Avec l’escalade rapide des cyberattaques dans le monde, les compagnies d’assurance renforcent les exigences pour bénéficier d’une police d’assurance cyber. Les attaques de ransomwares ont augmenté de 80 % l’an dernier, incitant les souscripteurs à mettre en place un certain nombre de nouvelles dispositions visant à prévenir les ransomwares et à endiguer le nombre record de réclamations. Parmi ceux-ci, il y a un mandat pour appliquer l’authentification multifacteur (MFA) sur tous les accès administrateurs dans un environnement réseau ainsi que pour protéger tous les comptes privilégiés, en particulier les connexions de machine à machine appelées comptes de service.
Mais l’identification des failles de protection des MFA et des comptes privilégiés au sein d’un environnement peut être extrêmement difficile pour les organisations, car il n’y a aucune utilité parmi les produits de sécurité et d’identité les plus couramment utilisés qui peuvent réellement fournir cette visibilité.
Dans cet article, nous allons explorer ces défis de protection de l’identité et suggérer des mesures que les organisations peuvent prendre pour les surmonter, y compris l’inscription à un évaluation gratuite des risques d’identité.
Comment pouvez-vous protéger les utilisateurs privilégiés si vous ne savez pas qui ils sont ?
Les souscripteurs exigent désormais une MFA sur tous les e-mails basés sur le cloud, l’accès au réseau à distance, ainsi que sur tous les accès administratifs pour l’infrastructure réseau, les postes de travail et les serveurs, les services d’annuaire et l’infrastructure informatique. La dernière exigence ici est le plus grand défi – alors examinons pourquoi.
Le problème est que définir l’accès administratif est plus facile à dire qu’à faire. Comment compilez-vous une liste précise de chaque utilisateur administrateur ? Alors que certains peuvent être facilement identifiés – par exemple, le personnel informatique et le service d’assistance – qu’en est-il des soi-disant administrateurs fantômes ? Il s’agit notamment d’anciens employés qui peuvent être partis sans supprimer leurs comptes d’administrateur, qui continuent alors d’exister dans l’environnement avec leur accès privilégié. De plus, il existe également des utilisateurs disposant de privilèges d’accès administrateur qui n’ont peut-être pas été officiellement affectés en tant qu’administrateurs ou, dans certains cas, des administrateurs temporaires dont les comptes n’ont pas été supprimés une fois la raison de leur création terminée.
L’essentiel est que pour sécuriser tous les comptes d’utilisateurs avec MFA, vous devez d’abord être en mesure de les trouver. Et si vous ne pouvez pas le faire, vous êtes perdu avant même d’avoir commencé à réfléchir à la meilleure stratégie de protection.
Le cas des comptes de service : un défi de visibilité encore plus important
Les polices de cyberassurance exigent également que les organisations maintiennent une liste de tous leurs comptes de service. Il s’agit de comptes qui effectuent diverses tâches dans un environnement, depuis l’analyse des machines et l’installation de mises à jour logicielles jusqu’à l’automatisation des tâches administratives répétitives. Pour bénéficier d’une stratégie, les organisations doivent être en mesure de documenter toutes les activités du compte de service, y compris les machines source et de destination, le niveau de privilège et les applications ou processus qu’elles prennent en charge.
Les comptes de service sont devenus un objectif majeur pour les souscripteurs, car ces comptes sont souvent ciblés par des acteurs malveillants, en raison de leur accès hautement privilégié. Les attaquants savent que les comptes de service ne sont souvent pas surveillés. Par conséquent, leur utilisation pour un mouvement latéral ne sera pas détectée. Les attaquants cherchent à compromettre les comptes de service à l’aide d’informations d’identification volées, puis utilisent ces comptes pour accéder à autant de ressources précieuses que possible afin d’exfiltrer des données et de diffuser leur charge utile de ransomware.
Cependant, le défi d’inventorier tous les comptes de service est encore plus grand que de le faire pour les administrateurs humains. La raison en est qu’il n’existe aucun outil de diagnostic capable de détecter toutes les activités de compte de service dans un environnement, ce qui signifie qu’il est au mieux difficile d’obtenir un décompte précis du nombre existant.
De plus, à moins que des enregistrements méticuleux n’aient été conservés par les administrateurs, il est extrêmement difficile de déterminer le modèle de comportement spécifique de chaque compte – comme leurs machines source à destination ainsi que leurs activités. Cela est dû aux nombreuses tâches différentes effectuées par le compte de service. Certains comptes sont créés par des administrateurs pour exécuter des scripts de maintenance sur des machines distantes. D’autres sont créés dans le cadre de l’installation du logiciel pour effectuer des mises à jour, des analyses et des vérifications de l’état de santé liées à ce logiciel. Le résultat est que l’obtention d’une visibilité complète ici est presque impossible.
La bonne évaluation peut identifier les lacunes dans la protection de l’identité
Pour bénéficier d’une police d’assurance cyber, les organisations doivent combler leurs lacunes en matière de protection de l’identité. Mais d’abord, ces lacunes doivent être identifiées, car vous ne pouvez pas combler ce dont vous n’êtes pas conscient.
À l’aide d’une évaluation approfondie, les entreprises pourront enfin voir tous leurs utilisateurs et leur niveau de privilège, identifier les zones manquant de couverture MFA, et également obtenir une image des autres faiblesses de la protection de l’identité, telles que les anciens mots de passe encore utilisés, comptes d’utilisateurs orphelins ou tout administrateur fantôme présent dans l’environnement.
En se concentrant sur les authentifications, la bonne évaluation révélera exactement comment les utilisateurs obtiennent l’accès et identifiera toutes les surfaces d’attaque qui ne sont pas actuellement protégées. Celles-ci incluent toutes les interfaces de ligne de commande et les authentifications de compte de service, qui permettront aux organisations de répondre facilement aux nouvelles exigences en matière de cyberassurance.
Une évaluation rigoureuse peut également révéler des domaines supplémentaires qui ne sont actuellement pas requis par les assureurs mais qui restent vulnérables aux attaques, tels que les partages de fichiers et les applications héritées. Couplées à des recommandations pratiques, les organisations verront bientôt leur posture de sécurité considérablement améliorée.
Savez-vous où se situent vos lacunes ? Inscrivez-vous dès aujourd’hui pour un évaluation gratuite de la protection de l’identité de Silverfort pour obtenir une visibilité complète sur votre environnement et découvrir toutes les lacunes qui doivent être corrigées afin que votre organisation puisse bénéficier d’une police d’assurance cyber.