Le nouveau nom à la mode dans les attaques de ransomware est Lapsus$. Si vous n'en avez pas encore entendu parler, vous avez probablement entendu parler de certaines des entreprises qu'ils ont attaquées, notamment Nvidia, Samsung, Okta et Microsoft, pour n'en citer que quelques-unes. Pour les non-informés, Lapsus$ est un groupe de pirates informatiques qui se concentre sur le vol de données et l'extorsion. Le groupe cible principalement les entreprises et a accumulé un nombre assez déconcertant de victimes mondiales notables.
Souvent, LAPSUS$ a abusé des faiblesses humaines au sein des entreprises, comme leur service informatique ou leur service clientèle. Dans d'autres cas, ils ont acheté des jetons de connexion déjà piratés sur des places de marché du dark web. En règle générale, certains professionnels de la cybersécurité considèrent qu'il s'agit là de menaces de faible niveau. En réalité, la sophistication n'est pas le seul critère qui rend un pirate plus menaçant ; c'est aussi son audace.
Figure 1 : Skyhigh Security: Anomalies Détections signalant une activité suspecte
Qu'il s'agisse de tactiques d'ingénierie sociale, d'échange de cartes SIM, d'attaques de phishing astucieuses ou de leurre manifeste d'employés internes, les opérateurs de Lapsus$ capitalisent sur les ressources offertes pour s'introduire dans le réseau de l'entreprise par des moyens populaires tels que le VPN et l'infrastructure de bureau virtuel (VDI).
Cela montre clairement que si des êtres humains travaillent pour vous, vous êtes vulnérable à l'ingénierie sociale. Personne ne doit être considéré comme incorruptible. L'implication immédiate pour les ressources en nuage est que vous devez réduire les autorisations d'accès des personnes au strict minimum dont elles ont réellement besoin pour effectuer leur travail. Étant donné que l'informatique dématérialisée stocke généralement des ressources très sensibles, le fait d'accorder des autorisations excessives à toute personne susceptible d'être victime d'une violation (pratiquement tout le monde !) peut entraîner une exposition injustifiée des joyaux de la couronne de l'organisation.
Comment ces violations se sont-elles produites ?
Utilisant principalement des techniques d'ingénierie sociale et de manipulation à grande échelle, le groupe Lapsus$ a accumulé une liste impressionnante de victimes dans le monde entier. Il est intéressant de noter que les incidents ont une approche commune : ils impliquent tous l'utilisation d'informations d'identification valides, pour finalement abuser des autorisations accordées à cette identité. Ces attaques nous rappellent clairement que l'authentification (qui êtes-vous ?) et l'autorisation (que pouvez-vous faire ?) sont essentielles à la sécurité. Les principes du moindre privilège et de la confiance zéro n'ont jamais été aussi applicables.
Que peut-on faire ?
Malgré tous vos efforts en matière d'authentification et d'autorisation, une brèche peut toujours se produire aux mains d'initiés motivés.
Cela soulève la question suivante : "Comment déterminer si les actions d'une entité autorisée et de confiance sont malveillantes ?" Les ensembles de permissions ont la fâcheuse habitude de s'insinuer et de s'étendre au fil du temps.
Figure 2 : Skyhigh Security: Evaluation des risques pour les utilisateurs mettant en évidence les menaces potentielles pour les initiés
Dans le cadre d'une approche Zero Trust Network Access (ZTNA), les organisations sont encouragées à segmenter leurs réseaux, à évaluer la posture des appareils qui les sollicitent et à fournir un accès contextuel aux applications et aux ressources (en utilisant les fonctionnalités DLP et Remote Browser Isolation ).
Dans le cas malheureux d'une menace interne, les détections basées sur les anomalies et les capacités d'analyse comportementale peuvent aider à repérer et à atténuer les comportements anormaux et potentiellement dangereux en établissant une base de référence de "l'activité normale" pour ce contexte spécifique, afin de mettre en évidence les anomalies ou les déviations pour qu'une action rapide soit prise.
Figure 3 : Skyhigh Security: Attributs de risque de l'utilisateur et pondérations des activités
Mais, bien entendu, la sécurité ne se résume pas à un ensemble de contrôles techniques. Les praticiens de la sécurité doivent examiner les autorisations, les processus et les procédures utilisés par les parties prenantes et les entités de confiance, qu'elles soient internes ou tierces. Les attaques susmentionnées ont incité le monde de la sécurité à tenir compte de ces principes fondamentaux.