L'une des règles les plus frustrantes de la cybersécurité est que, quels que soient les investissements des organisations dans leur technologie ou la sophistication de leur architecture, il est généralement plus facile de pirater une personne ou un processus que de briser une technologie. L'authentification multifactorielle (MFA) est si efficace que les attaquants ne se donnent pas la peine de s'y attaquer directement : au lieu de cela, ils trouvent des moyens pour échapper à l'AMF et de cibler d'autres couches d'activité ou utilisateurs pour s'implanter dans un environnement.
Pour contourner l'AMF, les cybercriminels utilisent des courriels, des textes et des notifications frauduleux censés provenir de "un compte de messagerie pour le service d'assistance"pour cibler les utilisateurs en bombardement rapide et Fatigue du MAE des attaques. Mais que se passe-t-il lorsque les pirates informatiques font évoluer leurs tactiques et s'en prennent au service d'assistance lui-même ?
Il ne s'agit pas seulement d'une question théorique. Caesars Entertainment aurait payé $15 millions après qu'un groupe de cybercriminels a réussi à infiltrer et à perturber ses systèmes. L'organisation rapporté que la violation a commencé en partie par "une attaque d'ingénierie sociale sur un fournisseur de support informatique externalisé". L'année dernière, LAPSUS$ a appelé le service d'assistance d'une "organisation et a tenté de convaincre le personnel d'assistance de réinitialiser les informations d'identification d'un compte privilégié.
L'attaque contre Caesars Entertainment montre pourquoi les organisations doivent renforcer leurs services d'assistance. Mais il est facile de parler - la mise en place d'opérations axées sur la sécurité nécessite le soutien des dirigeants, des investissements techniques et des employés, des formations, etc. Il est important de noter que si certaines des attaques les plus récentes visaient spécifiquement les services d'assistance, ce n'est pas parce que ces derniers sont particulièrement sensibles aux attaques, peu sûrs ou à haut risque. Bien au contraire, les organisations doivent appliquer les principes de la sécurité d'abord aux services d'assistance. tous processus d'entreprise. Ils sont tous en danger.
Ceci étant dit, Araignée dispersée et ALPHV/BlackCat ont récemment mis les services d'assistance sous les feux de la rampe. Passons donc en revue certaines des meilleures pratiques que les équipes de sécurité et les services d'assistance peuvent adopter et les questions qu'ils doivent se poser pour mettre en place un service d'assistance "zéro confiance".
Les services d'assistance (ou centres de services) font partie intégrante du paysage informatique de la plupart des entreprises. Ils remplissent diverses fonctions, mais ils sont souvent le premier point de contact d'une personne qui ne peut pas se connecter à son ordinateur ou qui a des difficultés à accéder à des ressources. Pour résoudre ces problèmes, le service d'assistance peut être en mesure d'effectuer certaines actions à haut risque, notamment
- Réinitialisation des mots de passe
- Suppression de l'AFM pour les utilisateurs bloqués
- Création d'un nouveau compte
Ce n'est qu'un début : le personnel du service d'assistance peut être le point d'entrée pour effectuer des actions encore plus risquées, comme la création de comptes administratifs ou la suppression temporaire du MFA pour résoudre un problème à l'échelle du système. Même si le personnel du service d'assistance ne peut pas prendre ces mesures directement, il peut être en mesure d'ouvrir des tickets pour d'autres groupes qui peuvent le faire.
Ce sont ces actions qui peuvent faire du service d'assistance une cible si attrayante pour un attaquant : un service d'assistance peut suspendre ou contourner les politiques de sécurité. De plus, comme les organisations veulent que leurs utilisateurs et leurs clients restent connectés, productifs et heureux, il sera facile pour les acteurs de la menace de trouver les coordonnées du service d'assistance.
La bonne nouvelle, c'est que si le service d'assistance peut présenter des risques importants, les équipes de sécurité peuvent minimiser ces dangers en donnant la priorité à l'identité, à la documentation des processus, à l'automatisation et au développement d'une défense en profondeur.
Commencez par connaître votre service d'assistance : qui y travaille ? Quelles sont leurs tâches habituelles ? Qu'est-ce que le service d'assistance ? pourrait qu'ils font ? À quoi ont-ils accès et pourquoi ont-ils besoin de cet accès ?
Chaque organisation devrait se demander quel est le degré d'accès de son service d'assistance à son environnement. Les équipes de sécurité devront régulièrement revoir cette réponse en fonction du concept de moindre privilège. Pour se rapprocher de la confiance zéro, votre service d'assistance ne devrait avoir accès qu'aux fonctions dont il a besoin pour faire son travail, au moment où il en a besoin. Un accès administratif étendu pour le personnel du service d'assistance est à proscrire.
Le catalogue de services du service d'assistance est un bon arbitre à cet égard : le personnel d'assistance devrait avoir l'accès nécessaire pour exécuter ces services et uniquement ces services. L'équipe de sécurité doit vérifier si le personnel du service d'assistance a plus de droits qu'il n'en a besoin, en particulier pour les actions qui pourraient modifier les paramètres de sécurité de l'identité d'un utilisateur - et si c'est le cas, assurer des contrôles appropriés autour de ces droits.
Une fois que vous avez une idée de ce que le service d'assistance fait habituellement et de ce qu'il pourrait faire, demandez à voir ses guides d'exécution et sa documentation sur les processus. S'il n'en a pas, il est temps d'en rédiger et de les examiner pour s'assurer qu'ils respectent les bonnes pratiques de sécurité, notamment la vérification de l'identité.
Pendant que vous y êtes, les équipes de sécurité devraient également insister sur le fait que les actions d'identité à haut risque devraient suivre des processus de gestion du changement standard : les actions telles que l'ajout d'une nouvelle fédération ou d'un nouveau locataire à votre annuaire devraient suivre des processus plus stricts. Si quelqu'un tente de lancer ces actions à haut risque en dehors d'un processus normal, votre système de sécurité doit détecter la tentative, alerter la sécurité et la bloquer.
Et ne vous arrêtez pas à l'équipe du service d'assistance. Si les services d'assistance disposent d'une grande latitude pour aider les utilisateurs, ils doivent parfois faire appel à un autre groupe pour mener à bien des tâches complexes ou risquées. Si plusieurs groupes travaillent ensemble, assurez-vous que chaque équipe sait quelles tâches nécessitent plus d'une fonction, qui vérifie la demande et comment la documenter.
Les cybercriminels exploiteront toutes les suppositions que vous faites quant à l'équipe responsable de telle ou telle action. Si un VIP dit qu'il a embauché un nouveau responsable qui a besoin de demandes d'administration immédiatement, comment le service d'assistance reçoit-il cette demande, la vérifie-t-il et la coordonne-t-il avec d'autres équipes ? Vous devez vérifier toutes les hypothèses pour vous assurer que la demande provient bien de votre organisation et que vous n'aidez pas les méchants.
Les employés du service d'assistance doivent entendre de la part de leur direction et des équipes de sécurité qu'ils doivent suivre les processus établis, exiger de la documentation et vérifier les utilisateurs.en particulier pour les demandes exceptionnelles, afin de maintenir une pratique sécurisée.
Votre service d'assistance doit savoir que les équipes de sécurité et de direction le soutiennent. Il ne s'agit pas seulement d'un changement technique ou opérationnel, mais d'une valeur culturelle que la direction doit cultiver dans l'ensemble de l'organisation. En effet, il est tout aussi probable que les demandes à haut risque proviennent de dirigeants internes, de VIP externes ou d'acteurs de la menace qui pourraient contacter votre équipe de support client avec une demande "urgente" pour résoudre un problème ou obtenir un accès.
Dans ces situations, un employé du service d'assistance ne peut pas toujours dire "non". Au lieu de cela, cultivez la technologie, le processus et la culture qui lui permettront de dire "Oui, et voici ce que je vous demande de faire pour y parvenir" : "Oui, et voici ce que vous devez faire pour y parvenir". Le fait de prévoir ces étapes à l'avance et de savoir que les dirigeants et l'équipe de sécurité soutiendront le service d'assistance lorsque des mesures supplémentaires seront nécessaires pourrait faire la différence dans la prévention d'une atteinte à la protection des données.
Il ne s'agit pas seulement d'un processus descendant : les organisations doivent utiliser les outils suivants l'automatisation lorsqu'il est judicieux de limiter votre exposition aux processus manuels ou à la pression des VIP. L'automatisation ne sera pas une solution miracle : votre service d'assistance devra peut-être encore répondre aux appels qui demandent des exceptions et renvoyer les appelants vers l'automatisation ou mettre en place une procédure d'escalade qui nécessite des approbations de confiance.
Supposons que vous ayez pris toutes les mesures ci-dessus : vous avez rencontré vos services d'assistance, compris ce qu'ils peuvent faire, répertorié les actions à haut risque à prioriser, créé de la documentation, et votre équipe de direction explique régulièrement que votre organisation penchera toujours du côté de la sécurité, même si cela doit gêner un utilisateur.
La prochaine question à laquelle vous devez répondre est la suivante : comment votre service d'assistance ou votre équipe de soutien à la clientèle vérifiera-t-il l'identité de l'utilisateur ? L'authentification de l'identité de l'utilisateur est absolument essentielle, car aussi bien conçue ou documentée que soit votre sécurité en matière d'assistance, elle est inefficace si un membre de votre équipe s'efforce de répondre à une demande à laquelle l'utilisateur n'a pas droit.
Récemment, la vérification visuelle a été désignée comme l'un des moyens de répondre aux problèmes de phishing. Les organisations peuvent examiner les NIST 800.63A pour voir si les capacités nécessaires à la vérification de la force "supérieure" sont adaptées à leur situation. Compte tenu des exigences techniques nécessaires pour parvenir à une vérification visuelle indépendante et de la formation dont votre service d'assistance a besoin pour mettre en œuvre ce mécanisme, il convient de faire preuve de prudence. La vérification visuelle pourrait toujours être sujette aux "deepfakes", qui sont de plus en plus faciles à réaliser, s'il s'agit d'un service d'assistance à distance qui ne connaît pas la personne qui fait la demande. En raison de ces difficultés, je suis sceptique quant à l'efficacité de la vérification visuelle dans la plupart des situations.
Au lieu de cela, les organisations peuvent utiliser une approche traditionnelle de défense en profondeur et l'AMF pour vérifier que la personne est bien celle qu'elle prétend être. Une demande bien formulée et une méthode de vérification peuvent commencer par un seul vecteur de confiance initial - comme un e-mail défini ou une connexion à un portail d'assistance - mais devraient également intégrer des facteurs supplémentaires tels qu'un contact hors bande utilisant un deuxième système de confiance. Les méthodes d'utilisation d'un contact hors bande pourraient inclure :
- Approbation du gestionnaire : vérifiez systématiquement que le gestionnaire approuve la demande d'accès dans votre système de billetterie.
- Appelez le responsable (pour l'employé) ou le contact dans le dossier (pour le client) pour qu'il vérifie si la demande est valable. Un responsable dispose généralement d'une méthode hors bande pour contacter ses employés.
- Organisez une conférence téléphonique en commençant par l'employé du service d'assistance et l'utilisateur qui fait la demande. Demandez ensuite à une troisième personne de se joindre à l'appel, par exemple un responsable ou un membre de l'équipe, afin de vérifier visuellement l'utilisateur et sa demande.
- Pour accélérer l'approbation, vous pouvez également faire appel à un pair ou à un assistant figurant dans l'annuaire de l'entreprise pour vérifier la demande.
Tout système de vérification peut être défaillant, mais la combinaison d'éléments non liés pour valider l'identité avant de répondre à une demande à haut risque peut contribuer à garantir que votre service d'assistance est protégé contre la plupart des tentatives d'hameçonnage. Dans les exemples donnés, tenez compte de la proximité ou de l'éloignement des éléments dans le paysage technique - par exemple, si vous êtes une boutique Microsoft utilisant Active Directory, M365 pour le courrier électronique et Teams, vous ne voudrez peut-être pas combiner ces éléments qui sont étroitement liés si vous voulez l'approche MFA la plus solide.
Un autre moyen de protéger votre service d'assistance et d'autres opérations commerciales contre les attaques d'ingénierie sociale de ce type est la vérification de l'identité. Nous vous en dirons bientôt plus à ce sujet - surveillez cet espace.
