Compromised Credentials: Everything You Need to Know

Il y a compromission des données d'identification lorsque les clés d'accès à un compte légitime sont volées et utilisées par des pirates. Cela représente un risque majeur pour toute ressource connectée à ce compte de confiance et permet aux pirates de lancer des attaques de longue durée et très complexes.

Lors d'une attaque, plusieurs cas de compromission d'informations d'identification peuvent s'enchaîner lorsque l'acteur malveillant passe d'un compte de niveau inférieur à un compte administratif.

Repérer la compromission des informations d'identification est le seul moyen de mettre fin à une attaque à l'avance.

Demander une démo En savoir plus

Comment les données d'identification sont-elles compromises ?

Définissons clairement les informations d'identification : la plupart des gens pensent qu'il s'agit simplement de la combinaison mot de passe/nom d'utilisateur sur laquelle la plupart des services s'appuient habituellement, mais le monde des informations d'identification évolue rapidement.

La biométrie et les clés d'accès sans mot de passe sont de plus en plus populaires, et l'essor de l'authentification multi-facteurs (MFA) nous offre une liste croissante d'options pour sécuriser leurs comptes et leurs données.

Les attaquants disposent ainsi de moyens nouveaux et intéressants pour voler ces informations d'identification.

Attaques comportementales

Traditionnellement, les moyens les plus efficaces d'obtenir des courriels et des mots de passe ont été d'autres violations de données (qui peuvent fournir des courriels et parfois des mots de passe en clair) et des attaques par hameçonnage.

Le succès du vol d'informations d'identification lors d'une violation de données dépend fortement de l'efficacité du système :

  • Mauvaise habitude de l'utilisateur final de réutiliser les mots de passe
  • Ne pas modifier les informations d'identification administratives

Les courriels d'hameçonnage conduisent les victimes à une fausse page de connexion. Identiques à leurs homologues légitimes, ces faux écrans de connexion envoient les informations d'identification à la base de données de l'attaquant. Bien que ces deux phénomènes soient encore très répandus, les défenses de hameçonnage des organisations ralentissent le taux de vol de données d'identification de hameçonnage.

Ils sont remplacés par des enregistreurs de frappe et des attaques par force brute.

Attaques techniques

Les enregistreurs de frappe existent depuis longtemps : une fois installés, ils enregistrent les frappes de l'utilisateur et les envoient à un serveur C2. Les mots de passe ne sont pas les seuls à être collectés : les ressources sensibles et les communications internes peuvent toutes être récupérées. Les attaques par force brute consistaient à ce qu'un robot saisisse manuellement toutes les combinaisons possibles de lettres et de chiffres ( credential stuffing ) dans l'espoir qu'il saisisse aveuglément la combinaison correcte.

Tout comme les enregistreurs de frappe, les attaques par force brute ont évolué...

Le "Kerberoasting" est un exemple de force brute intelligente : le protocole Kerberos est utilisé par le service d'authentification de Windows pour s'assurer que l'utilisateur est autorisé à accéder au serveur qu'il sollicite. Si un utilisateur possède la clé d'accès du ticket Kerberos, il a accès au serveur.

(Qu'ils aient ou non l'adresse électronique ou le mot de passe d'un compte sous-jacent).

Dans le cadre d'une attaque de type "Kerberoasting", un pirate vole ces tickets chiffrés, puis recherche les clés de chiffrement par force brute ou à l'aide d'un dictionnaire. Ils ont besoin d'une base initiale d'autorisations pour demander des tickets Kerberos - ce qui signifie que le Kerberoasting commence généralement après qu'un compte de niveau inférieur a été compromis.

Cela fait de Kerberoasting une option populaire pour l'escalade des privilèges.

Comment détecter les informations d'identification compromises ?

Pour détecter les informations d'identification compromises, les entreprises utilisent des systèmes d'analyse des entités et des comportements des utilisateurs (UEBA) pour surveiller l'activité des utilisateurs et identifier les comportements inhabituels qui peuvent signaler des menaces pour la sécurité.

Les solutions UEBA rassemblent et analysent des données provenant de sources telles que

  • réseau appareil
  • SYSTÈMES D’EXPLOITATION
  • Applications

Ils le font pour établir une base de référence pour le comportement typique de l'utilisateur au fil du temps. Lorsque l'activité s'écarte de ces modèles établis, elle peut signaler une compromission potentielle de l'identifiant ou du compte.

Les plateformes de gestion de l'information et des événements de sécurité (SIEM) jouent également un rôle clé dans la détection des comptes compromis. En collectant et en analysant les journaux de sécurité de l'ensemble de l'organisation, les outils SIEM (Gestion de l'information et des événements de sécurité) établissent des corrélations entre les événements afin de détecter les comportements suspects, tels que

  • Tentatives de connexion inhabituelles
  • Anomalies de localisation
  • Élévation des privilèges sans autorisation

(ce qui pourrait indiquer une violation de la sécurité.)

La surveillance continue des comptes d'utilisateurs et des activités d'authentification est essentielle pour identifier rapidement les compromissions potentielles, ce qui permet aux organisations de réagir rapidement pour atténuer les risques.

Arrêtez la compromission des informations d'identification avec Check Point Harmony

Check Point Harmony empêche la réutilisation des mots de passe et détecte le vol d'informations d'identification en combinant des restrictions basées sur des règles avec une détection avancée des anomalies.

La politique Secure Browser Access de Check Point permet aux administrateurs d'empêcher la réutilisation des mots de passe, en définissant des domaines d'entreprise spécifiques où la réutilisation des mots de passe est interdite. Une fois que ces domaines protégés sont configurés et synchronisés avec l'extension du navigateur de l'utilisateur, le système capture et stocke localement une version hachée du mot de passe (à l'aide de SHA-256 avec HMAC) lorsqu'un utilisateur saisit des informations d'identification pour l'un de ces domaines désignés.

En stockant ce hachage de mot de passe, l'extension peut détecter si le même mot de passe est réutilisé dans un autre domaine non protégé.

Si la réutilisation du mot de passe est détectée, le système déclenche une réponse préconfigurée, telle que :

  • Enregistrement de l'incident
  • Alerter l'utilisateur

Cette approche permet de sécuriser les domaines en dehors d'Active Directory.

Pour détecter les informations d'identification compromises, Check Point utilise un moteur de détection des anomalies qui identifie des modèles d'activité inhabituels chez les utilisateurs légitimes. Le système établit des profils d'utilisateurs basés sur les heures de connexion, les lieux, les transferts de données et le comportement en matière de courrier électronique afin d'établir une base de comportement typique.

Si un écart significatif commence à apparaître, chaque action anormale est analysée et évaluée en fonction de sa gravité : Les événements "critiques" signalent une forte probabilité de compromission du compte et nécessitent une investigation immédiate, ce qui les place en tête des flux de travail des équipes de sécurité.

Les systèmes analytiques ne sont pas les seuls à être automatisés... 

Le système Harmony Email & Collaboration peut déclencher des alertes sur la base d'une inspection des courriels récents de l'utilisateur au cours des dernières heures. Son moteur anti-hameçonnage évalue de près les liens ou les courriels susceptibles de constituer un hameçonnage. Si l'inspection révèle des communications à haut risque, le moteur peut mettre en quarantaine les courriels ou actions ultérieurs.

Si vous avez besoin des capacités offertes par ce service mais que vous ne disposez pas de la main-d'œuvre nécessaire, jetez un coup d'œil aux services de gestion des risques externes de Check Point.

Cette approche globale, qui combine la prévention de la réutilisation des mots de passe et la détection sophistiquée des anomalies, contribue à protéger les informations d'identification tout en permettant une réponse rapide à tout incident de sécurité détecté. Si vous êtes préoccupé par les activités au sein de votre réseau d'entreprise, contactez un expert en sécurité dès aujourd'hui.

Commencez

Prévention de la prise de contrôle des comptes

Harmony Browse

Harmony Email & Collaboration

ThreatCloud

Sujets connexes

Qu’est-ce que le credential stuffing ?

Qu’est-ce que la sécurité Web ?

Qu’est-ce que le filtrage Web ?

Qu’est-ce que le filtrage d’URL ?

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK