Cyber sécurité 
Bien que Jira soit le système de référence de nombreuses équipes DevOps et TI, l’extraction de secrets ou l’approbation de requêtes pour des informations privilégiées sont
L’un des changements les plus notables de la cybercriminalité depuis le début du 21e siècle a été la maturation de l’industrie illégale, passant de pirates individuels à des entreprises rentables. E-Root, une place de marché illégale mondiale, a été démantelée par les forces de l’ordre en 2020, mais elle a récemment fait la une des actualités, son administrateur risquant 20 ans de prison pour avoir vendu des comptes de protocole de bureau à distance (RDP) et de Shell sécurisés volés.
E-Root est spécialisée dans la facilitation de la vente de divers biens numériques, y compris les identifiants volés et l’accès à des serveurs compromis. Les acheteurs ont reçu des outils de recherche filtrés pour naviguer sur le marché, avec des critères tels que le FAI, le système d’exploitation, l’accès RDP ou SSH, etc. L’organisation cybercriminelle a opéré sur un réseau largement distribué pour améliorer la résilience et l’évasion, en incorporant des protections pour masquer les identités réelles des fournisseurs, des acheteurs et des administrateurs.
Cet incident rappelle brutalement l’importance de sécuriser les accès privilégiés pour prévenir les violations de données, alors que les cybermenaces ne cessent d’évoluer et de s’accroître.
Protocole de bureau à distance
Le RDP est un protocole de communication réseau qui permet aux utilisateurs de se connecter à distance aux ordinateurs sur site d’une entreprise par le biais du système d’exploitation Windows. Il est également couramment utilisé par les équipes informatiques pour effectuer la maintenance du serveur et d’autres tâches à distance.
Le RDP fonctionne comme un secret d’infrastructure que les humains utilisent, généralement les administrateurs informatiques et le personnel DevOps, bien que les utilisateurs finaux réguliers utilisent parfois le RDP pour accéder aux fichiers à distance.
Bien que le RDP soit un outil précieux pour l’administration à distance, elle devient un risque de sécurité important s’il est exploité par les cybercriminels. Pendant des années, les mots de passe RDP compromis ont été le vecteur le plus courant pour les infections par rançongiciel.
Les attaques par rançongiciel ne sont pas la seule mauvaise chose qui peut se produire si un mot de passe RDP est compromis. Une fois qu’un acteur malveillant effectue une violation du RDP, il peut utiliser des outils logiciels et des scripts de ligne de commande pour trouver et voler plus d’identifiants, se frayer un chemin dans le réseau de l’entreprise et accéder à ses fichiers. Ils peuvent voler ces fichiers, les supprimer, les modifier ou en faire ce qu’ils veulent.
Shell sécurisé
Le SSH est un protocole de réseau cryptographique utilisé pour la communication sécurisée des données, la connexion en ligne de commande à distance et d’autres services réseau sécurisés entre deux ordinateurs en réseau. Les clés SSH et d’autres identifiants de connexion sont des ressources vitales pour les équipes DevOps et DevSecOps, largement utilisées pour un accès sécurisé aux serveurs.
Il est difficile d’utiliser les clés SSH et d’autres identifiants de manière sécurisée. Le transport de clés sur un réseau ou entre les utilisateurs introduit un risque.
Il en résulte que les comptes SSH compromis peuvent être exploités pour obtenir un accès non autorisé sur les serveurs et les données sensibles d’une entreprise.
Si la seule façon de voler les comptes RDP et SSH est de passer par des liaisons à distance non sécurisées, existe-t-il un moyen efficace de prévenir cela ?
Adopter des mesures pour protéger les comptes RDP et SSH afin de ne pas se retrouver sur le Dark Web
Les entreprises s’appuient fortement sur le RDP et le SSH pour un fonctionnement transparent, ce qui en fait des cibles privilégiées pour les cybercriminels. Les comptes volés se retrouvent souvent sur les marchés du dark web tels que E-Root.
Bien que le démantèlement d’E-Root ait été un développement positif, de nombreuses autres places de marché illicites persistent, ce qui souligne la menace en cours. Pour protéger les identifiants SSH et RDP du vol et de l’utilisation abusive, les entreprises doivent prendre les mesures proactives suivantes :
- Comptes à privilèges sécurisés : mettez en œuvre des mesures robustes pour définir, gérer et sécuriser les comptes avec un accès élevé aux systèmes informatiques. Cela implique le stockage des mots de passe et des secrets dans un coffre-fort sécurisé, ainsi que des commandes d’accès basées sur les rôles pour restreindre les identifiants sensibles aux seules personnes qui ont absolument besoin d’y accéder.
- Appliquez le principe du moindre privilège : limitez les droits d’accès pour les utilisateurs, les applications et les systèmes en n’accordant que les niveaux d’accès minimaux nécessaires pour que les employés puissent effectuer leurs tâches requises. Avec la méthode du moindre privilège, les entreprises peuvent atténuer le risque d’accès non autorisé et d’utilisation abusive potentielle.
- Faites pivoter les identifiants : faites pivoter régulièrement les identifiants pour réduire les menaces de sécurité associées aux résiliations des employés, aux violations, à l’exposition du dark web, etc. Cette pratique améliore la sécurité en minimisant la fenêtre d’opportunité pour les acteurs malveillants pour ce qui est d’exploiter les identifiants compromis.
- Gérer les sessions à privilèges : assurez-vous que l’infrastructure critique est accessible par le biais de la gestion de la session des comptes à privilèges. Toutes les sessions doivent être sécurisées, et les identifiants doivent rester cachés pour les utilisateurs finaux pour prévenir tout accès non autorisé.
Keeper® est la meilleure option pour protéger les comptes RDP et SSH
La solution de gestion des accès à privilèges (PAM) de Keeper Security est une plateforme de nouvelle génération pour prévenir l’accès non autorisé aux systèmes et aux données critiques. KeeperPAM™ protège tous vos comptes RDP et SSH, les certificats numériques et d’autres jetons de connexion sensibles. L’architecture Zero-Trust et Zero-Knowledge de Keeper signifie que vos secrets, vos identifiants et vos connexions à distance ne sont accessibles qu’aux personnes autorisées.
Keeper Secrets Manager (KSM) permet aux équipes DevOps et DevSecOps de créer un accès programmatique dynamique à leurs secrets et à leurs identifiants au sein de leurs systèmes, sans avoir à se procurer et à installer un nouveau matériel ou un logiciel agent. KSM fonctionne dans le cloud avec des connexions pré-paramétrés pour les outils de premier plan de l’industrie. Cela facilite une intégration transparente de KSM dans la pile technologique actuelle d’une entreprise, ce qui élimine le besoin d’appareils supplémentaires tout en déployant l’architecture Zero-Knowledge et Zero-Trust de Keeper pour parvenir au plus haut niveau de sécurité.
Keeper Connection Manager (KCM) fournit au personnel informatique et DevOps un accès simple et sécurisé aux points de terminaison RDP, SSH, aux bases de données et aux points de terminaison Kubernetes, sans qu’aucun VPN n’ait à être utilisé. Avec KCM, il n’y a pas d’agents. Votre navigateur Web est le client et il n’y a pas d’impact sur vos gestionnaires de domaine ou d’autres services. Les utilisateurs ne peuvent accéder qu’aux connexions que leur administrateur leur a explicitement accordés avec des commandes d’accès granulaires.
Keeper Enterprise Password Manager (EPM) fournit aux équipes informatiques une visibilité totale et un accès au mot de passe de leurs utilisateurs. Chaque utilisateur obtient un coffre-fort numérique sécurisé pour stocker et partager ses identifiants, ses clés d’accès, ses fichiers sensibles, etc. Keeper s’intègre également avec les fournisseurs SSO et sans mot de passe pour une expérience d’authentification sans mot de passe de bout en bout.
Demandez une démo de Keeper dès aujourd’hui pour protéger votre entreprise.
