Lorsque vous déployez un produit de sécurité, vous supposez qu’il remplira son objectif. Malheureusement, il s’avère souvent que ce n’est pas le cas. Un nouveau rapport, produit par Osterman Research et commandé par Silverfort, révèle que les solutions MFA (Multi-Factor Authentication) et PAM (Privileged Access Management) ne sont presque jamais déployées de manière suffisamment complète pour assurer la résilience aux menaces d’identité. De plus, les comptes de service – qui échappent généralement à la portée de la protection de ces contrôles – sont exposés de manière alarmante à des compromissions malveillantes. Ces résultats et bien d’autres peuvent être trouvés dans « L’état de la surface d’attaque d’identité : aperçu des lacunes critiques en matière de protection, » le premier rapport qui analyse la résilience organisationnelle face aux menaces d’identité.
Qu’est-ce que la « surface d’attaque d’identité » ?
La surface d’attaque d’identité est toute ressource organisationnelle accessible via un nom d’utilisateur et un mot de passe. La principale manière dont les attaquants ciblent cette surface d’attaque consiste à utiliser des informations d’identification d’utilisateur compromises. De cette manière, la surface d’attaque d’identité diffère considérablement des autres surfaces d’attaque. Lorsqu’ils ciblent les points finaux, par exemple, les attaquants doivent développer des logiciels malveillants innovants et des exploits Zero Day. Mais dans le monde de l’identité, l’outil d’attaque par défaut consiste en des noms d’utilisateur et des mots de passe légitimes. Et avec environ 24 milliards de combinaisons nom d’utilisateur-mot de passe disponibles sur le Dark Web, cela signifie que la seule tâche que les attaquants doivent faire est d’obtenir l’accès initial.
Mais j’ai mis en place MFA et PAM pour prévenir les attaques
Et vous, cependant ? Selon le rapport, qui résume les conclusions de 600 professionnels de la sécurité des identités interrogés dans le monde entier, la grande majorité des organisations disposent de solutions MFA et PAM mais restent exposées aux attaques. Voici pourquoi:
Moins de 7 % des organisations disposent d’une protection MFA pour la majorité de leurs ressources critiques.
L’une des questions posées par l’enquête était la suivante : quelle proportion des ressources et méthodes d’accès suivantes êtes-vous actuellement en mesure de protéger avec la MFA ?
- Connexions de bureau (par exemple Windows, Mac)
- VPN et autres méthodes de connexion à distance
- RDP
- Accès à distance en ligne de commande (par exemple PowerShell, PsExec)
- SSH
- Applications locales et héritées
- Infrastructure informatique (par exemple, consoles de gestion)
- VDI
- Plateformes de virtualisation et hyperviseurs (par exemple VMware, Citrix)
- Lecteurs réseau partagés
- Systèmes OT
Ce graphique résume les résultats :
Ces chiffres impliquent une lacune critique, puisqu’une ressource sans MFA est une ressource à laquelle un adversaire peut accéder de manière transparente à l’aide d’informations d’identification compromises. En traduisant cela dans un scénario réel, un acteur malveillant utilisant un outil de ligne de commande qui n’est pas protégé par MFA – tel que PsExec ou Remote PowerShell – ne rencontrera aucun obstacle lorsqu’il se déplacera sur un réseau afin d’implanter une charge utile de ransomware sur plusieurs machines.
Seules 10,2 % des organisations disposent d’une solution PAM entièrement intégrée
Les solutions PAM sont connues pour leurs déploiements longs et complexes, mais à quel point est-ce vraiment grave ? Le rapport révèle la réponse : c’est mauvais. Voici une agrégation des réponses des personnes interrogées à la question « Où en êtes-vous dans votre parcours de mise en œuvre du PAM ? »
Comme vous pouvez le constater, la plupart des organisations sont bloquées quelque part dans leur parcours PAM, ce qui signifie qu’au moins certains de leurs utilisateurs privilégiés sont exposés à des attaques. Et gardez à l’esprit que les utilisateurs administrateurs constituent le chemin le plus rapide des attaquants vers vos joyaux de la couronne. Ne pas les protéger tous est un risque qu’aucune organisation ne peut se permettre d’ignorer.
78 % des organisations ne peuvent pas empêcher les accès malveillants avec des comptes de service compromis
Les comptes de service sont un angle mort bien connu. Parce que ces comptes non humains sont souvent hautement privilégiés mais ne peuvent pas être protégés par MFA – ainsi que parce qu’ils sont généralement sans papiers et donc non surveillés – ils constituent une cible de choix pour les adversaires.
Voici les réponses à la question : « Dans quelle mesure êtes-vous sûr de votre capacité à empêcher les attaquants d’utiliser des comptes de service pour un accès malveillant dans votre environnement ? »
Notez que le terme « support » est ici un peu trompeur, car l’absence de prévention en temps réel annule essentiellement la valeur de sécurité liée à la capacité de détecter la compromission d’un compte.
Dans quelle mesure protégez-vous la surface d’attaque d’identité de votre environnement ? Utilisez le modèle de maturité
Le rapport ne se limite pas à signaler les faiblesses et les lacunes : il propose un modèle de notation utile qui, basé sur des résultats agrégés sur tous les aspects de la protection de l’identité, peut révéler votre niveau de résilience face aux menaces d’identité.
Le rapport révèle que très peu d’organisations – seulement 6,6 % – ont mis en place une stratégie de protection de l’identité disciplinée et mise en œuvre. Mais utilisez ce modèle pour répondre aux mêmes questions et voir comment votre organisation se situe, ainsi que les actions que vous devez entreprendre.
Prêt à voir à quel point vous êtes résilient face aux menaces d’identité ? Accéder au rapport ici.