Il y a eu une recrudescence récente des cyberattaques qui contournent les mesures de sécurité de l’authentification multifacteur (MFA), mettant en danger les systèmes des centres de données. Le défi pour les centres de données réside dans la nécessité de s’aligner sur une stratégie de sécurité d’entreprise globale qui peut conserver les protocoles MFA hérités et la nécessité de dépasser la MFA traditionnelle pour répondre aux besoins de sécurité uniques des centres de données.
En août, des attaquants ont trompé un employé de Cisco pour qu’il accepte une demande MFA et ont pu accéder à des systèmes internes critiques.
En septembre, des attaquants ont acheté le mot de passe d’un sous-traitant d’Uber sur le dark web et ont tenté à plusieurs reprises de se connecter aux informations d’identification volées, a rapporté Uber. Au début, les tentatives de connexion ont été bloquées par MFA, mais finalement l’entrepreneur a accepté la demande et les attaquants sont entrés. Ils ont pu accéder à un certain nombre d’outils de l’entreprise, notamment G-Suite et Slack.
Plus embarrassant, en août, les attaquants ont pu compromettre le service MFA largement utilisé de Twilio. Pour ce faire, ils ont incité plusieurs employés de Twilio à partager leurs informations d’identification et leurs autorisations MFA. Plus d’une centaine de clients Twilio ont été compromis, dont Okta et Signal.
Ce que les changements dans la protection réseau MFA signifient pour vous
En plus de compromettre les plates-formes MFA et d’inciter les employés à approuver les demandes d’accès illégitimes, les attaquants utilisent également des attaques d’adversaire au milieu pour contourner l’authentification MFA, selon un rapport publié par le Threat Intelligence Center de Microsoft cet été. Plus de 10 000 organisations ont été ciblées par ces attaques au cours de l’année écoulée, qui fonctionnent en attendant qu’un utilisateur se connecte avec succès à un système, puis en détournant la session en cours.
« Les cyberattaques MFA les plus réussies sont basées sur l’ingénierie sociale, tous les types de phishing étant les plus couramment utilisés », a déclaré Walt Greene, fondateur et PDG de la société de conseil QDEx Labs. « Ces attaques, lorsqu’elles sont menées correctement, ont une probabilité de succès assez élevée pour l’utilisateur sans méfiance. »
Il est clair que la MFA seule ne suffit plus et les responsables de la cybersécurité des centres de données doivent commencer à planifier à l’avance un paradigme de sécurité post-mot de passe. D’ici là, des mesures de sécurité supplémentaires doivent être mises en place pour renforcer les contrôles d’accès et limiter les mouvements latéraux dans les environnements des centres de données.
Et les centres de données ne doivent pas seulement savoir comment ils utilisent l’authentification multifacteur pour sécuriser les opérations du centre de données et comment ils travaillent avec les unités commerciales ou d’autres clients pour soutenir leurs efforts MFA.
Progrès au-delà de l’AMF héritée
Au printemps dernier, Apple, Google et Microsoft se sont tous engagés à adopter une norme commune de connexion sans mot de passe.
La nouvelle approche, basée sur la norme de sécurité FIDO, promet d’être plus sécurisée que la sécurité multifacteur traditionnelle, comme les mots de passe à usage unique envoyés par SMS. Il devrait devenir largement disponible l’année prochaine.
Dans une déclaration publiée plus tôt ce mois-ci, Jen Easterly, directrice de la Cybersecurity & Infrastructure Security Agency, a exhorté chaque organisation à mettre FIDO sur sa feuille de route de mise en œuvre MFA.
En particulier, elle a exhorté les administrateurs système à commencer à utiliser MFA, notant que moins de 50 % l’utilisent actuellement.
« Les administrateurs système sont des cibles particulièrement importantes et ils doivent protéger correctement ces comptes », a-t-elle déclaré.
Elle a également exhorté les fournisseurs de services cloud à adopter l’authentification 100 % FIDO. « Après l’éruption de compromis de contournement MFA cette année, il est clair qu’être un fournisseur de cloud » digne de confiance « signifie » que nous ne perdrons pas vos données, même si notre personnel tombe dans une ruse de phishing d’informations d’identification. «
Ajouter des contrôles pour sécuriser l’ancien MFA
Avant même de passer à une plate-forme d’authentification sans mot de passe basée sur FIDO, les centres de données doivent renforcer leurs contrôles de sécurité.
De plus, même lorsque de nouvelles technologies sans mot de passe se généraliseront, certains de ces contrôles supplémentaires, comme l’analyse du comportement des utilisateurs, continueront d’être utiles.
Pour la plupart des équipes de sécurité, ces contrôles compensatoires seront l’approche standard, a déclaré le vice-président et analyste de Gartner, Ant Allan.
Par exemple, une vérification pour confirmer que la connexion provient du même emplacement géographique que le téléphone de l’utilisateur réduira les risques de phishing, a-t-il déclaré.
« Et étouffer le nombre d’échecs d’authentifications push mobiles peut atténuer les bombardements rapides », a-t-il ajouté. Le bombardement rapide est une stratégie d’attaquant où ils essaient sans cesse de se connecter, et les utilisateurs reçoivent tellement de demandes MFA qu’ils sont ennuyés et acceptent les demandes par pure frustration.
Il existe également des mesures de sécurité basées sur l’IA que les équipes de sécurité peuvent utiliser pour repérer les comportements suspects des utilisateurs qui peuvent indiquer une compromission du compte.
« Bien que la MFA soit une première étape nécessaire, l’investissement dans l’analyse avancée – y compris l’apprentissage automatique – offrira plus de flexibilité et de résilience », a déclaré Allan.
Les centres de données devraient également investir davantage dans les capacités de détection et de réponse aux menaces d’identité, a-t-il déclaré. Cela ne signifie pas nécessairement acheter de nouveaux outils, a-t-il ajouté. Les responsables de la sécurité des centres de données pourraient faire plus avec les outils de gestion de l’accès aux identités et de sécurité de l’infrastructure dont ils disposent déjà.
« La note de service de la Maison Blanche M-22-09 qui exige une MFA résistante au phishing est probablement un indicateur pour d’autres exigences réglementaires », a-t-il ajouté. « Mais on ne sait pas si cela nécessite des méthodes entièrement nouvelles ou si des contrôles compensatoires suffisent. »
Et l’infrastructure MFA existante continuera à servir un objectif, a déclaré Jason Rader, responsable de la sécurité de l’information au cabinet de conseil Insight.
Les acteurs de la menace commenceront généralement par essayer de s’introduire dans les comptes dont la sécurité est la plus faible, a-t-il déclaré. « S’ils parcourent systématiquement une liste de comptes, ils essaieront jusqu’à ce qu’ils en trouvent un qui n’ait pas d’exigence MFA. C’est pourquoi tous les comptes devraient l’avoir activé.
Malheureusement, certaines des applications héritées que les centres de données utilisent pour la gestion des opérations peuvent ne pas prendre en charge du tout la MFA.
« Les méchants vont exploiter cela et contourner complètement la MFA », a-t-il déclaré. « Je dirais que les adversaires réussiront un pourcentage élevé du temps s’ils peuvent localiser un compte sans MFA activé ou si l’authentification héritée est activée, car tout ce qu’ils ont à faire est de deviner le mot de passe. »
Alors que les entreprises continuent de déplacer leurs centres de données vers des modèles hybrides et cloud, la MFA devient plus critique, car les systèmes de sécurité traditionnels des centres de données sur site deviennent moins pertinents.
Heureusement, les fournisseurs de cloud font généralement de MFA une option pour tous leurs utilisateurs. Malheureusement, beaucoup n’en profitent pas. Alex Weinert, vice-président de Microsoft Identity Security, s’exprimant lors d’une conférence le mois dernier, a déclaré que seuls 26,64 % des comptes Azure AD utilisent MFA. En fait, les comptes personnels sont 50 fois moins susceptibles d’être compromis que les comptes d’entreprise, car Microsoft a mis en place des politiques de sécurité automatiques pour ses utilisateurs particuliers. Les entreprises sont censées gérer leurs propres politiques de sécurité.
Les centres de données d’entreprise font toujours partie d’une stratégie de sécurité MFA plus large
Un gestionnaire de centre de données aurait également un rôle à jouer si un outil MFA d’entreprise est hébergé dans l’infrastructure qu’il gère, a déclaré Allan de Gartner.
« L’AMF pour tous les cas d’utilisation de la main-d’œuvre relèverait de l’égide du responsable de la cybersécurité ou du responsable de la sécurité de l’information », a-t-il déclaré à Data Center Knowledge. « Le responsable du centre de données – entre autres – serait responsable de l’intégration correcte d’une entreprise MFA outil au sein de l’infrastructure dont ils sont responsables.
Par conséquent, les gestionnaires de centres de données exécutant des centres de données sur site, hybrides ou cloud pour les entreprises auraient un intérêt dans la MFA à l’échelle de l’entreprise, qui est utilisée par les employés, les sous-traitants, les partenaires et les clients de l’entreprise.
« Le responsable du centre de données – encore une fois, entre autres – devrait avoir un siège au conseil ou au comité de sécurité qui régit le programme de sécurité de l’organisation, prenant des décisions sur la politique, les choix technologiques, etc. », a déclaré Allan