Si 2022 a appris quelque chose à la cybersécurité, c'est que l'authentification multifactorielle (AMF) doit être la première ligne de défense pour sécuriser une organisation - elle ne peut pas être la seule ligne de défense. dernier ligne de défense.
L'année dernière, nous avons assisté à des attaques majeures qui ont fait la une des journaux et qui ont réussi à échapper à l'AMF. Un groupe parrainé par un État s'est introduit dans un ONG en mars 2022. Ensuite, LAPSUS$ a franchi une fournisseur de technologie avant de passer à Uber, parmi d'autres des attaques très médiatisées l'année dernière.
Certaines de ces attaques étaient sophistiquées. D'autres ne l'étaient pas. Mais elles offrent toutes des enseignements importants sur la manière dont la cybersécurité doit protéger l'ensemble du cycle de vie de l'identité et sur les raisons pour lesquelles elle doit le faire.
Je détaillerai les étapes de ces attaques MFA et les principaux enseignements que les organisations devraient en tirer. Conférence RSA demain, 25 avril, à 9h40 PT.
Un hack dont je ne parlerai pas est celui du SolarWinds violation. Bien qu'elle ne fasse pas partie de ma présentation, l'attaque de SolarWinds démontre le même besoin de défendre l'ensemble du cycle de vie de l'identité. Dans ce cas, les auteurs de la menace ont utilisé SolarWinds pour lancer une attaque de la chaîne d'approvisionnement et accéder aux agences fédérales, aux entreprises de cybersécurité et même à Microsoft pendant des mois.
La faille de SolarWinds a démontré que si une organisation ne donne pas la priorité à la sécurité de l'identité, les acteurs de la menace le feront. Dans l'analyse rétrospective de l'attaque, les chercheurs ont découvert que les attaquants avaient contourné l'AMF en utilisant une technologie de cookies Web obsolète qui avait été classée à tort comme AMF.
Mais ce n'est pas la seule vulnérabilité que les attaquants ont exploitée : ils ont également volé des mots de passe, utilisé des certificats SAML pour "activer l'authentification de l'identité par des services en nuage" et créé "de nouveaux comptes sur le serveur Active Directory". Chaque étape a donné aux attaquants plus de contrôle et de méthodes pour se déplacer latéralement dans le réseau SolarWinds Orion - et ensuite vers ses clients.
Les pirates n'ont pas donné la priorité à un seul talon d'Achille identitaire. Au lieu de cela, ils "se sont principalement concentrés sur l'attaque de la infrastructure d'identité [Les dentitions sont le tissu conjonctif que les agresseurs utilisent pour se déplacer latéralement".
SolarWinds et les attaques MFA réussies de 2022 ont démontré pourquoi les organisations doivent comprendre que "l'infrastructure d'identité est une cible".
Ne vous méprenez pas : L'AMF reste la meilleure première ligne de défense. Elle protège contre les attaques de mots de passe les plus fréquentes, y compris les tactiques d'ingénierie sociale comme le phishing et le credential stuffing, les attaques par écoute, les attaques par force brute, et bien d'autres encore.
Mais l'AFM seule n'est pas suffisante pour prévenir les risques ou répondre aux menaces. L'AFM doit fonctionner en coordination avec d'autres capacités tout au long du cycle de vie de l'identité pour assurer la sécurité des organisations.
Les Colonial Pipeline L'attaque du ransomware montre à la fois comment les acteurs de la menace s'attaquent aux lacunes de l'infrastructure d'identité d'une organisation. et le rôle vital que joue encore le MFA : DarkSide a pénétré dans les systèmes de Colonial Pipeline en utilisant un compte VPN orphelin qui n'était plus utilisé.
Ce compte orphelin n'a servi à rien pour Colonial Pipeline - il s'agissait d'un passif de sécurité seulement. Un bon programme de gouvernance et d'administration des identités (IGA) aurait supprimé ce compte de l'annuaire de l'entreprise.
Mais l'élément de gouvernance n'était qu'une défaillance parmi d'autres : Le compte VPN orphelin de Colonial Pipeline n'était pas non plus protégé par MFA. Il s'agit probablement d'une capacité IGA ou L'AMF aurait permis d'éviter la violation. Les deux ensemble aurait permis de mettre en place une architecture de cybersécurité beaucoup plus solide et intelligente.
L'AMF reste l'un des éléments les plus importants de l'architecture de sécurité de chaque organisation. Mais elle apporte plus de valeur - et crée une cybersécurité plus forte - lorsqu'elle fonctionne en coordination avec d'autres composants de sécurité tout au long du cycle de vie de l'identité.
Le cycle de vie de l'identité présente de nombreuses vulnérabilités. Et, malheureusement, les acteurs de la menace sont capables de les exploiter toutes.
Si Colonial Pipeline et SolarWinds ont démontré certaines de ces vulnérabilités, LAPSUS$ et un pirate parrainé par l'État ont trouvé d'autres moyens d'exploiter les faiblesses de l'identité pour pénétrer dans les organisations en 2022.
Nous pouvons apprendre beaucoup de chaque attaque d'identité et trouver des moyens de prévenir la prochaine. Si vous le pouvez, rejoignez mon Session du CCRS demain pour en savoir plus sur ces vulnérabilités et sur ce que la cybersécurité peut faire pour y remédier.
###
Participez à la session de Dave Taku à la RSA Conference, "Anatomie de l'attaque : L'ascension et la chute de l'AMF"demain, 25 avril à 9h40 PT.
