Comme vous l’avez peut-être vu la semaine passée, les derniers travaux de notre équipe de recherche en sécurité Photon s’intéressent à ce phénomène de plus en plus inquiétant qu’est la prise de contrôle de comptes (ATO) et à ses conséquences dramatiques sur les entreprises à travers le monde.
L’usurpation d’identifiants est une composante clé des attaques ATO, puisque c’est en mettant la main sur ces informations de connexion et en les exploitant que les cyberpirates parviennent à accéder à des comptes professionnels. Notre dernière étude montre que plus de 15 milliards d’identifiants sont actuellement en circulation, soit une augmentation de plus de 300 % depuis 2018.
Il s’agit donc d’un problème majeur pour l’ensemble des entreprises et leurs équipes de sécurité. Heureusement, si les identifiants qu’ils gèrent ont été dérobés, certains fournisseurs peuvent envoyer des alertes à l’équipe de sécurité concernée lorsque ces informations apparaissent sur des forums criminels ou des marketplaces, ou sont publiquement diffusées d’une quelconque autre manière. Toutefois, bon nombre de leurs outils présentent des limites, beaucoup ne fournissent pas les mots de passe correspondants, et d’autres ne sont pas en mesure de collecter des informations à partir de sources fermées. La principale difficulté pour les équipes de sécurité reste toutefois que ces outils mobilisent des efforts bien trop importants, et parfois vains, pour déterminer ce qui constitue réellement un risque.
DES SOC ASSIÉGÉS DE TOUTES PARTS
Fortes de cette visibilité, les équipes de sécurité peuvent alors vérifier si ces identifiants sont légitimes et actifs dans leurs systèmes d’authentification et, le cas échéant, elles peuvent réinitialiser les mots de passe avant même que les comptes ne soient attaqués.
Pour ces équipes, il y a toutefois un pas de géant à franchir entre la réception de ces alertes et la mise en place des mesures nécessaires pour protéger efficacement leur entreprise. Les SOC d’aujourd’hui sont non seulement pris d’assaut par les cybercriminels, mais aussi submergés par le volume d’incidents qu’ils ont à gérer quotidiennement.
D’après ESG Research, « 42 % des professionnels de la cybersécurité indiquent que leur entreprise ignore une part importante des alertes de sécurité du fait qu’elles sont bien trop nombreuses ». Comme la majorité des « nouveaux » identifiants compromis aujourd’hui sont en réalité des doublons, le problème de la prise de contrôle de comptes est d’autant plus difficile à gérer pour les équipes de sécurité. Chez Digital Shadows, nous avons également identifié une nouvelle tendance au cours des dernières années : les identifiants volés sont de plus en plus souvent regroupés puis redéployés dans des fichiers globaux plus volumineux contenant des millions d’identifiants, ce qui donne encore plus de fil à retordre aux équipes de sécurité qui tentent de gérer au mieux ces alertes.
Par ailleurs, au-delà de la simple question du volume, une enquête réalisée par Fidelis souligne : « Le manque d’intégration de contrôles de sécurité freine les procédures d’investigation et de remédiation des risques. Ainsi, d’après les résultats, 70 % des répondants ont indiqué qu’au moins la moitié de leurs contrôles de sécurité n’étaient pas intégrés. »
Il ne nous apparaît donc pas étonnant que dans son nouveau rapport intitulé Hype Cycle for Security Operations (2020), Gartner en arrive à la conclusion suivante : « Les solutions clé en main et peu complexes sont de plus en plus demandées, notamment par les entreprises de petite taille ou encore peu matures en matière de sécurité, et qui souhaitent bénéficier de services et de technologies ne nécessitant que peu de compétences spécialisées ou des infrastructures minimales en interne*. »
DE NOUVELLES FONCTIONNALITÉS QUI LIMITENT LE TRI MANUEL
Conscients de ces difficultés, nous sommes ravis de vous annoncer qu’avec les nouveaux services qu’il propose pour la détection et la remédiation de l’usurpation d’identifiants, Digital Shadows entend bien devenir le meilleur allié des SOC. Pour ce faire, nous mettons la priorité sur l’opérationnalisation de nos identifiants qui viendraient à être compromis, afin de faire gagner du temps aux SOC, de réduire ses délais d’intervention et d’alléger sa charge de travail :
- Accélération du tri des alertes grâce à la suppression des doublons
- Validation du format des mots de passe
Ces nouvelles fonctionnalités sont accompagnées de playbooks établis conformément aux exigences du NIST et intègrent des options de retrait de contenu.
Découvrez-les plus en détail en consultant cet autre article : https://www.digitalshadows.com/blog-and-research/searchlights-credential-validation/.
CONCENTREZ-VOUS SUR LA RÉDUCTION DES RISQUES, PAS SUR LE BRUIT
Dans le cadre de notre approche globale de la protection contre les risques numériques, chacune de ces mesures aide non seulement les entreprises à détecter leurs identifiants usurpés, mais aussi à réduire les risques le plus efficacement possible. Tel que Gartner le souligne dans ce même rapport sur les services de protection contre les risques numériques, « cette technologie élargit et renforce la protection des actifs numériques dans l’entreprise en améliorant sensiblement la capacité à agir pour limiter les risques et les conséquences*. »
Pour découvrir comment Digital Shadows peut assurer à votre entreprise une protection contre les risques numériques, y compris contre la prise de contrôle de comptes, contactez-nous afin de bénéficier d’une démonstration personnalisée.
* Gartner, Hype Cycle for Security Operations, Pete Shoard, 23 juin 2020