pages Web malveillantes ne sont pas visibles dans le trafic réseau. Par conséquent, les composants de phishing peuvent pénétrer dans le périmètre et le terminal de l’utilisateur.
La solution: Une plateforme de sécurité de navigateur offre une visibilité sur l’exécution des pages Web et analyse chaque composant exécuté, détectant les activités de phishing telles que les champs de saisie d’informations d’identification et la redirection MiTM. Ensuite, ces composants sont désactivés dans la page.
2. Extensions de navigateur malveillantes
Le risque : Les extensions malveillantes exploitent les privilèges élevés accordés aux utilisateurs pour contrôler l’activité et les données du navigateur, prenant ainsi le contrôle des informations d’identification stockées.
La défaillance de la protection : Les EDR et les EPP ont souvent une confiance implicite dans les processus du navigateur, ce qui fait des extensions un angle mort en matière de sécurité.
La solution: Une plateforme de sécurité de navigateur fournit une visibilité et une analyse des risques de toutes les extensions et désactive automatiquement celles qui sont malveillantes.
3. Authentification et accès via une page de connexion
Le risque : Une fois que l’attaquant obtient les informations d’identification, il peut accéder à l’application SaaS ciblée.
La défaillance de la protection : Les IdP ont du mal à faire la différence entre les utilisateurs malveillants et légitimes et les solutions MFA ne sont souvent pas entièrement mises en œuvre et adoptées.
La solution: Une plate-forme de sécurité de navigateur surveille toutes les informations d’identification stockées dans le navigateur, s’intègre à l’IdP pour agir comme un facteur d’authentification supplémentaire et applique l’accès depuis le navigateur pour empêcher l’accès via des informations d’identification compromises.
Quelles sont les prochaines étapes pour les décideurs en matière de sécurité ?
Le navigateur est devenu une surface d’attaque critique pour les entreprises, et les attaques de prise de contrôle de compte illustrent le risque qu’il représente et la nécessité d’adapter l’approche de sécurité organisationnelle. LayerX a identifié qu’une solution de sécurité du navigateur est l’élément clé de cette évolution, en contrant les techniques d’attaque existantes qui obligeront les attaquants à réévaluer leurs mesures. Lire le rapport complet .