De nombreuses organisations n'ont pas encore investi dans une solution PAM car elle peut être coûteuse et complexe. Bien que cela soit vrai pour certaines solutions
Les entreprises doivent prévenir les attaques par élévation des privilèges afin de protéger leurs données sensibles contre les accès non autorisés. Pour prévenir les attaques par élévation des privilèges, les organisations devraient mettre en place un accès selon le principe de moindre privilège possible, suivre les meilleures pratiques en matière de sécurité des mot de passe, appliquer l’authentification multifacteur (MFA), maintenir les logiciels à jour, surveiller le trafic réseau et effectuer régulièrement des tests d’intrusion.
Poursuivez votre lecture pour découvrir l’élévation des privilèges, son fonctionnement, les types d’attaques par élévation des privilèges et comment les entreprises peuvent les prévenir.
Qu’est-ce que l’élévation des privilèges et comment fonctionne-t-elle ?
L’élévation des privilèges est un type de cyberattaque dans lequel les acteurs malveillants tentent d’étendre leurs niveaux de privilèges au sein des systèmes, des applications et du réseau d’une organisation. Grâce à l’élévation des privilèges, les cybercriminels peuvent accéder aux données et aux systèmes sensibles d’une organisation, ce qui leur permet de manipuler des données, de voler des informations confidentielles, de perturber les opérations, de commettre des fraudes, d’extorquer l’organisation et de divulguer les données au public ou sur le dark Web.
L’élévation des privilèges est due à une mauvaise gestion des accès à privilèges (PAM). Après avoir obtenu un premier accès, les cybercriminels identifient et exploitent les privilèges mal gérés, les failles de sécurité, les mauvaises configurations, les erreurs humaines et les défauts des systèmes d’une organisation pour étendre leurs privilèges et obtenir d’autres accès non autorisés. Ils essaieront soit d’élargir leur sphère d’accès à des comptes ayant des privilèges similaires, soit d’élever leurs privilèges en obtenant un accès de plus haut niveau aux comptes d’administrateur.
Comment prévenir les attaques par élévation des privilèges
L’élévation des privilèges peut être difficile à détecter et peut permettre aux cybercriminels de voler des données sensibles et de perturber les opérations d’une organisation. Pour prévenir les attaques par élévation des privilèges, les organisations doivent mettre en œuvre les pratiques suivantes.
1. Mettre en place un accès selon le principe du moindre privilège
Le principe de moindre privilège (PoLP) est un concept de cybersécurité qui donne aux utilisateurs un accès réseau suffisant aux informations et aux systèmes dont ils ont besoin pour faire leur travail, et pas plus. Il empêche les utilisateurs d’accéder aux ressources dont ils n’ont pas besoin et limite ce qu’ils peuvent faire avec les ressources auxquelles ils ont accès. L’accès selon le principe de moindre privilège permet d’atténuer les effets des violations de données en réduisant la surface d’attaque d’une organisation, en minimisant les menaces internes et en empêchant les mouvements latéraux des acteurs malveillants.
La meilleure façon de mettre en œuvre un accès selon le principe de moindre privilège est d’utiliser un Privileged Access Manager. Un Privileged Access Manager est une plateforme centralisée qui permet aux organisations de sécuriser et de gérer les comptes à privilèges. Avec un Privileged Access Manager, les entreprises disposent d’une visibilité totale de leur infrastructure de données. Ils peuvent voir qui accède aux ressources sensibles et comment ces ressources sont utilisées. Un Privileged Access Manager permet aux organisations de surveiller les sessions à privilèges, de déterminer les privilèges des comptes, d’appliquer l’accès juste-à-temps et d’auditer régulièrement les privilèges.
2. Suivez les meilleures pratiques en matière de sécurité des mots de passe
Pour protéger les comptes à privilèges contre les accès non autorisés des cybercriminels, les entreprises doivent suivre les meilleures pratiques en matière de sécurité des mots de passe. Les cybercriminels tenteront d’élever leurs privilèges en exécutant des attaques de mot de passe pour deviner les mots de passe faibles et réutilisés. Les organisations doivent utiliser des mots de passe forts et uniques pour sécuriser les comptes à privilèges. Les mots de passe forts et uniques sont à la fois longs et complexes, ce qui rend difficile pour les cybercriminels de les craquer et de compromettre les comptes à privilèges.
Pour s’assurer que les comptes à privilèges sont protégés par des mots de passe forts et uniques, les organisations devraient investir dans un gestionnaire de mots de passe. Un gestionnaire de mots de passe d’entreprise est un outil qui stocke et gère en toute sécurité les mots de passe des employés dans un coffre-fort numérique chiffré. Le coffre-fort numérique est protégé par plusieurs couches de chiffrement et n’est accessible qu’avec un mot de passe maître fort. Un gestionnaire de mots de passe permet aux administrateurs de consulter les pratiques des employés en matière de mot de passe et d’imposer l’utilisation de mots de passe forts. Certains gestionnaires d’accès à privilèges sont souvent dotés de capacités de gestion des mots de passe qui permettent aux organisations de gérer facilement la sécurité des comptes à privilèges.
3. Appliquez l’utilisation de la MFA
L’authentification multifacteur (MFA) est un protocole de sécurité qui exige des utilisateurs qu’ils fournissent des couches d’authentification supplémentaires pour accéder au réseau de leur entreprise. Lorsque la MFA est activée, les utilisateurs doivent fournir au moins deux formes d’authentification différentes.
Les organisations doivent mettre en œuvre la MFA pour ajouter une couche de sécurité supplémentaire pour les comptes à privilèges en s’assurant que l’accès est autorisé. Même si les identifiants de connexion d’un compte à privilèges ont été compromis, les cybercriminels ne peuvent toujours pas accéder au compte, car ils ne peuvent pas fournir l’authentification supplémentaire requise.
4. Maintenez les logiciels de votre organisation à jour
Les cybercriminels exploitent souvent les failles de sécurité des logiciels obsolètes. Les organisations doivent régulièrement mettre à jour leurs logiciels afin de corriger les bogues et les failles et d’ajouter des fonctionnalités de sécurité qui offrent une meilleure protection. La mise à jour régulière de vos logiciels empêche les cybercriminels d’exploiter les failles de sécurité, d’obtenir un accès initial au réseau d’une organisation et d’élever leurs privilèges.
5. Surveillez le trafic réseau
Pour identifier les attaques par élévation des privilèges, les entreprises doivent surveiller leur trafic réseau afin de détecter tout trafic inhabituel et tout comportement suspect de la part des utilisateurs. En surveillant le trafic réseau, les entreprises peuvent immédiatement identifier l’élévation des privilèges et prendre des mesures rapides pour y remédier. Les gestionnaires d’accès à privilèges permettent aux organisations de savoir qui accède à leur réseau et de surveiller les sessions à privilèges. Pour améliorer la sécurité de leur réseau, les organisations devraient créer des segments afin de surveiller et de gérer facilement le trafic réseau.
6. Exécutez régulièrement des tests d’intrusion
Un test d’intrusion, est un exercice de sécurité qui simule une cyberattaque sur les systèmes d’une organisation. Il permet d’évaluer la sécurité d’une organisation et d’identifier les failles de sécurité que les cybercriminels pourraient exploiter. Les organisations devraient effectuer régulièrement des tests d’intrusion afin d’améliorer leur sécurité en identifiant les vulnérabilités et en élaborant des solutions pour y remédier. Cela permettra de trouver et de supprimer les voies potentielles d’élévation des privilèges.
Techniques utilisées dans les attaques par élévation des privilèges
L’élévation des privilèges se divise en deux catégories : l’élévation des privilèges horizontale et verticale. Les deux techniques tentent d’obtenir un accès non autorisé aux ressources d’une organisation, mais diffèrent par le niveau de privilèges qu’elles tentent d’obtenir et par la manière dont elles s’y prennent.
Élévation horizontale des privilèges
L’élévation horizontale des privilèges se produit lorsqu’un cybercriminel tente d’accéder à des ressources et à des capacités avec des privilèges similaires à ceux du compte qu’il a initialement compromis. L’objectif de l’élévation horizontale des privilèges est d’accéder aux données, ressources et fonctionnalités d’un autre utilisateur sans élever ses niveaux de privilèges. Les cybercriminels peuvent utiliser l’élévation horizontale des privilèges pour voler des données à un utilisateur ciblé ou accéder à d’autres zones du réseau.
Les vecteurs d’attaque courants utilisés pour l’élévation horizontale des privilèges sont les suivants :
- Attaque de mot de passe : Une catégorie de cyberattaque qui tente d’accéder à un compte en devinant son mot de passe. Les cybercriminels utilisent souvent différents types d’attaques de mot de passe, comme la force brute, les enregistreurs de frappe, le pulvérisation de mot de passe et les attaques par dictionnaire.
- Détournement de session : Un type d’attaque de l’homme du milieu (MITM) dans lequel des cybercriminels volent les cookies du navigateur pour prendre le contrôle de votre session Internet. Lorsqu’une session est détournée, les cybercriminels peuvent l’utiliser pour accéder aux ressources de la victime.
- Pass-the-hash : Un type de cyberattaque dans lequel les cybercriminels volent un mot de passe haché et l’utilisent pour contourner le protocole d’authentification du réseau ou du système. Cela permet aux cybercriminels de se déplacer latéralement dans un réseau pour accéder à d’autres comptes à privilèges.
Élévation verticale des privilèges
L’élévation verticale des privilèges tente d’augmenter les privilèges au-delà de ceux dont dispose déjà un utilisateur, une application ou un système, et de passer d’un accès de bas niveau à un accès de haut niveau, comme le passage d’un compte d’utilisateur standard à un compte d’administrateur à privilèges. L’objectif de l’élévation verticale des privilèges est d’obtenir un contrôle de haut niveau sur le réseau. Une fois que les cybercriminels ont pris le contrôle du réseau, ils peuvent accéder à des ressources restreintes et effectuer des actions administratives telles que la modification des configurations, l’installation de logiciels malveillants et la création de nouveaux comptes d’utilisateurs.
Les vecteurs d’attaque courants utilisés pour l’élévation verticale des privilèges sont les suivants :
- Ingénierie sociale : Un type de manipulation psychologique utilisé par les acteurs malveillants pour inciter les gens à révéler des informations privées. Le phishing est une forme courante d’ingénierie sociale. Le phishing se produit lorsque des cybercriminels incitent les gens à révéler des informations en se faisant passer pour une personne connue de la victime.
- Mauvaises configurations : Erreurs et lacunes constatées dans les réseaux mal configurés. Les systèmes qui nécessitent une configuration manuelle présentent souvent des paramètres vulnérables et des contrôles de sécurité disparates s’ils ne sont pas correctement configurés. Les cybercriminels recherchent les mauvaises configurations du réseau pour les exploiter et élever leurs privilèges.
- Logiciels obsolètes : Vulnérabilités trouvées dans les logiciels obsolètes que les cybercriminels exploitent pour obtenir un accès non autorisé. La plupart des logiciels sont régulièrement mis à jour pour corriger les bogues et les failles exploités par les cybercriminels. Cependant, l’utilisation de logiciels obsolètes permet aux cybercriminels d’obtenir un accès non autorisé et d’élever leurs privilèges.
Utilisez Keeper® pour prévenir les attaques par élévation des privilèges
Le meilleur moyen de prévenir les attaques par élévation des privilèges est d’utiliser un Privileged Access Manager. Un Privileged Access Manager aide les organisations à mettre en place un accès selon le principe de moindre privilège, à obtenir une visibilité totale sur l’ensemble de leur infrastructure de données et à contrôler l’accès à leur réseau.
KeeperPAM™ est une solution de gestion des accès à privilèges Zero-Trust et Zero-Knowledge qui combine Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) et Keeper Connection Manager® (KCM). Avec KeeperPAM, les organisations peuvent sécuriser les mots de passe, les identifiants, les secrets, les privilèges et l’accès à distance, le tout sur une seule plateforme. KeeperPAM permet aux organisations d’avoir une visibilité, une sécurité et un contrôle complets sur chaque utilisateur et appareil à privilèges de leur réseau.