• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Les attaques d'escalade de privilèges se produisent lorsque des acteurs malveillants exploitent des erreurs de configuration, des bogues, des mots de passe faibles et d'autres vulnérabilités qui leur permettent d'accéder aux actifs protégés.

    Un exploit typique peut commencer lorsque l'attaquant a d'abord accès à un compte à privilèges de bas niveau. Une fois connectés, les attaquants étudieront le système pour identifier d'autres vulnérabilités qu'ils peuvent exploiter davantage. Ils utilisent ensuite les privilèges pour emprunter l'identité des utilisateurs réels, accéder aux ressources cibles et effectuer diverses tâches sans être détectés.

    Les attaques d'escalade de privilèges sont soit verticale or horizontal.

    Dans un type vertical, l'attaquant accède à un compte, puis exécute des tâches en tant que cet utilisateur. Pour le type horizontal, l'attaquant aura d'abord accès à un ou plusieurs comptes avec des privilèges limités, puis compromettra le système pour obtenir plus d'autorisations pour exécuter des rôles administratifs.

    Ces autorisations permettent aux attaquants d'effectuer des tâches administratives, de déployer des logiciels malveillants ou de réaliser d'autres activités indésirables. Par exemple, ils peuvent perturber les opérations, modifier les paramètres de sécurité, voler des données ou compromettre les systèmes de sorte qu'ils laissent des portes dérobées ouvertes exploiter dans le futur.

    Généralement, tout comme les cyberattaques, l'élévation de privilèges exploite le système et traite les vulnérabilités des réseaux, des services et des applications. Ainsi, il est possible de les éviter en déployant une combinaison de bonnes pratiques et d'outils de sécurité. Une organisation doit idéalement déployer des solutions capables d'analyser, de détecter et de prévenir un large éventail de vulnérabilités et de menaces de sécurité potentielles et existantes.

    Meilleures pratiques pour empêcher les attaques par élévation de privilèges

    Les organisations doivent protéger tous leurs systèmes et données critiques ainsi que d'autres domaines qui peuvent sembler peu attrayants pour les attaquants. Tout ce dont un attaquant a besoin, c'est de pénétrer dans un système. Une fois à l'intérieur, ils peuvent rechercher des vulnérabilités qu'ils exploitent davantage pour obtenir des autorisations supplémentaires. Outre la protection des actifs contre les menaces externes, il est tout aussi important de prendre suffisamment de mesures pour empêcher les attaques internes.

    Bien que les mesures réelles puissent différer selon les systèmes, les réseaux, l'environnement et d'autres facteurs, voici quelques techniques que les organisations peuvent utiliser pour sécuriser leur infrastructure.

    Protégez et analysez votre réseau, vos systèmes et vos applications

    En plus de déployer une solution de sécurité en temps réel, il est essentiel de scannez régulièrement tous les composants de l'infrastructure informatique pour les vulnérabilités qui pourraient permettre à de nouvelles menaces de pénétrer. Pour cela, vous pouvez utiliser un scanner de vulnérabilité efficace pour trouver des systèmes d'exploitation et des applications non corrigés et non sécurisés, des erreurs de configuration, des mots de passe faibles et d'autres failles que les attaquants peuvent exploiter.

    analyser votre ordinateur après avoir été infecté

    Bien que vous puissiez utiliser divers scanners de vulnérabilités pour identifier les faiblesses des logiciels obsolètes, il est généralement difficile ou peu pratique de mettre à jour ou de corriger tous les systèmes. En particulier, c'est un défi lorsqu'il s'agit de composants hérités ou de systèmes de production à grande échelle.

    Dans de tels cas, vous pouvez déployer des couches de sécurité supplémentaires telles que des pare-feu d'application Web (WAF) qui détectent et arrêtent le trafic malveillant au niveau du réseau. En règle générale, le WAF protège le système sous-jacent même s'il n'est pas corrigé ou obsolète.

    Gestion appropriée des comptes de privilèges

    Il est important de gérer les comptes privilégiés et de s'assurer qu'ils sont tous sécurisés, utilisés selon les meilleures pratiques et non exposés. Les équipes de sécurité doivent avoir un inventaire de tous les comptes, où ils existent et à quoi ils servent. 

    D'autres mesures comprennent

    • Minimiser le nombre et la portée des comptes privilégiés, surveiller et tenir un journal de leurs activités.
    • Analyser chaque utilisateur ou compte privilégié pour identifier et traiter les risques, les menaces potentielles, les sources et les intentions de l'attaquant
    • Principaux modes d'attaque et mesures de prévention
    • Suivez le principe du moindre privilège
    • Empêchez les administrateurs de partager des comptes et des informations d'identification.

    Surveiller le comportement des utilisateurs

    L'analyse du comportement des utilisateurs peut découvrir s'il existe des identités compromises. Habituellement, les attaquants cibleront les identités des utilisateurs qui donnent accès aux systèmes de l'organisation. S'ils réussissent à obtenir les informations d'identification, ils se connecteront au réseau et risquent de ne pas être détectés pendant un certain temps.

    Comme il est difficile de surveiller manuellement le comportement de chaque utilisateur, la meilleure approche consiste à déployer une solution UEBA (User and Entity Behavior Analytics). Un tel outil surveille en permanence l'activité des utilisateurs au fil du temps. Il crée ensuite une base de comportement légitime qu'il utilise pour découvrir des activités inhabituelles qui indiquent un compromis.

    Le profil résultant contient des informations telles que l'emplacement, les ressources, les fichiers de données et les services auxquels l'utilisateur accède et la fréquence, les réseaux internes et externes spécifiques, le nombre d'hôtes ainsi que les processus exécutés. Avec ces informations, l'outil peut identifier les actions ou paramètres suspects qui s'écartent de la ligne de base.

    Fonctionnement de l'analyse du comportement des utilisateurs et des entités

    Politiques de mot de passe solides et application

    Établissez et appliquez des politiques solides pour garantir que les utilisateurs disposent de mots de passe uniques et difficiles à deviner. De plus, l'utilisation d'une authentification multifacteur ajoute une couche supplémentaire de sécurité tout en surmontant les vulnérabilités qui peuvent survenir lorsqu'il est difficile d'appliquer manuellement des politiques de mot de passe strictes.

    Les équipes de sécurité doivent également déployer les outils nécessaires tels que les auditeurs de mots de passe, les responsables de l'application des politiques et autres qui peuvent analyser les systèmes, identifier et signaler les mots de passe faibles ou inciter à agir. Les outils d'application garantissent que les utilisateurs mots de passe forts en termes de longueur, de complexité et de politiques de l'entreprise.

    Les organisations peuvent également utiliser des outils de gestion des mots de passe d'entreprise pour aider les utilisateurs à générer et à utiliser des mots de passe complexes et sécurisés conformes aux stratégies des services qui nécessitent une authentification.

    Des mesures supplémentaires telles que l'authentification multifacteur pour déverrouiller le gestionnaire de mots de passe améliorent encore sa sécurité, ce qui rend presque impossible pour les attaquants d'accéder aux informations d'identification enregistrées. Les gestionnaires de mots de passe d'entreprise typiques incluent Gardien, Dashlane, 1Password.

    Désinfectez les entrées des utilisateurs et sécurisez les bases de données

    Les attaquants peuvent utiliser des champs de saisie utilisateur vulnérables ainsi que des bases de données pour injecter du code malveillant, accéder et compromettre les systèmes. Pour cette raison, les équipes de sécurité doivent utiliser les meilleures pratiques telles qu'une authentification forte et des outils efficaces pour protéger les bases de données et toutes sortes de champs de saisie de données.

    Une bonne pratique consiste à crypter toutes les données en transit et au repos en plus de patcher les bases de données et de nettoyer toutes les entrées utilisateur. Des mesures supplémentaires incluent le fait de laisser les fichiers en lecture seule et de donner l'accès en écriture aux groupes et aux utilisateurs qui en ont besoin.

    Former les utilisateurs

    Les utilisateurs sont le maillon le plus faible de la chaîne de sécurité d'une organisation. Il est donc important de les responsabiliser et de les former à l'accomplissement de leurs tâches en toute sécurité. Sinon, un simple clic d'un utilisateur peut conduire à la compromission d'un réseau ou d'un système entier. Certains des risques incluent l'ouverture de liens malveillants ou de pièces jointes, la visite de sites Web compromis, l'utilisation de mots de passe faibles, etc.

    Idéalement, l'organisation devrait avoir des programmes réguliers de sensibilisation à la sécurité. De plus, ils devraient avoir une méthodologie pour vérifier que la formation est efficace.

    Outils de prévention des attaques par escalade de privilèges

    La prévention des attaques par élévation de privilèges nécessite une combinaison d'outils. Celles-ci incluent, mais sans s'y limiter, les solutions ci-dessous.

    Solution d'analyse du comportement des utilisateurs et des entités (UEBA)

    Exabeam

    Le Plateforme de gestion de la sécurité Exabeam est une solution d'analyse comportementale basée sur l'intelligence artificielle qui permet de suivre les activités des utilisateurs et des comptes sur différents services. Vous pouvez également utiliser Exabeam pour ingérer les journaux d'autres systèmes informatiques et outils de sécurité, les analyser et identifier et signaler les activités à risque, les menaces et autres problèmes.

    Plateforme de gestion de la sécurité Exabeam

    Les caractéristiques comprennent

    • Journalisation et fourniture d'informations utiles pour les enquêtes sur les incidents. Celles-ci incluent toutes les sessions lorsqu'un compte ou un utilisateur particulier a accédé à un service, un serveur ou une application, ou une ressource pour la première fois, un compte se connecte à partir d'une nouvelle connexion VPN, d'un pays inhabituel, etc.
    • La solution évolutive est applicable pour une seule instance, le cloud et les déploiements sur site
    • Crée une chronologie complète qui montre clairement le chemin complet d'un attaquant en fonction du compte ou du comportement de l'utilisateur normal et anormal.

    Cynet 360

    Le Plateforme Cynet 360 est une solution complète qui fournit des analyses comportementales, une sécurité du réseau et des terminaux. Il vous permet de créer des profils d'utilisateurs comprenant leurs géolocalisations, leurs rôles, leurs heures de travail, leurs modèles d'accès aux ressources sur site et dans le cloud, etc.

    La plateforme aide à identifier les activités inhabituelles telles que;

    • Première connexion au système ou aux ressources
    • Emplacement de connexion inhabituel ou utilisation d'une nouvelle connexion VPN
    • Plusieurs connexions simultanées à plusieurs ressources en très peu de temps
    • Comptes qui accèdent aux ressources en dehors des heures d'ouverture

    Outils de sécurité des mots de passe

    Password Auditor

    Le auditeur de mot de passe Les outils analysent les noms d'hôte et les adresses IP pour identifier automatiquement les informations d'identification faibles pour les services réseau et les applications Web telles que les formulaires Web HTTP, MYSQL, FTP, SSH, RDP, les routeurs réseau et autres qui nécessitent une authentification. Il tente ensuite de se connecter en utilisant les combinaisons faibles et communes de nom d'utilisateur et de mot de passe pour identifier et alerter sur les comptes avec des informations d'identification faibles.

    rapport d'auditeur de mot de passe

    Password Manager Pro

    Le ManageEngine Password Manager Pro vous offre une solution complète de gestion, de contrôle, de surveillance et d'audit du compte privilégié tout au long de son cycle de vie. Il peut gérer le compte privilégié, le certificat SSL, l'accès à distance ainsi que la session privilégiée.

    Système de gestion centralisée des mots de passe Password Manager Pro

    Les caractéristiques comprennent

    • Automatise et applique les réinitialisations fréquentes des mots de passe pour les systèmes critiques tels que les serveurs, les composants réseau, les bases de données et d'autres ressources
    • Stocke et organise toutes les identités de compte et mots de passe privilégiés et sensibles dans un coffre-fort centralisé et sécurisé.
    • Permet aux organisations de répondre aux audits de sécurité critiques ainsi qu'à la conformité aux normes réglementaires telles que HIPAA, PCI, SOX, etc.
    • Permet aux membres de l'équipe de partager en toute sécurité les mots de passe administratifs.

    Analyseurs de vulnérabilité

    Netsparker

    Netsparker est une solution de gestion et d'analyse des vulnérabilités évolutive et automatisée qui peut s'adapter aux exigences de toute organisation. L'outil peut analyser des réseaux et des environnements complexes tout en s'intégrant de manière transparente à d'autres systèmes, y compris les solutions CI / CD, SDLC et autres. Il possède des capacités avancées et est optimisé pour analyser et identifier les vulnérabilités dans des environnements et des applications complexes.

    Solution de gestion des vulnérabilités Netsparker

    De plus, vous pouvez utiliser Netsparker pour tester les serveurs Web afin de détecter les erreurs de configuration de sécurité que les attaquants peuvent exploiter. En règle générale, l'outil identifie les injections SQL, l'inclusion de fichiers distants, les scripts intersites (XSS) et d'autres vulnérabilités OWASP Top-10 dans les applications Web, les services Web, les pages Web, les API, etc.

    Acunetix

    Acunetix est une solution complète avec analyse et gestion des vulnérabilités intégrées et intégration facile avec d'autres outils de sécurité. Il aide à automatiser les tâches de gestion des vulnérabilités telles que l'analyse et la correction, vous permettant ainsi d'économiser sur les ressources.

    Scanner de vulnérabilité Acunetix

    Les fonctionnalités incluent;

    • S'intègre à d'autres outils tels que Jenkins, des trackers de problèmes tiers tels que GitHub, Jira, Mantis, etc.
    • Options de déploiement sur site et dans le cloud
    • Personnalisable en fonction de l'environnement et des exigences du client, ainsi que du support multiplateforme.
    • Identifiez et répondez rapidement à un large éventail de problèmes de sécurité, notamment les attaques Web courantes, les scripts intersites (XSS), les injections SQL, les logiciels malveillants, les erreurs de configuration, les actifs exposés, etc.

    Solutions logicielles de gestion des accès privilégiés (PAM)

    JumpCloud

    Jumpcloud est une solution d'annuaire en tant que service (DaaS) qui authentifie et connecte en toute sécurité les utilisateurs aux réseaux, systèmes, services, applications et fichiers. En règle générale, l'annuaire évolutif basé sur le cloud est un service qui gère, authentifie et autorise les utilisateurs, les applications et les appareils.

    Gestion des utilisateurs JumpCloud

    Les fonctionnalités incluent;

    • Il crée un répertoire faisant autorité sécurisé et centralisé
    • Prend en charge la gestion des accès utilisateurs multiplateformes
    • Fournit des fonctions d'authentification unique qui prennent en charge le contrôle de l'accès des utilisateurs aux applications via LDAP, SCIM et SAML 2.0
    • Fournit un accès sécurisé aux serveurs sur site et dans le cloud
    • Prend en charge l'authentification multifacteur
    • Dispose d'une administration automatisée de la sécurité et des fonctions associées telles que la journalisation des événements, les scripts, la gestion des API, PowerShell, etc.

    Ping Identity

    Identité Ping est une plate-forme intelligente qui fournit une authentification multifacteur, une connexion unique, des services d'annuaire, etc. Il permet aux organisations d'améliorer la sécurité et l'expérience de l'identité des utilisateurs.

    Diagramme d'autorité d'authentification Pingidentity

    Fonctionnalités

    • Authentification unique qui fournit une authentification sécurisée et fiable et un accès aux services
    • Authentification multifacteur qui ajoute des couches de sécurité supplémentaires
    • Gouvernance des données améliorée et capacité à se conformer aux réglementations en matière de confidentialité
    • Un service d'annuaire qui fournit une gestion sécurisée des identités et des données des utilisateurs à grande échelle
    • Options de déploiement cloud flexibles telles que Identity-as-a-Service (IDaaS), logiciels conteneurisés, etc.

    Foxpass

    Foxpass est une solution évolutive de contrôle des identités et des accès de niveau entreprise pour les déploiements sur site et dans le cloud. Il fournit des fonctionnalités de gestion de clés RADIUS, LDAP et SSH qui garantissent que chaque utilisateur n'accède qu'à des réseaux, serveurs, VPN et autres services spécifiques au moment autorisé.

    L'outil peut s'intégrer de manière transparente à d'autres services tels qu'Office 365, Google Apps, etc.

    Contrôle d'accès Foxpass

    AWS Secrets Manager

    AWS Secrets Manager vous offre un moyen fiable et efficace de sécuriser les secrets nécessaires pour accéder au service, aux applications et à d'autres ressources. Il vous permet de gérer, de faire pivoter et de récupérer facilement les clés d'API, les informations d'identification de la base de données et d'autres secrets.

    Gestionnaire de secrets AWS

    Il existe de plus solutions de gestion des secrets vous pouvez explorer.

    Conclusion

    Comme le cyber-attaques, l'escalade de privilèges exploite le système et traite les vulnérabilités des réseaux, des services et des applications. En tant que tel, il est possible de les prévenir en déployant les bons outils et pratiques de sécurité.

    Les mesures efficaces incluent l'application des moindres privilèges, des mots de passe forts et des politiques d'authentification, la protection des données sensibles, la réduction des surface d'attaque, sécuriser les informations d'identification des comptes, et plus encore. D'autres mesures incluent la mise à jour et les correctifs de tous les systèmes, logiciels et micrologiciels, la surveillance du comportement des utilisateurs et la formation des utilisateurs aux pratiques informatiques sûres.