Le 15 mars 2022, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié un rapport sur la sécurité des infrastructures et la cybersécurité. alerte détaillant une cyberattaque russe contre une organisation non gouvernementale (ONG).
L'acteur russe a utilisé une attaque par force brute pour compromettre le compte d'un utilisateur inactif de l'ONG. L'acteur de la menace a ensuite été en mesure d'enregistrer un nouveau dispositif avec le compte d'utilisateur de l'ONG. authentification multifactorielle (MFA), en utilisant le compte compromis. En exploitant les paramètres "fail open", l'auteur de la menace a pu désactiver le MFA en déconnectant son appareil de l'internet.
En fin de compte, l'acteur de la menace a enchaîné des mots de passe faibles, un compte d'utilisateur inactif, des paramètres par défaut qui privilégiaient la commodité à la sécurité, et une vulnérabilité antérieure de Windows. Cela leur a permis d'accéder à des comptes de cloud et de messagerie pour exfiltrer des documents", selon CISA.
Ce billet n'a pas pour but de dénigrer un autre fournisseur. Je travaille chez RSA depuis près de 20 ans. Au cours de cette période, j'ai connu ma part de hauts et de bas en matière de cybersécurité. Permettez-moi de vous dire que la schadenfreude n'aide personne.
Ce que je volonté Je détaillerai certains des conseils que RSA a donnés à ses clients à la suite de la récente alerte de la CISA. J'expliquerai également comment ces conseils s'appliquent à toutes les solutions d'AMF.
Petite alerte spoiler : chaque fonctionnalité ou exigence mentionnée dans le reste de cet article fait partie de l'ASR.
L'AMF est bien plus qu'une méthode d'authentification
Pour prévenir ce type d'attaques, les organisations doivent reconsidérer ce qu'est l'AMF, comment les utilisateurs doivent s'inscrire initialement à l'AMF et comment ils maintiendront ces inscriptions tout au long du cycle de vie des utilisateurs.
Gardez toujours à l'esprit que l'AMF n'est pas juste sur le fait d'avoir un Mot de passe unique (OTP), une application d'authentification ou une clé FIDO pour se connecter. Si vous pensez que vous êtes en sécurité simplement parce que vous ou vos utilisateurs utilisez l'authentification biométrique sur un smartphone pour vous connecter à une application en ligne, j'ai une mauvaise nouvelle pour vous : ce n'est pas de l'AMF.
Ce n'est que le strict minimum. Certes, cela vous permettra de cocher la case "Use MFA" lors de votre audit de conformité, mais du point de vue de la sécurité, ce serait une perte de temps et d'argent.
La plupart des authentificateurs s'appuient sur une graine ou une clé cryptographique pour procéder à l'authentification. Les authentificateurs matériels offrent généralement un niveau de sécurité plus élevé parce qu'ils protègent cette graine dans une plus large mesure que les authentificateurs logiciels. Les entreprises doivent comprendre leurs besoins en matière de sécurité et choisir un authentificateur qui offre un niveau de sécurité suffisant - les authentificateurs matériels ou logiciels peuvent répondre aux exigences individuelles.
Cependant, la méthode elle-même - qu'il s'agisse de matériel ou de logiciel - n'a pratiquement aucune importance si l'enrôlement des authentificateurs ne parvient pas à établir une confiance adéquate. Même si votre organisation utilise les meilleurs authentificateurs, si vous les gérez mal, ils sont pratiquement inutiles pour prévenir ou ralentir une attaque. Pensez à une voiture : ce n'est pas parce que vous y mettez un moteur puissant et que vous peignez les plaquettes de frein en jaune que vous vous retrouvez soudain au volant d'une voiture de course. Vous devrez également modifier les freins, la suspension et les pneus, et former le pilote à la compétition. Il y a bien d'autres choses à prendre en compte.
En examinant un cycle de vie typique de l'identité, j'expliquerai comment tirer le meilleur parti d'une solution MFA et m'assurer qu'elle remplit la fonction pour laquelle elle a été conçue : protéger vos utilisateurs et sécuriser vos actifs numériques.
L'enrôlement est la première phase du cycle de vie de l'identité : lors de l'enrôlement, un authentificateur est attribué à une identité (un utilisateur). Mais avant même d'inscrire un utilisateur spécifique, l'organisation doit se poser quelques questions :
- Qui peut s'inscrire à l'AMF ?
- Comment un utilisateur peut-il s'inscrire à l'AMF ?
Vous pensez peut-être que la première question a une réponse facile : tout le monde devrait utiliser l'AMF !
Cependant, il peut y avoir des utilisateurs ou des groupes qui ne devraient pas ou ne doivent pas s'inscrire. Pensez aux comptes qui existent mais qui ne sont pas actifs, comme un employé en congé parental, ou les comptes orphelins qui n'ont jamais été ou ne sont plus assignés à un utilisateur spécifique. Une équipe de sécurité ne devrait pas permettre à ces comptes de s'inscrire à l'AMF, car toute inscription nouvelle ou modifiée d'authentificateur émise pour ces comptes a peu de chances d'être remarquée. Par exemple, les courriels de notification signalant les changements de paramètres resteront dans une boîte de réception non surveillée.
La seconde question est plus cruciale car elle doit être abordée sous deux angles :
- Comment l'inscription de votre organisation peut-elle atteindre le niveau de confiance souhaité ?
- Comment l'enrôlement peut-il atteindre le niveau de confiance souhaité d'une manière pratique et efficace tant pour l'utilisateur que pour l'administration ou le service d'assistance ?
Toute confiance dans un authentificateur est déterminée par la manière dont il a été enrôlé initialement : le degré de sécurité dont bénéficie un utilisateur au moment de l'enrôlement fixe son plafond de confiance tant qu'il continue à utiliser cet authentificateur.
En d'autres termes, qu'il s'agisse de matériel ou de logiciel, les authentificateurs ne peuvent fournir le niveau de confiance nécessaire à une connexion MFA ou à une authentification progressive que si l'inscription initiale a été suffisamment solide. Si vous posez des fondations précaires, votre maison sera toujours instable.
Il existe de nombreuses façons de décider qui peut s'inscrire et comment compléter le processus de manière à concilier sécurité et commodité. Mais quelle que soit la décision prise par votre organisation, veillez à ne pas seulement l'utilisation de mots de passe pour s'inscrire.
Pourquoi ne pas le faire ? Les mots de passe sont pratiques. Les utilisateurs connaissent déjà leurs informations d'identification, de sorte que les administrateurs n'ont pas à se préoccuper d'autre chose que de faire pointer la solution MFA vers un Active Directory. C'est vrai ?
C'est faux. Bien qu'il s'agisse d'un moyen facile de procéder à l'inscription à l'AMF, le fait de n'utiliser que des mots de passe expose votre organisation à toutes sortes d'attaques. Dans le pire des cas, un attaquant a déjà compromis un compte et l'inscrit ensuite à l'AMF. L'inscription d'un compte à l'AMF qui ne devrait pas être inscrit à l'AMF revient en fait à contourner l'AMF.
C'est exactement ce qui s'est passé lors de l'attaque réussie contre l'ONG mentionnée au tout début de ce billet. Bien qu'il y ait eu des étapes supplémentaires que l'attaquant a utilisées pour élever son accès, l'inscription elle-même a été la faille fatale.
Il existe des moyens plus intelligents et plus sûrs d'enrôler les authentificateurs. SecurID conseille vivement aux organisations de mettre en place des contrôles techniques et procéduraux supplémentaires autour de l'inscription à l'AMF. En fait, l'inscription par mot de passe uniquement n'est pas possible par défaut dans SecurID. Un client devrait faire des pieds et des mains pour activer ce type d'inscription - et nous lui déconseillerions de le faire à chaque étape du processus.
La détermination de l'inscription appropriée dépend des authentificateurs disponibles, des niveaux de confiance requis, des capacités de la solution MFA d'une organisation et des outils et procédures dont dispose l'entreprise.
De nombreux contrôles techniques peuvent contribuer à sécuriser et à simplifier le processus d'inscription sans recourir aux mots de passe. Par exemple, les organisations pourraient
- S'appuyer sur un SMS ou un Voice-OTP envoyé à un numéro de téléphone préenregistré avant l'inscription.
- Exiger des utilisateurs qu'ils contactent le service d'assistance pour obtenir un code d'inscription
- Distribuer un code d'inscription à l'utilisateur par courrier électronique
- Imprimez et partagez les lettres PIN pour obliger les utilisateurs à utiliser ce PIN unique pour s'inscrire.
- Attribuer et envoyer des jetons matériels aux utilisateurs (dans ce cas, les organisations doivent garder les jetons désactivés et laisser l'utilisateur appeler le service d'assistance pour activer le jeton matériel).
- Autoriser l'inscription uniquement à partir du réseau de l'entreprise
Bien entendu, d'autres contrôles sont disponibles et diverses combinaisons sont également possibles. Les organisations dont la population d'utilisateurs est importante et diversifiée devraient probablement envisager d'offrir plus d'une façon de s'inscrire, ce qui pourrait se traduire par différents niveaux de confiance en fonction du rôle de l'utilisateur.
Tous ces contrôles ajoutent des couches de sécurité autour du service d'inscription lui-même. Bien que la mise en place et la maintenance de ces couches demandent des efforts, cet investissement est très rentable : les authentificateurs sont dignes de confiance.
Mais ce n'est que la première étape de la sécurisation du cycle de vie de l'identité d'un utilisateur. Il existe bien d'autres scénarios qui offrent aux acteurs de la menace des opportunités significatives et bien d'autres situations auxquelles les organisations doivent se préparer. Dans la prochaine partie de cette série, Nous examinerons les réinitialisations, les sécurités et les autres points du cycle de vie de l'identité que les organisations devraient privilégier pour se protéger et protéger leurs équipes.
