5 conseils pour éviter l’usurpation des comptes à privilèges

En analysant de plus près les dernières attaques de phishing, nous constatons que les utilisateurs privilégiés – ceux dont la fonction nécessite des accès importants au sein du réseau de l’entreprise – sont de plus en plus ciblés par du phishing. Cela permet effectivement aux cybercriminels de disposer plus rapidement de privilèges.

La prise de contrôle d’un compte privilégié permet d’obtenir rapidement et discrètement des accès importants, et c’est pour cette raison que cette technique est fréquemment l’une des premières étapes des cyberattaques. Un hacker pourra ainsi utiliser un compte à privilèges pour pénétrer un peu plus loin dans le réseau (élévation de privilèges) et accéder simplement à des données sensibles.

Ajouter du contrôle supplémentaire à ces comptes privilégiés n’est pas la bonne solution – car cela influe fortement sur leur utilisation, en empêchant notamment aux utilisateurs de réaliser certaines taches.

L’objectif est donc de détecter les élévations de privilèges malveillantes rapidement et de construire une procédure de réponse rapide pour colmater les brèches.

Voici 5 étapes clés pour mettre en place une stratégie de détection efficace de ce type d’élévations de privilèges :

> Toujours utiliser des comptes nominatifs : l’utilisation de comptes nominatifs reliés aux utilisateurs humains actifs est cruciale pour avoir une compréhension claire sur « qui a fait quoi sur le réseau ». Les investigations (analyses forensics), plus particulièrement par le biais d’outils de détection d’incidents en temps-réel, conduites sur des comptes partagés sont très difficiles voire impossibles à mener. Pour toute analyse efficace, il est indispensable de bénéficier d’un rapport d’audit détaillé et d’éléments de contexte appropriés. L’utilisation de comptes partagés prive de l’information de contexte la plus importante : l’utilisateur. 

> Tracer les activités des utilisateurs/comptes privilégiés en utilisant un niveau important de détails, et non pas en s’appuyant uniquement sur les logs : après avoir mis en place des comptes nominatifs, il est possible d’aller plus loin avec du traçage des activités de comptes privilégiés. Plus l’entreprise dispose de détails, plus elle a de chances de détecter les activités malveillantes. La plupart des solutions de surveillance traditionnelles se contentent d’enregistrer les logs, et ne sont pas capables d’enregistrer plus de détails. Après avoir réussi à pénétrer le système d’information, les hackers suivent généralement le même processus, ils vont procéder à une visite minutieuse du réseau. Ces mouvements au sein du réseau peuvent être identifiés par des signes distinctifs comme une augmentation du trafic vers un large éventail de ressources ou serveurs. Pour une détection rapide, ces détails sont indispensables. 

> Surveiller les comptes système (comptes non-humains) pour différencier les robots/scripts des hommes : lorsqu’il s’agit d’identifier des comptes privilégiés ou des utilisateurs, la plupart des entreprises échouent à lister les comptes non–humains (appelés comptes système) utilisés par des scripts, par des robots ou embarqués dans des applications. Et ceci représente une vraie problématique puisque cela créer des angles morts pour les systèmes de surveillance, et évidemment un déguisement parfait pour les hackers.

Puisque les fuites de données impliquent forcément des mouvements de données plus importants – que les mouvements classiques générés par des comportements habituels d’utilisateurs – l’utilisation de comptes système est une technique efficace utilisée par les hackers pour rendre plus difficile la détection. 

> Appliquer une surveillance temps-réel et l’analyse comportementale avec du profilage des utilisateurs : les hackers disposent de plusieurs méthodes pour cacher leurs activités ou se dissimuler derrière des accès légitimes et il est très difficile de créer des règles prédéfinies pour détecter ce type de cas.

Toutefois, la création de profils utilisateurs ou – l’analyse comportementale permet de détecter rapidement tout comportement inhabituel. Le principe est simple : surveiller et définir une base de références sur les activités des utilisateurs pour identifier toutes les anomalies dans les comportements.

Grâce à l’analyse comportementale, les cybercriminels peuvent être identifiés puisque leurs comportements vont forcément se distinguer de ceux des utilisateurs habituels. Il y a concrètement deux approches pour créer des profils utilisateurs : « Qui est l’utilisateur ? » et « Qu’est-ce que l’utilisateur est en train de faire ? »

•    La première approche se concentre sur l’être humain : comment se comporte la personne ? Cela permet de définir des empreintes comportementales personnelles qui sont très difficiles à imiter par les hackers. Les habitudes de chaque utilisateur sont définies sur la base d’éléments simples et très personnels : la façon dont l’utilisateur tape sur le clavier ; bouge sa souris ; effectue des commandes ; quels terminaux personnels ou programmes l’utilisateur préfère (type de smartphone, taille d’écran, navigateur utilisé, etc.) ; comment il travaille et est-ce qu’il fait des choses à côté, etc. Ces éléments peuvent évidemment évoluer au fil du temps, et certains sont impactés par l’environnement de travail, mais la combinaison de tous ces éléments permet d’identifier et d’authentifier en continu et avec précision l’utilisateur.

•    L’autre approche consiste à identifier ce que l’utilisateur est en train de faire. Alors que la première approche se concentre sur l’humain, cette seconde approche se concentre sur l’activité de l’utilisateur qui effectue un ensemble de taches et de missions. Plusieurs aspects sont à prendre en compte : quand l’utilisateur est-il actif ? Sur quelle amplitude horaire est-il au travail (Car certains hackers choisissent d’opérer en dehors des heures normales de travail) ? Où l’utilisateur est-il localisé ? A quel service accède t-il ? A quelles données ? Quelle quantité de données ont été consultées, copiées, envoyées en dehors du périmètre de l’entreprise ? Quelle est la fréquence des accès aux données/fichiers/serveurs ?

La récolte de ce type d’éléments permet de créer des profils par poste. Des profils qui peuvent également être affinés par l’analyse de groupes de références, c’est à dire par la comparaison des activités de l’utilisateur ciblé par rapport aux activités des utilisateurs qui font partis d’un groupe d’utilisateurs ayant des profils et missions similaires.  

La meilleure approche est évidemment de combiner les deux approches ci-dessus en créant deux profils parallèles sur les habitudes comportementales de l’utilisateur. Il n’y a pas de solution magique en matière d’analyse comportementale. Une approche peut fonctionner dans certains cas alors qu’une autre échoue à détecter un comportement suspicieux ; toutefois la combinaison des deux approches mène à de meilleurs résultats et à un système bien plus difficile à leurrer.

> Combiner investigation avec une vérification manuelle et automatique pour un délai de réponse rapide.
Le temps étant notre pire ennemi, il faut automatiser autant que possible pour améliorer l’efficacité de l’équipe de sécurité et pour accélérer le temps d’investigation. Disposer de profils utilisateurs et d’informations contextuelles peut permettre d’identifier plus rapidement les comportements vraiment anormaux, sur lesquels la sécurité doit se concentrer. Des réponses automatiques peuvent donc être utilisées pour bloquer et contrôler les accès d’un compte afin de ralentir l’avancée des hackers. 

Les comptes à privilèges sont toujours l’une des cibles préférées des hackers. Lorsque l’entreprise construit une stratégie de défense, elle doit désormais impérativement augmenter son périmètre de sécurité avec des capacités de défense basées sur plus d’informations et des techniques d’analyse comportementale.
La sécurité doit également considérer au même niveau les attaquants externes et internes et trouver la protection la plus efficace. La surveillance des utilisateurs et le profilage ne sont pas les solutions miracles mais elles peuvent combler des angles morts critiques que laissent des solutions traditionnelles autour des comptes et utilisateurs privilégiés.