Aux yeux des cybercriminels, les comptes à privilèges représentent les clés du royaume. En prenant la main sur un compte à privilèges, ils pourront se déplacer pratiquement sans restriction au sein d’un réseau, l’explorer et en extraire autant de données sensibles qu’ils le souhaitent… Il n’est donc pas étonnant que, selon Forrester, 80 % des failles de sécurité impliquent des comptes à privilèges, et que Gartner fasse de la gestion des accès à privilèges sa recommandation numéro un en matière de projet de sécurité.
Malgré tout, de nombreuses entreprises ne savent toujours pas comment leurs comptes à privilèges sont utilisés. Elles sont par exemple incapables d’identifier des facteurs de risque clés tels que l’accès à un compte à privilèges à partir d’un hôte ou d’un service inhabituel. Cela laisse un angle mort important dont profitent les cybercriminels.
Pour remédier au problème, les équipes de sécurité doivent disposer d’informations exploitables obtenues grâce à la surveillance des environnements Cloud natifs et hybrides. Autrement, les entreprises risquent de s’exposer à une cyberattaque similaire à celle qui a frappé la banque Capital One (5ème plus grand fournisseur de cartes de crédit au monde, 11e plus grande banque des États-Unis) entraînant le piratage de plus de 100 millions de comptes clients.
Prévalence des risques liés aux accès à privilèges
Les anomalies en matière d’accès à privilèges sont plus fréquentes que la plupart des entreprises ne l’imaginent. Récemment, nous avons mené une étude sur le sujet, qui estimait à 57 le nombre d’anomalies liées aux accès à privilèges observées pour 10 000 hôtes au cours du second semestre 2019 – près de la moitié d’entre elles touchant les secteurs de la finance, de la santé, de l’éducation et de la fabrication.
Si l’on analyse les chiffres plus avant, on constate que la grande majorité de ces anomalies (près de trois quarts des incidents) étaient dues à des accès à privilèges depuis un hôte inhabituel. Les anomalies détectées provenaient d’un service, d’un compte et/ou d’un hôte inhabituel.
Bon nombre des anomalies liées à des hôtes inhabituels trouvent bien souvent une explication tout à fait innocente, comme l’accès au système à partir d’un hôte différent ou nouveau. Ce type de problèmes peut néanmoins signifier qu’un compte a été piraté. Ainsi, les accès à privilèges continuent à présenter un risque pour les entreprises, en particulier s’ils ne sont pas correctement gérés.
Leçons à tirer du piratage de Capital One
Capital One est un exemple très médiatisé du rôle joué par un hôte inhabituel dans une faille de données majeure. Lors de cette attaque, une personne non autorisée s’est procuré des tokens d’accès temporaires en raison d’une mauvaise configuration du Web application Firewall (pare-feu protégeant le serveur d’applications Web). Bien qu’un WAF ait vocation à empêcher les accès non autorisés à un réseau, le cybercriminel s’en est servi pour envoyer une requête aux serveurs internes depuis un hôte externe inconnu.
Le cybercriminel a ensuite récupéré les tokens et bénéficié d’un accès complet aux serveurs Web. Il est important de noter que des tokens d’accès temporaires sont parfois émis pour fournir aux utilisateurs de confiance des identifiants de sécurité à durée limitée leur donnant accès à certaines ressources. Ces tokens réduisent la nécessité de gérer l’accès à certains comptes et ne sont valides que pendant une courte période.
Doté de droits d’accès complets, le cybercriminel a exécuté la commande AWS Simple Storage Service (S3) list-bucket afin de répertorier tous les compartiments AWS S3. Il a ensuite lancé une commande de synchronisation pour exporter vers une destination externe 700 dossiers et compartiments contenant des informations sur les clients.
Ce type d’attaques est difficile à repérer car les activités du cybercriminel s’inscrivent dans le cadre des opérations d’administration habituellement considérées comme normales. En l’absence de malware et de comportement suspect, aucune alerte n’a été donnée. Toutefois, l’exécution de commandes à l’aide d’identifiants à privilèges depuis un hôte inhabituel aurait dû soulever des questions.
La faute revient malheureusement au modèle de responsabilité partagée, dans lequel la sécurité d’un réseau informatique est assurée à la fois par le client et le fournisseur de services Cloud. Dans de tels cas de figure, il n’est pas rare que des problèmes de sécurité passent entre les mailles du filet, chaque partie supposant que l’autre les détectera.
Ne pas accorder une confiance aveugle aux accès à privilèges
Au lieu de se fier aux privilèges des entités ou de ne pas en tenir compte, les équipes de sécurité ont tout intérêt à se concentrer sur la façon dont les entités se servent de leurs privilèges au sein du réseau. Cela signifie non seulement surveiller les hôtes et le réseau, mais aussi déterminer comment les accès à privilèges sont utilisés dans l’entreprise entre les réseaux locaux, les datacenters privés et les instances Cloud.
Pour y parvenir, il convient en premier lieu d’observer les interactions entre les entités. Avec l’intelligence artificielle et l’apprentissage automatique, il est possible d’évaluer le niveau de privilèges de chaque entité en fonction de son comportement et de la confidentialité des ressources auxquelles elle tente d’accéder. Ceci établi, toutes les anomalies comportementales peuvent alors être identifiées. Celles susceptibles de menacer la sécurité doivent être traitées en urgence.
En déterminant comment les accès à privilèges sont utilisés entre les instances Cloud, les datacenters et les réseaux locaux, il est plus facile de détecter la compromission d’un réseau et d’agir avant qu’une faille aussi catastrophique que celle subie par Capital One ne se produise.