Au cours de la derni\u00e8re semaine de mars, trois grandes entreprises technologiques – Microsoft, Okta et HubSpot – ont signal\u00e9 d’importantes violations de donn\u00e9es. DEV-0537, \u00e9galement connu sous le nom de LAPSUS$, a ex\u00e9cut\u00e9 les deux premiers. Ce groupe hautement sophistiqu\u00e9 utilise des vecteurs d’attaque de pointe avec un grand succ\u00e8s. Pendant ce temps, le groupe \u00e0 l’origine de la violation de HubSpot n’a pas \u00e9t\u00e9 divulgu\u00e9. Ce blog passera en revue les trois violations bas\u00e9es sur des informations divulgu\u00e9es publiquement et sugg\u00e9rera les meilleures pratiques pour minimiser le risque que de telles attaques r\u00e9ussissent contre votre organisation. <\/p>\n
HubSpot – Acc\u00e8s des employ\u00e9s<\/h2>\n
Le 21 mars 2022, HubSpot a signal\u00e9 la violation<\/a> qui s’est produit le 18 mars. Des acteurs malveillants ont compromis un compte d’employ\u00e9 HubSpot que l’employ\u00e9 utilisait pour le support client. Cela a permis aux acteurs malveillants d’acc\u00e9der aux donn\u00e9es de contact et de les exporter en utilisant l’acc\u00e8s de l’employ\u00e9 \u00e0 plusieurs comptes HubSpot. <\/p>\n Avec peu d’informations concernant cette violation, se d\u00e9fendre contre une attaque est difficile, mais une configuration cl\u00e9 dans HubSpot peut aider. Il s’agit du contr\u00f4le “HubSpot Employee Access” (illustr\u00e9 dans la figure ci-dessous) dans les param\u00e8tres de compte de HubSpot. Les clients doivent d\u00e9sactiver ce param\u00e8tre \u00e0 tout moment, sauf s’ils ont besoin d’une assistance sp\u00e9cifique, puis le d\u00e9sactiver imm\u00e9diatement apr\u00e8s avoir termin\u00e9 l’appel de service. <\/p>\n Un param\u00e8tre similaire appara\u00eet dans d’autres applications SaaS et doit \u00e9galement y \u00eatre d\u00e9sactiv\u00e9. L’acc\u00e8s des employ\u00e9s est g\u00e9n\u00e9ralement enregistr\u00e9 dans les journaux d’audit, qui doivent \u00eatre examin\u00e9s r\u00e9guli\u00e8rement.<\/p>\n D\u00e9couvrez comment une SSPM peut aider \u00e0 prot\u00e9ger votre organisation contre les erreurs de configuration SaaS<\/a><\/p>\n Okta sous-traite une partie de son support client au groupe Sitel. Le 21\u00a0janvier, un membre de l’\u00e9quipe de s\u00e9curit\u00e9 d’Okta a re\u00e7u une alerte indiquant qu’un nouveau facteur MFA avait \u00e9t\u00e9 ajout\u00e9 au compte d’un employ\u00e9 du groupe Sitel depuis un nouvel emplacement.<\/p>\n Une enqu\u00eate a r\u00e9v\u00e9l\u00e9 que l’ordinateur d’un ing\u00e9nieur de support Sitel avait \u00e9t\u00e9 compromis \u00e0 l’aide d’un protocole de bureau \u00e0 distance. Cette vuln\u00e9rabilit\u00e9 connue est normalement d\u00e9sactiv\u00e9e, sauf en cas de n\u00e9cessit\u00e9 sp\u00e9cifique, ce qui a aid\u00e9 les enqu\u00eateurs d’Okta \u00e0 r\u00e9duire le d\u00e9lai de l’attaque \u00e0 une fen\u00eatre de cinq jours entre le 16 et le 21 janvier 2022.<\/p>\n En raison de l’acc\u00e8s limit\u00e9 des ing\u00e9nieurs d’assistance \u00e0 leur syst\u00e8me, l’impact sur les clients d’Okta a \u00e9t\u00e9 minime. Les ing\u00e9nieurs de support n’ont pas acc\u00e8s pour cr\u00e9er ou supprimer des utilisateurs ou t\u00e9l\u00e9charger des bases de donn\u00e9es client. Leur acc\u00e8s aux donn\u00e9es clients est \u00e9galement assez limit\u00e9.<\/p>\n Le 22 mars, DEV-0537, plus commun\u00e9ment appel\u00e9 LAPSUS$, a partag\u00e9 des captures d’\u00e9cran en ligne. En r\u00e9ponse, Okta a publi\u00e9 une d\u00e9claration<\/a> disant, “il n’y a pas de mesures correctives que nos clients doivent prendre.” Le lendemain, la soci\u00e9t\u00e9 partag\u00e9 les d\u00e9tails de son enqu\u00eate<\/a>qui comprenait un calendrier de r\u00e9ponse d\u00e9taill\u00e9.<\/p>\n Bien que cette faille ait \u00e9t\u00e9 limit\u00e9e dans les dommages qu’elle a caus\u00e9s, elle offre trois le\u00e7ons de s\u00e9curit\u00e9 importantes.<\/p>\n Voir L’enqu\u00eate de Cloudflare sur le compromis Okta de janvier 2022<\/a> pour un bon exemple de r\u00e9ponse \u00e0 une telle violation. <\/p>\n D\u00e9couvrez comment Adaptive Shield fournit la gestion de la posture des terminaux et le contr\u00f4le de la configuration SaaS<\/a> <\/p>\n Le 22 mars, Microsoft Security informations partag\u00e9es<\/a> concernant une attaque subie par DEV-0537. Microsoft avait un seul compte compromis, ce qui a entra\u00een\u00e9 le vol et la publication du code source.<\/p>\n Microsoft a assur\u00e9 \u00e0 ses utilisateurs que l’attaque LAPSUS$ n’avait compromis aucune de leurs informations et a en outre d\u00e9clar\u00e9 qu’il n’y avait aucun risque pour aucun de leurs produits en raison du code vol\u00e9.<\/p>\n Microsoft n’a pas sp\u00e9cifiquement partag\u00e9 comment la violation a \u00e9t\u00e9 effectu\u00e9e, bien qu’il ait alert\u00e9 les lecteurs que LAPSUS$ recrute activement des employ\u00e9s dans les t\u00e9l\u00e9communications, les principaux d\u00e9veloppeurs de logiciels, les centres d’appels et d’autres industries pour partager les informations d’identification.<\/p>\n La soci\u00e9t\u00e9 a \u00e9galement propos\u00e9 ces suggestions pour s\u00e9curiser les plates-formes contre ces attaques.<\/p>\n Pour une liste compl\u00e8te des recommandations de Microsoft, voir ce <\/a>Remarque.<\/p>\n La s\u00e9curisation des plateformes SaaS est un d\u00e9fi majeur, et comme on l’a vu cette semaine, m\u00eame les entreprises mondiales doivent rester au top de leur s\u00e9curit\u00e9. Les acteurs malveillants continuent d’\u00e9voluer et d’am\u00e9liorer leurs m\u00e9thodes d’attaque, ce qui oblige les organisations \u00e0 \u00eatre \u00e0 l’aff\u00fbt et \u00e0 prioriser leur s\u00e9curit\u00e9 SaaS en permanence.<\/p>\n Les mots de passe forts et les solutions SSO ne suffisent plus \u00e0 eux seuls. Les entreprises ont besoin de mesures de s\u00e9curit\u00e9 avanc\u00e9es, telles qu’une MFA solide, des listes d’adresses IP autoris\u00e9es et le blocage de l’acc\u00e8s inutile des techniciens d’assistance. Une solution automatis\u00e9e telle que SaaS Security Posture Management (SSPM) peut aider les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 ma\u00eetriser ces probl\u00e8mes. <\/p>\n L’importance de la s\u00e9curit\u00e9 des appareils dans le SaaS est un autre point \u00e0 retenir de ces attaques. M\u00eame une plate-forme SaaS enti\u00e8rement s\u00e9curis\u00e9e peut \u00eatre compromise lorsqu’un utilisateur privil\u00e9gi\u00e9 acc\u00e8de \u00e0 une application SaaS \u00e0 partir d’un appareil compromis. Tirez parti d’une solution de s\u00e9curit\u00e9 qui combine la posture de s\u00e9curit\u00e9 des appareils avec la posture de s\u00e9curit\u00e9 SaaS pour une protection compl\u00e8te de bout en bout.<\/p>\n Le d\u00e9fi de la s\u00e9curisation des solutions SaaS est complexe et plus que fastidieux \u00e0 relever manuellement. Les solutions SSPM, comme Adaptive Shield, peuvent fournir gestion automatis\u00e9e de la posture de s\u00e9curit\u00e9 SaaS, avec contr\u00f4le de la configuration, gestion de la posture des terminaux et contr\u00f4le des applications tierces<\/a>.<\/p>\n Remarque – Cet article est r\u00e9dig\u00e9 et contribu\u00e9 par Hananel Livneh, analyste produit senior chez Adaptive Shield.<\/i><\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1649338517_73_Into-the-Breach-Decomposer-3-cyberattaques-dapplications-SaaS-en-2022.jpg\")
<\/div>\nOkta – Absence de s\u00e9curit\u00e9 des appareils pour les utilisateurs privil\u00e9gi\u00e9s<\/h2>\n
\n
Microsoft – MFA pour tous les utilisateurs privil\u00e9gi\u00e9s<\/h2>\n
\n
Derni\u00e8res pens\u00e9es<\/h2>\n