MFA et PAM : votre vraie protection ?
- par Kenan
- , le 18 septembre 2023
- 21 h 30 min
Lorsque vous lancez un produit de sécurité, vous supposez qu’il remplira son rôle. Malheureusement, ce n’est souvent pas le cas. Un nouveau rapport, produit par Osterman Research et commandé par Silverfort, révèle que les solutions MFA (Multi-Factor Authentication) et PAM (Privileged Access Management) ne sont presque jamais déployées de manière suffisamment complète pour fournir une résilience aux menaces liées à l’identité.
En outre, les comptes de service – qui sont généralement hors du champ de protection de ces contrôles – sont exposés de manière alarmante à des compromis malveillants. Ces conclusions, et bien d’autres encore, figurent dans « The State of the Identity Attack Surface : Insights Into Critical Protection Gaps », le premier rapport qui analyse la résilience des organisations face aux menaces liées à l’identité.
La surface d’attaque de l’identité est toute ressource organisationnelle à laquelle on peut accéder par un nom d’utilisateur et un mot de passe. La principale façon dont les attaquants ciblent cette surface d’attaque est l’utilisation d’informations d’identification compromises. En ce sens, la surface d’attaque de l’identité diffère considérablement des autres surfaces d’attaque. Lorsqu’ils ciblent des points finaux, par exemple, les attaquants doivent développer des logiciels malveillants innovants et des exploits de type « zero-day ». Mais dans le monde de l’identité, l’outil d’attaque par défaut est le nom d’utilisateur et le mot de passe légitimes. Et comme on estime à 24 milliards le nombre de combinaisons de noms d’utilisateur et de mots de passe disponibles sur le Dark Web, les attaquants n’ont plus qu’à obtenir l’accès initial.
L’une des questions posées dans l’enquête était la suivante Quelle proportion des ressources et des méthodes d’accès suivantes êtes-vous actuellement en mesure de protéger avec l’AFM ?
Ce graphique résume les résultats :
Ces chiffres impliquent un écart critique, puisqu’une ressource sans MFA est une ressource à laquelle un adversaire peut accéder de manière transparente en utilisant des informations d’identification compromises. Si l’on transpose cela dans un scénario réel, un acteur de la menace utilisant un outil de ligne de commande non protégé par MFA – tel que PsExec ou Remote PowerShell – ne rencontrera aucun obstacle lorsqu’il se déplacera sur un réseau afin d’installer une charge utile de ransomware sur plusieurs machines.
Les solutions PAM sont réputées pour leurs déploiements longs et complexes, mais à quel point sont-elles vraiment mauvaises ? Le rapport donne la réponse : Elle est mauvaise. Voici une agrégation des réponses des personnes interrogées à la question « Où en êtes-vous dans votre parcours de mise en œuvre de la PAM ? »
Comme vous pouvez le constater, la plupart des organisations sont bloquées quelque part dans leur parcours PAM, ce qui signifie qu’au moins certains de leurs utilisateurs privilégiés sont exposés à des attaques. N’oubliez pas que les utilisateurs administrateurs sont le chemin le plus rapide pour les attaquants vers les joyaux de votre couronne. Ne pas les protéger tous est un risque qu’aucune organisation ne peut se permettre d’ignorer.
Les comptes de service constituent un angle mort bien connu. Parce que ces comptes non-humains sont souvent hautement privilégiés et ne peuvent pas être protégés par MFA – ainsi que le fait qu’ils sont généralement non documentés et donc non surveillés – ils sont une cible de choix pour les adversaires.
Voici les réponses à la question « Quel est votre degré de confiance dans votre capacité à empêcher les attaquants d’utiliser des comptes de service pour des accès malveillants dans votre environnement ? »
Notez que le terme « moyen » ici est un peu trompeur, puisque l’absence de prévention en temps réel annule essentiellement la valeur de sécurité de la détection de la compromission d’un compte.
Le rapport ne se contente pas de signaler les faiblesses et les lacunes : il propose un modèle de notation utile qui, sur la base des résultats agrégés de tous les aspects liés à la protection de l’identité, peut révéler votre niveau de résilience face aux menaces liées à l’identité.
Le rapport a révélé que très peu d’organisations disposent d’une stratégie de protection de l’identité disciplinée et mise en œuvre. Mais utilisez ce modèle pour répondre aux questions relatives à la protection de l’identité, voir comment votre organisation se situe, quelles sont les actions que vous devez prendre.
Prêt à voir à quel point vous êtes résilient face aux menaces qui pèsent sur votre identité ?
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité. En prime, vous aurez également accès à nos rapports exclusifs.