La semaine prochaine marquera le premier anniversaire de la divulgation du piratage de SolarWinds. Le 13 décembre 2020, FireEye a révélé pour la première fois le piratage de SolarWinds. SUNBURST, Cette campagne d'intrusion mondiale a finalement touché plus d'un million de personnes. 18 000 organisations, Les pirates informatiques ont eu accès à des sites web de plusieurs ministères, dont les ministères américains du commerce, de la sécurité intérieure et du trésor, ainsi qu'à Microsoft, Deloitte et de nombreuses autres entreprises privées. Les pirates pourraient avoir eu accès à ces données pendant 14 mois.
La faille de SolarWinds a entraîné d'importants changements de politique et a probablement été à l'origine d'une augmentation du nombre de plaintes. informés L'ordre exécutif du Président Biden pour que tous les systèmes d'information fédéraux améliorent leurs performances. cybersécurité.
Mais un an plus tard, le vice-président de Gartner chargé des risques de sécurité et de la protection de la vie privée a déclaré : "Il est temps d'agir. Peter Firstbrook affirme que la plupart des entreprises n'ont pas saisi l'un des principaux enseignements de l'attaque : "l'infrastructure d'identité elle-même est un cible privilégiée pour les hackers", selon Kyle Alspach de VentureBeat.
M. Firstbrook a fait le point sur ces enseignements lors du sommet de Gartner sur la sécurité et la gestion des risques qui s'est tenu le mois dernier, en soulignant que "les implications de cette attaque en matière de sécurité de l'identité devraient être au premier plan des préoccupations des entreprises".
Près d'un an après l'annonce de l'affaire SUNBURST, le moment est venu de revenir sur les principales leçons que nous avons tirées de l'affaire SolarWinds et sur les raisons pour lesquelles les dirigeants doivent donner la priorité à l'identité pour éviter qu'une telle situation ne se reproduise.
En rappelant la campagne de SolarWinds, Firstbrook a déclaré que les attaquants étaient "principalement axés sur l'attaque de l'infrastructure d'identité".
S'adressant aux chefs d'entreprise, M. Firstbrook a déclaré : "Vous avez dépensé beaucoup d'argent pour l'identité : "Vous avez dépensé beaucoup d'argent pour l'identité, mais il s'agit surtout de savoir comment laisser entrer les bonnes personnes. Il faut vraiment dépenser de l'argent pour comprendre quand l'infrastructure de l'identité est compromise et pour maintenir cette infrastructure".
Les systèmes de gestion des identités et des accès (IAM) de SolarWinds constituaient une "cible de choix pour les attaquants", a déclaré M. Firstbrook. Les pirates ont contourné l'authentification multifactorielle en volant un cookie web obsolète ; ils ont volé des mots de passe en utilisant le système kerberoasting; a utilisé des certificats SAML pour "permettre l'authentification de l'identité par les services en nuage" et a créé de nouveaux comptes dans l'Active Directory.
Les attaquants ont donné la priorité à l'identité parce qu'elle leur offrait tout ce dont ils avaient besoin : l'accès, la possibilité d'échapper à l'authentification et la possibilité d'aller au-delà de la brèche initiale. "Les identités sont le tissu conjonctif que les attaquants utilisent pour se déplacer latéralement et passer d'un domaine à l'autre", a déclaré M. Firstbrook.
Attaques contre la chaîne d'approvisionnement comme la faille de SolarWinds, "manipulent des produits ou des mécanismes de livraison de produits" pour infecter des cibles en aval. Il s'agit d'une forme d'attaque plus indirecte, qui fait appel à des complices involontaires, ce qui la rend plus difficile à détecter.
Lorsqu'on lui a demandé comment empêcher ces attaques de se produire, M. Firstbrook a répondu que "la réalité, c'est qu'on ne peut pas".
Alspach détaille le cynisme de Firstbrook, notant que "la gestion des identités numériques est notoirement difficile pour les entreprises, dont beaucoup souffrent d'une prolifération des identités - y compris les identités humaines, des machines et des applications (telles que dans les automatisation des processus robotiques)."
Le problème s'étend aux fournisseurs de l'entreprise : aujourd'hui, même les entreprises de taille moyenne déploient des systèmes de gestion de l'information. centaines des applications SaaS.
Plutôt que d'essayer de prévenir les attaques contre la chaîne d'approvisionnement (ou tout autre exploit spécifique), M. Firstbrook a conseillé aux entreprises de se préparer aux menaces en changeant d'objectif. "Vous devez surveiller votre infrastructure d'identité pour détecter les techniques d'attaque connues et commencer à considérer votre infrastructure d'identité comme votre périmètre."
Firstbrook a raison. Aujourd'hui, les entreprises doivent s'adapter à d'innombrables fournisseurs, employés travaillant à domicile, utilisateurs externes et autres tiers qui accèdent à leur écosystème. Avec des utilisateurs et des cas d'utilisation en expansion exponentielle, l'identité est la seule chose que les organisations devraient être en mesure de contrôler dans tous les cas. Qu'il s'agisse de ransomware, d'attaques de la chaîne d'approvisionnement ou de la prochaine vague de cybercriminalité, l'identité est devenue le nouveau périmètre.
Meilleures pratiques pour la sécurité de l'identité après SolarWinds :
- Vers une confiance zéro: Confiance zéro est une nouvelle façon de concevoir la cybersécurité qui élimine toute confiance implicite. Elle traite chaque utilisateur, appareil, requête et application comme une menace potentielle et vérifie en permanence chaque droit d'accès et chaque autorisation. Il ne s'agit pas d'un produit ou d'un fournisseur, mais d'une façon d'envisager la cybersécurité - et la seule façon de commencer à bâtir une confiance zéro est de commencer par l'identité. Les entreprises doivent commencer par savoir qui sont leurs utilisateurs, comment elles les authentifieront et à quoi ils doivent avoir accès. Cette base permet aux entreprises de créer une sécurité fondée sur l'identité.
- Authentification à partir de chaque plateforme, vers chaque plateforme: À ce stade, l'authentification multifactorielle (AMF) devrait être une exigence pour toutes les organisations. L'absence d'authentification multifactorielle a été l'un des principaux facteurs à l'origine de l'épidémie de grippe aviaire. Colonial Pipeline : attaque par ransomware et constitue une partie essentielle de la Décret du président Biden sur la cybersécurité. Mais MFA doit fonctionner selon les habitudes de vos utilisateurs, qu'il s'agisse de Windows ou de macOS, de clés FIDO ou de codes d'accès à usage unique, et même lorsque vos utilisateurs ne sont pas en ligne.
- Tous les mots de passe sont erronés: Certains des premiers rapports sur la violation de SolarWinds se sont concentrés sur un mot de passe spécifique : "solarwinds123". Les législateurs ont même fustigé SolarWinds pour ce simple identifiant ; plus tard, il a été révélé que le mot de passe était celui d'un site FTP et qu'il n'avait rien à voir avec la faille. Mais l'accent mis sur le mot de passesolarwinds123L'idée générale est que tous les mots de passe sont trop faciles à décrypter pour les cybercriminels et trop difficiles à mémoriser pour les utilisateurs. Ils ne sont pas sûrs, coûtent cher et créent des frictions pour les utilisateurs légitimes. Pour les entreprises, la solution ne devrait pas consister à instituer des mots de passe plus complexes. Elles devraient plutôt les éliminer complètement et créer des environnements sans mot de passe dans lequel les utilisateurs n'ont jamais à réfléchir, à saisir ou à gérer des mots de passe.
- Savoir qui a accès à quoi: Si l'authentification détermine qui obtient l'accès à l'intérieur d'un réseau, la gouvernance et l'administration des identités (AGI) contrôlent ce qu'un utilisateur peut faire avec cet accès : L'AGI permet aux entreprises de définir les droits d'accès aux bonnes ressources et pour les bonnes ressources. C'est un moyen d'empêcher les utilisateurs - ou les mauvais acteurs - de se déplacer latéralement ou au-delà d'un rôle prédéfini (SolarWinds a d'abord blâmé un stagiaire sur 'solarwinds123' - un programme de gouvernance des identités aurait révélé ce à quoi ce stagiaire aurait pu accéder et ce qu'il aurait finalement pu faire avec cet accès). Le programme de gouvernance des identités meilleures solutions contrôlera la "prolifération des identités" en automatisant les certifications d'accès et en classant par ordre de priorité les anomalies et les violations des politiques.
Un an plus tard, les entreprises tentent toujours de comprendre "l'une des plus grandes atteintes à la cybersécurité du 21e siècle". Cela s'explique en grande partie par le fait que bon nombre des tendances qui ont initialement contribué à la faille SolarWinds - notamment la prolifération des identités, la dépendance croissante à l'égard des ressources en nuage, les configurations distantes et hybrides permanentes et l'interdépendance croissante entre les utilisateurs, les ressources et les appareils - n'ont fait que s'accélérer depuis le 13 décembre 2020.
Que faire maintenant ? La seule façon d'avancer est de reconnaître (ou d'admettre) à quel point nos environnements opérationnels sont devenus complexes et de donner la priorité à la défense des attributs qui reviennent dans chacun d'entre eux. Nous devons faire de l'identité notre nouveau périmètre et lui donner la priorité.
