Les menaces internes utilisent de plus en plus d’exploits d’escalade de privilèges

UN rapport publié fin 2023 décrivait comment les initiés utilisaient de plus en plus d'exploits d'élévation de privilèges afin de mener des actions non autorisées sur les réseaux de leurs organisations.

Selon le rapport de Crowdstrike, 55 % des menaces internes identifiées ont utilisé ou tenté d'utiliser des exploits d'élévation de privilèges. Dans les cas où l'initié était malveillant, il a été observé en train d'utiliser ses privilèges élevés pour utiliser des kits supplémentaires tels que Metasploit, Cobalt Strike et d'autres outils destinés à exploiter les systèmes.

Il convient de noter que la recherche était axée sur les systèmes sur site et n'incluait probablement pas les données collectées lors de l'utilisation abusive d'applications cloud.

En parcourant leur rapport, la grande majorité des hits concernent les systèmes Windows et Linux. Cela dit, dans le cadre des paramètres donnés, il s’agit tout de même de résultats assez importants auxquels les équipes de sécurité doivent prêter attention à l’approche de 2024. Cela peut indiquer que les menaces internes trouvent de nouvelles façons innovantes d’attaquer les systèmes centraux tout en contournant les contrôles importants.

Pourquoi l’augmentation des privilèges est-elle importante ?

Si nous faisons bien notre travail, nous mettons en place des contrôles définissant ce que nos collaborateurs sont capables de faire en termes de systèmes ou d'actifs auxquels ils peuvent accéder. En approfondissant, nous pouvons contrôler non seulement ce qui est accessible, mais aussi ce que quelqu'un peut faire avec cet actif.

Peuvent-ils lire, écrire, modifier ou supprimer un élément ? Peuvent-ils modifier leurs privilèges ou ceux des autres ? Le gouffre des privilèges peut prendre des proportions considérables, mais il peut être très important pour la sécurité de vos données.

Dans un monde idéal, chaque utilisateur dispose exactement du niveau minimal d’accès et de privilèges dont il a besoin pour effectuer son travail. C’est ce qu’on appelle le principe du moindre privilège. Il est presque impossible d’être parfait pour y parvenir, mais c’est l’objectif à atteindre.

Là où cela devient délicat, c'est lorsqu'un utilisateur trouve des moyens d'élever ses privilèges par rapport à ceux qui lui ont été attribués.

S’ils réussissent, c’est qu’ils ont dépassé les limites définies de ce qu’ils sont censés pouvoir faire avec nos systèmes. Nous perdons un certain niveau de contrôle et, dans le cas de l’acteur de la menace interne, nous sommes confrontés à un adversaire difficile qui possède une connaissance approfondie de nos actifs et de la manière de les retrouver.

Défis posés par les menaces internes

Les incidents internes ont augmenté régulièrement au cours des dernières années, et cette tendance ne devrait pas changer en 2024. Ceci est extrêmement préoccupant car les menaces internes posent à bien des égards beaucoup plus de difficultés qu'un attaquant externe.

Au-delà de leurs impacts négatifs sur une organisation, sapant la confiance des clients, des partenaires et des parties prenantes internes, ils peuvent être carrément difficiles à détecter.

L’un des défis liés à une menace interne est que cet utilisateur démarre le jeu avec un ensemble de privilèges qui lui permettent de prendre pied au sein de l’organisation. À première vue, cela a du sens. Si la personne est un employé, vous devez lui donner la capacité de faire son travail. Cela signifie accéder aux systèmes et aux données appropriés pour être un employé efficace.

Le deuxième défi est que les déplacements des employés au sein des systèmes de l'organisation seront considérés comme normaux et ne déclencheront probablement aucun signal d'alarme à moins qu'ils ne s'éloignent trop de la réserve. Concrètement, il y a peu de chances qu’un initié touche à l’un de vos honeypots car il sait déjà exactement à quoi il veut accéder et où il se trouve.

Compte tenu de certains de ces défis, nous vous proposons ci-dessous quelques conseils pour contrer la menace d’élévation des privilèges de la part de vos internes.

3 stratégies pour réduire vos risques liés aux menaces internes et aux privilèges croissants

1. Corrigez, corrigez et assurez-vous de corriger tôt et souvent

L’un des conseils les plus anciens en matière de cybersécurité, même avant la mise en œuvre de l’authentification multifacteur (MFA), est l’importance de mettre à jour vos systèmes logiciels.

Même si les vulnérabilités Zero Day, comme celles utilisées pour endommager les installations nucléaires iraniennes ou pirater des iPhones, peuvent faire l'objet de toute la presse, la plupart des pirates informatiques utilisent des vulnérabilités connues et rendues publiques pour mener à bien leurs attaques.

Les pirates informatiques découvrent ces vulnérabilités généralement de deux manières. Premièrement, ils sont en mesure d’examiner les vulnérabilités accessibles au public (CVE) publiées par MITRE Corporation pour le bénéfice du public. Deuxièmement, et c'est encore plus ennuyeux, ils peuvent consulter les mises à jour logicielles et essayer de comprendre ce qui a été corrigé, puis voir comment l'exploiter. Pour ces raisons et bien d’autres encore, veillez à appliquer les correctifs dès que les nouvelles versions sont disponibles.

Dans le cadre du processus de reporting et de publication des vulnérabilités, les entreprises propriétaires du logiciel, ou dans le cas des logiciels open source, les chefs de projet, disposent généralement d'un délai de 90 jours pour résoudre les problèmes de leurs produits avant que l'information ne devienne publique. Cela équilibre entre la nécessité de pousser ces propriétaires de logiciels à agir et l'espace dont ils ont besoin pour développer un correctif pour le bogue.

Cependant, tout leur travail acharné ne sert à rien si nous n’utilisons pas les correctifs qu’ils publient. Cela signifie mettre en œuvre les correctifs pour les CVE, passer en revue les nécessités du Patch Tuesday et, de manière générale, s'assurer que nos systèmes sont à jour avec les dernières versions.

L’application de correctifs peut être très pénible, et aucune organisation n’est vraiment là où elle devrait être. Toujours en retard, en espérant qu'ils aient patché leurs systèmes les plus critiques.

L'espoir est que le passage au cloud retirera la responsabilité de l'application des correctifs aux utilisateurs finaux et en transférera davantage aux fournisseurs fournissant les solutions SaaS. Notez cependant que ce n'est pas le cas lorsqu'il s'agit d'infrastructures cloud (IaaS) comme AWS, Azure et GCP, vos équipes informatiques et de sécurité devront donc toujours être opérationnelles pour rester à jour sur ces systèmes pendant un certain temps encore. .

2. Surveiller les comportements anormaux

Si un interne, ou quelqu'un prétendant l'être, parvient à élever ses privilèges pour accéder à des systèmes différents de ceux qu'il ferait normalement, cela devrait déclencher des signaux d'alarme majeurs. Si vous disposez d’une surveillance pour l’attraper bien sûr.

Capturer une base de référence sur l'activité normale avec les outils d'analyse du comportement des utilisateurs est indispensable pour déterminer quand un comportement suspect se produit.

L’avantage ici est que votre surveillance du comportement s’exécute en arrière-plan et ne sera pas affectée par des modifications illicites de leurs privilèges. Les systèmes qu'ils touchent ou les autres actions qu'ils entreprennent seront détectés, enregistrés et alertés s'ils s'écartent des limites de ce que vous avez défini comme normal pour eux.

Au-delà de la fonction d'alerte, l'autre avantage de la surveillance de vos environnements est son utilisation dans les enquêtes après un incident. L’un des plus grands défis en matière de réponse aux incidents consiste à comprendre quels systèmes ont été touchés et pourraient nécessiter des mesures correctives. L'enregistrement de session de l'activité dans des systèmes sensibles liés à un utilisateur spécifique peut réduire considérablement le temps consacré aux enquêtes.

3. Éduquez votre personnel sur le respect des règles

Mark Zuckerberg de Facebook a popularisé l'idée de « Agir rapidement et casser les choses » dans le cadre de la philosophie des startups qui a conduit les entreprises au succès. Bien que sortir d’un état d’esprit d’entreprise pesant puisse faire beaucoup de bien en matière d’innovation, il y a certains avantages à respecter au moins certaines des lignes directrices.

Les politiques de l'entreprise concernant les types de logiciels pouvant être téléchargés sur les machines de l'entreprise et les processus d'approbation existent pour une raison. Même une politique donnée semble être davantage un obstacle que quelque chose qui a beaucoup de sens.

La meilleure façon d’amener vos collaborateurs à suivre vos règles consiste moins à les impliquer qu’à les impliquer en leur expliquant à quoi peut conduire l’impact potentiel d’une violation des règles.

Idéalement éviter la mort par Powerpoint et rendre les séances un peu plus interactives. Une méthode qui s’est avérée plus efficace consiste à attribuer différents cas de non-respect des politiques et à présenter au groupe comment cela s’est déroulé.

Il s’agit également de la même méthodologie utilisée dans l’armée pour enseigner le matériel sur la sécurité de la vie et de la mort et elle reste vraiment gravée dans votre mémoire.

Involontairement imprudent mais pas malveillant

En parcourant le rapport, les nouvelles sont et ne sont pas aussi mauvaises qu’il y paraît.

Les auteurs notent que 45 % des incidents ne semblent pas être causés par des internes malveillants qui entendent constituer des menaces. Certains incidents impliquent que des internes enfreignent les règles afin de pouvoir télécharger des logiciels sur les machines de l'organisation alors qu'ils ne sont pas censés le faire, mais pour des raisons autres que de nuire à leur employeur.

Pensez aux employés contournant les contrôles pour pouvoir télécharger des torrents ou d'autres logiciels illicites sur leurs machines de travail.

L'une des plus belles histoires comme celle-ci est peut-être celle des vieux et toujours bons à propos des travailleurs d'un Centrale nucléaire ukrainienne qui ont connecté leurs systèmes intentionnellement hors ligne à Internet dans le but d'extraire de la crypto-monnaie. C’était avant le déclenchement de la guerre, mais bien après la campagne des pirates informatiques russes ciblant les infrastructures critiques ukrainiennes, c’était donc encore une très mauvaise idée.

D’un autre côté, ce n’est pas parce que quelqu’un n’a pas l’intention de nuire qu’il n’y a pas de faute. Selon le Rapport d'enquête sur les violations de données de Verizon pour 2023 Les erreurs diverses continuent de représenter une part importante des statistiques annuelles sur les violations de données. Et lorsqu’il s’agit des régulateurs qui enquêtent sur des entreprises pour avoir exposé des données contrôlées telles que les informations personnelles des clients, ils ne se soucient pas vraiment de savoir si l’action était malveillante ou non. Juste que c'est arrivé.

Espérons qu'en suivant les meilleures pratiques et en éduquant votre équipe, vous pourrez éviter d'avoir à expliquer un incident grave comme un moment de mauvais jugement plutôt qu'un acte de mauvaise foi.