Certaines des plus grandes violations de données de l'histoire récente ont échappé à l'authentification multifactorielle (AMF). Que ce soit en s'attaquant à la configuration de l'AFM, en bombardant les utilisateurs ou en attaquant les sous-traitants, LAPSUS$ et les agents parrainés par l'État ont trouvé des moyens d'attaquer les points faibles du cycle de vie de l'identité, d'exfiltrer des données et de révéler pourquoi l'AFM doit être votre première ligne de défense, mais pas la dernière.
J'ai abordé chacune de ces attaques lors d'un récent séminaire en ligne que vous pouvez visionner. sur demande. En détaillant l'anatomie des attaques, j'ai essayé d'expliquer les méthodes et les exploits utilisés par les acteurs de la menace.
Ces explications ont soulevé autant de questions qu'elles ont apporté de réponses. Les participants ont posé d'excellentes questions sur les forces relatives des différents facteurs d'authentification, la confiance zéro, l'absence de mot de passe, etc. Voici quelques-unes des questions auxquelles nous n'avons pas pu répondre pendant l'appel et les réponses que j'aurais partagées si nous n'avions pas manqué de temps :
R : C'est une question fascinante qui sera débattue pendant de nombreuses années. Les mots de passe et les codes PIN relèvent tous deux de la catégorie d'authentification "quelque chose que vous connaissez" et sont donc susceptibles de faire l'objet d'attaques par hameçonnage. Par rapport aux mots de passe, les codes PIN sont généralement plus courts et utilisent un jeu de caractères restreint. D'un point de vue entropique, les codes PIN sont donc plus faible que les mots de passe, c'est-à-dire que plus le nombre de choix possibles est élevé, plus il sera difficile de forcer un mot de passe ou un code PIN.
Mais ce n'est qu'une partie de l'histoire. Contrairement aux mots de passe, les codes PIN (ou du moins les codes PIN tels que définis par le NIST SP800-63) sont validé localement. Cela signifie qu'ils ne sont jamais transmis ou stockés dans un référentiel centralisé. Les PIN sont donc beaucoup moins susceptibles d'être interceptés ou volés dans le cadre d'une attaque de type "smash-and-grab".
Comme c'est souvent le cas, l'environnement, la configuration et la formation des utilisateurs tendent à avoir un impact plus important sur votre position globale en matière de cybersécurité que les protocoles ou les technologies.
R : Un système "ouvert par défaut" est un système qui s'ouvre par défaut lorsque les contrôles d'exploitation standard ne fonctionnent pas. S'il s'agit d'un principe de sécurité important en matière de sécurité physique (par exemple, en cas d'incendie, toutes les portes extérieures doivent se déverrouiller immédiatement), il n'est pas aussi efficace lorsqu'il s'agit de protéger l'accès à vos biens essentiels.
Dans le cas de l'ONG, les attaquants ont accédé au bien en empêchant le système local de communiquer avec le fournisseur d'AMF basé dans le nuage, contournant ainsi le contrôle de l'AMF. Cela a été possible parce que la solution d'identité en place utilisait par défaut un mot de passe "défaut d'ouverture"(posture de sécurité).
Il y a plusieurs façons d'éviter ce problème sans bloquer les utilisateurs hors du système. La première consiste à utiliser un système d'authentification hybride qui peut se rabattre sur un nœud local (sur site) en cas de panne d'Internet. La seconde consiste à utiliser un système d'authentification qui peut être validé hors ligne. RSA ID Plus prend en charge les deux options.
R : Si je réponds autre chose que "RSA ID Plus", je suis presque sûr de perdre mon emploi.
Mais très sérieusement, il y a plusieurs choses que je chercherais à savoir. Premièrement, le fournisseur a-t-il fait ses preuves ? Deuxièmement, l'identité est-elle au cœur de ses activités ou s'agit-il d'une activité parmi d'autres ? Troisièmement, le fournisseur donne-t-il la priorité à la commodité plutôt qu'à la sécurité dans ses décisions de conception ? Quatrièmement, la solution offre-t-elle la flexibilité nécessaire pour prendre en charge un large éventail d'utilisateurs et de cas d'utilisation, y compris les applications héritées dans les entrailles de votre centre de données ? Enfin, lorsque les choses tournent mal (et elles tournent mal), le fournisseur assume-t-il ses responsabilités en toute transparence ou cherche-t-il à brouiller les pistes et à rejeter la responsabilité sur autrui ?
La sécurité n'est pas facile et les acteurs de la menace identité de la cible plus que toute autre partie de la surface d'attaque. Les organisations ont besoin d'IDP qui comprennent cela.
R : L'accès au réseau sans confiance (ZTNA) est un concept basé sur le principe que la confiance ne devrait jamais être accordée. supposé basé uniquement sur la connexion d'un utilisateur à l'intranet local - les utilisateurs doivent être authentifiés en permanence, ils doivent avoir la permission d'accéder à une ressource spécifique et ils doivent également avoir une raison valable de le faire.
Bien qu'il existe aujourd'hui de nombreux produits "Zero Trust" sur le marché, il est important de noter que ZTNA est un cadre conceptuel et un ensemble de bonnes pratiques. Comment La façon dont vous utilisez la technologie, définissez vos politiques et gérez votre écosystème déterminera votre position ZTNA. La technologie peut certainement vous aider, mais si un fournisseur vous dit que son produit vous permettra de vous conformer aux normes ZTNA, trouvez quelqu'un d'autre.
Si vous souhaitez en savoir plus sur la confiance zéro, je vous recommande de commencer par les sept principes de la confiance zéro définis dans le document NIST SP800-207.
R : Avec des options comme Apple Face ID devenant presque omniprésentes pour les utilisateurs mobiles, la biométrie est sans aucun doute une forme populaire d'authentification sans mot de passe, mais certainement pas la seule. FIDO2 est un choix de plus en plus courant, tant pour les consommateurs que pour les entreprises. Les méthodes sans contact telles que le code QR, le BLE et le NFC sont également utilisées, mais dans une moindre mesure. De plus en plus, les principes de l'IA tels que les règles intelligentes, l'apprentissage automatique et l'analyse comportementale sont utilisés pour renforcer la confiance dans l'identité en tant que facteurs d'authentification invisibles qui n'introduisent que peu ou pas de friction pour l'utilisateur final. RSA ID Plus prend en charge toutes ces options aujourd'hui.
R : Je pense que ces trois attaques démontrent que l'expression "gestion de l'identité et de l'accès" est, sinon dépassée, du moins insuffisante.
Ces attaques soulignent que nous devons sécuriser les identités, et pas seulement les gérer. Par exemple, il ne suffit pas de fournir un accès : il faut commencer par se demander si l'utilisateur a besoin d'un accès. Si oui, pour combien de temps ? Lui avons-nous donné trop d'accès ou juste assez ? Comment pouvons-nous le savoir ? Dans de trop nombreux cas, je ne pense pas que les administrateurs le sachent d'une manière ou d'une autre, ni même qu'ils sachent comment le savoir.
Les acteurs de la menace savent que l'identité ne se limite pas à la gestion de l'identité. Les attaques que j'ai examinées montrent comment les cybercriminels s'attaquent aux lacunes que l'IAM ne prend pas en compte. Je pense que la compréhension de l'identité par les organisations doit être élargie pour prendre en compte et sécuriser l'ensemble du cycle de vie de l'identité.
D'un point de vue plus technique, je pense que l'IA aura un rôle important à jouer dans le traitement des énormes quantités de données d'authentification, d'habilitation et d'utilisation. Disposer d'une plateforme intelligente capable d'évaluer rapidement et à grande échelle des données très fines peut s'avérer un véritable atout pour la sécurité des organisations.
R : SecurID et YubiKey sont des authentificateurs de premier plan dans leurs catégories respectives. Et la bonne nouvelle, c'est que RSA ID Plus prend en charge les deux (parmi de nombreuses autres options d'authentification).
Si l'on s'éloigne des spécificités des fournisseurs, les authentificateurs OTP et FIDO présentent chacun des avantages uniques. Alors que FIDO gagne en popularité en tant qu'option sûre et pratique pour les connexions basées sur le web, les options FIDO basées sur des logiciels ont encore une polyvalence limitée, les dispositifs matériels nécessitent souvent une connexion physique et une véritable prise en charge de FIDO au-delà du navigateur web est pratiquement inexistante. En revanche, l'OTP a l'avantage de fonctionner à peu près n'importe où, que ce soit sur du matériel ou du logiciel, sans nécessiter de logiciel client spécialisé ni de connexion physique.
Cependant, lorsqu'on compare OTP et FIDO, la meilleure réponse est généralement "ET". Les dispositifs hybrides tels que l'authentificateur RSA DS100 combinent le meilleur des deux mondes, offrant OTP et FIDO2 dans un seul facteur de forme afin de fournir une flexibilité et une étendue de support maximales.
