Sécurité de l'information - Trois piliers de la cybersécurité et des vecteurs d'attaque

News 2023-08-19 04:16:37 views: null

Morey Haber, CTO et CISO de BeyondTrust ( un des leaders du Gartner Quadrant for Privileged Access Management pendant quatre années consécutives ), a co-écrit trois livres en une seule fois :

  • " Identity Attack Vectors " : du point de vue de l'identité , étudiez les vecteurs d'attaque et concevez des solutions IAM (gestion des identités et des accès).

  • " Privileged Attack Vectors " : Du point de vue des autorisations , examinez les vecteurs d'attaque et concevez une solution PAM (Privileged Access Management).

  • « Vecteurs d'attaque d'actifs » : Du point de vue des actifs , examinez les vecteurs d'attaque et concevez des solutions de gestion des vulnérabilités .

Fait intéressant, l'auteur estime que ces trois livres ne font que construire les trois piliers de la sécurité réseau : 1) Identité ; 2) Autorité ; 3) Actifs . Ce n'est que sur la base d'une structure de trépied solide qu'une base de sécurité solide peut être construite.

Le rappel le plus important : l'intégration/l'intégration des trois piliers est critique . Une bonne solution de sécurité doit être propice à l'intégration des trois piliers. À l'inverse, si une solution de sécurité ne fonctionne pas sur ces trois piliers et ne facilite pas l'interopérabilité et l'intégration des données entre les trois piliers, il s'agit alors d'une solution cloisonnée.

Pour une telle série de livres qui expliquent systématiquement son cadre de sécurité et ses solutions spécifiques , l'auteur ne veut naturellement pas passer à côté. Après avoir examiné la version anglaise de près de mille pages, j'espère la recommander à tout le monde.

À l'heure actuelle, la version chinoise de "Identity Attack Vectors" sera disponible en août 2022. Je tiens à remercier le traducteur d'avoir fait don du livre ! Il est rapporté que les deux autres sont également en cours de traduction.

Cet article tente de refléter les vecteurs d'attaque et les défenses de l'identité et des autorisations du point de vue des meilleurs experts mondiaux en IAM et PAM .

Voir est roi ! Les îles craignent . Créez-vous "voir" ou créez-vous des "îles" ? Pouvez-vous voir les vulnérabilités, les identités et les autorisations en même temps ?

Mots clés : IAM (Identity and Access Management) PAM (Privileged Access Management) ;

Table des matières

1. Trois piliers de la cybersécurité

2. Vecteurs d'attaque pour le mouvement latéral

3. Les vecteurs d'attaque d'identité dans la chaîne Cyber ​​​​Kill

4. Du 4A traditionnel au 5A moderne

1) Les 5 A de l'IAM (Identity Access Management)

2) Pourquoi n'y a-t-il pas de compte (Account) ?

3) Pourquoi y a-t-il plus de management (Administration) ?

4) Pourquoi plus d'analyses ?

5. De IAM (Identity Access Management) à PAM (Privileged Access Management)

6. Aperçus et aperçus

01Les trois piliers de la sécurité réseau

Selon les auteurs : Au niveau macro, si vous regroupez toutes les solutions de sécurité, vous constaterez que chacune tombe dans l'un des trois groupes logiques. Ces trois regroupements logiques forment les trois piliers de la cybersécurité. Comme indiqué ci-dessous:

Figure 1 - Trois piliers de la cybersécurité 

Trois piliers :

  1. Identité (Identité) : protéger l' identité, le compte et les informations d'identification de l'utilisateur contre tout accès inapproprié ;

  2. Privilège : protection des droits et privilèges , et contrôle d'accès des identités ou des comptes ;

  3. Actif : la protection des ressources utilisées par une identité (soit directement, soit en tant que service) ;

Une bonne solution de sécurité doit couvrir les trois piliers simultanément, et l'intégration/l'intégration de ces trois piliers est cruciale . Par conséquent, une bonne solution de sécurité doit être propice à l'intégration/intégration des trois piliers.

Une solution de sécurité ne peut contrer efficacement les menaces modernes si elle ne peut fonctionner que de manière isolée , n'est pas compatible avec d'autres solutions et ne peut pas interagir avec les trois piliers :

  • Un exemple serait une solution antivirus en silo : alors qu'elle est capable de signaler une infection sur un actif, il serait impossible de déterminer quelle identité (compte ou utilisateur) ou quels privilèges le malware a utilisé pour infiltrer l'actif ciblé. Parce qu'il ne peut pas partager et obtenir les informations d'identité et le contexte d'identité de l'utilisateur.

  • Un autre exemple est une solution de gestion des vulnérabilités isolée : bien que les informations de vulnérabilité de l'actif puissent être analysées, les informations de compte et de groupe d'utilisateurs qui peuvent accéder à l'actif sont introuvables , elles ne peuvent donc pas mieux aider à déterminer la priorité des correctifs et ne peuvent pas aider à gérer identités vecteur d'attaque.

Pour le dire plus durement : si un fournisseur de sécurité n'opère pas sur ces trois piliers, et n'a pas de stratégie d'intégration/consolidation qui facilite l'interopérabilité et l'échange de données entre les trois piliers , alors il s'agit bien d'une solution point/îlot unique . Veuillez utiliser ce schéma avec prudence.

Pourquoi 3 piliers au lieu de 4 ou 5 ? L'auteur a expliqué : parce que le tabouret à 3 pieds ne tremblera pas !

L'auteur a écrit un livre séparé pour chacun des trois piliers :

  1. « Identity Attack Vectors » : La version chinoise a été publiée . Cet article est principalement extrait du livre. Ce livre part davantage du point de vue de l'identité , examine les vecteurs d'attaque et conçoit des solutions IAM .

  2. « Privilege Attack Vectors » : La version chinoise est encore en cours de préparation et doit être publiée . Le livre part davantage du point de vue des autorisations , examine les vecteurs d'attaque et conçoit des solutions PAM .

  3. « Asset Attack Vectors » : La version chinoise est toujours en cours de compilation et doit être publiée . Ce livre se concentre sur la gestion de la vulnérabilité des actifs . Voici pourquoi c'est important : La gestion des vulnérabilités est le fondement de la sécurité. L'identité est également difficile à protéger lorsque l'actif lui-même peut être exploité .

02 vecteurs d'attaque pour le mouvement latéral

Les vecteurs d'attaque peuvent généralement être divisés en deux catégories : 1) vecteurs d'attaque d'actifs ; 2) vecteurs d'attaque d'autorisation . Ces deux catégories correspondent exactement aux deux livres de l'auteur : Asset Attack Vectors et Privileged Attack Vectors.

  • Vecteurs/méthodes d'attaque des actifs : généralement via des vulnérabilités et des défauts de configuration . L'approche défensive est constituée des meilleures pratiques traditionnelles de cybersécurité comme la gestion des vulnérabilités, la gestion des correctifs, la gestion de la configuration, etc. Chaque organisation devrait bien réussir dans ce domaine, mais en réalité ce n'est pas le cas.

  • Privilege attack vectors/methods : généralement une forme d' accès à distance privilégié , utilisant des techniques telles que la devinette de mot de passe, l'attaque par dictionnaire, le cracking par force brute, le pass-the-hash, la réinitialisation du mot de passe, les informations d'identification par défaut, les informations d'identification de porte dérobée, les informations d'identification partagées, etc. La méthode de défense est un modèle de confiance zéro et une gestion des accès privilégiés juste à temps (JIT) .

Il convient de noter que les modèles de sécurité modernes tels que la confiance zéro (au sens étroit), l'identité instantanée et la gestion des accès privilégiés sont principalement utilisés pour atténuer les vecteurs d'attaque de permission , et non les vecteurs d'attaque d'actifs .

Le mouvement latéral est le principal vecteur d'attaque des menaces modernes telles que les rançongiciels, les bots, les vers et autres logiciels malveillants.

Le mouvement latéral fait référence à la capacité de se déplacer d'une ressource à une autre et de sauter continuellement entre ces ressources. Les soi-disant « ressources » ne se réfèrent pas seulement aux actifs (tels que les ordinateurs, les systèmes d'exploitation, les applications, les conteneurs, les machines virtuelles, etc.), mais incluent également les comptes et les identités (comme indiqué dans la première colonne du tableau ci-dessous).

En prenant l'attaque par déplacement latéral comme exemple, des exemples des deux types de vecteurs d'attaque sont présentés dans le tableau suivant :

Tableau 2 - Vecteurs d'attaque dans les techniques de mouvement latéral

Seuls les vecteurs d'attaque des deux piliers sont mentionnés ci-dessus, qu'en est-il du vecteur d'attaque du troisième pilier (identité) ? Nous le présenterons dans la sous-section suivante.

03

Vecteurs d'attaque d'identité dans la chaîne Cyber ​​​​Kill

Prenons l'exemple de la chaîne de cyber-attaque bien connue pour voir comment les vecteurs d'attaque d'identité se manifestent. Nous suivons les quatre étapes de la kill chain (les vecteurs d'attaque d'identité sont marqués en bleu ) :

Figure 3 - Vecteurs d'attaque d'identité dans la phase de reconnaissance

Figure 4 - Vecteurs d'attaque d'identité dans la phase d'intrusion

Figure 5 - Vecteurs d'attaque d'identité en phase d'exploitation

Figure 6 - Vecteurs d'attaque d'identité au stade de l'exfiltration

À en juger par les quatre étapes ci-dessus de la chaîne d'attaque, les attaques d'identité se concentrent sur deux d'entre elles : l'étape d'intrusion et l'étape d'exploitation. Au cours de ces deux phases, les attaques identitaires ont deux objectifs principaux : l'escalade de privilèges et le déplacement latéral.

Par conséquent, on peut conclure que l'essence du vecteur d'attaque d'identité est de construire une chaîne d'attaque de privilège pour obtenir une escalade de privilège et un mouvement latéral. Comme indiqué dans le petit cercle pointillé bleu de la figure ci-dessous :

Figure 7 - Chaîne d'attaque de permission

04Du 4A traditionnel au 5A moderne

1) Les 5 A de l'IAM (Identity Access Management)

Figure 8 - Les cinq A de la gestion des identités

Le nouveau 5A d'IAM fait référence à l'authentification, l'autorisation, l'administration , l'audit et l'analyse .

Le 4A traditionnel fait référence à l'authentification (Authentication), l'autorisation (Authorization), le compte (Account), l'audit (Audit).

Les points communs entre le nouveau 5A et l'ancien 4A sont : l'authentification, l'autorisation et l'audit. Sans parler de l'audit. Le livre donne les formules concises suivantes pour l'authentification et l'autorisation :

  • authentification = login + clé (mot de passe);

  • Autorisation = privilège (privilège) + authentification ;

La différence entre le nouveau 5A et l'ancien 4A est : moins de compte (Account), mais plus de gestion (Administration) et d'analyse (Analytics). Cette pièce implique le concept du nouveau 5A et de l'ancien 4A , il vaut donc la peine de l'expliquer.

2) Pourquoi n'y a-t-il pas de compte (Account) ?

L'auteur pense que cela est lié à l'accent mis par l'auteur sur "l'identité" et à l'affaiblissement du "compte" .

Voici la différence entre identité et compte et utilisateur :

  • Les comptes sont des représentations électroniques des identités ;

  • Une identité peut correspondre à plusieurs comptes ;

  • Une identité ne peut correspondre qu'à un seul utilisateur ;

Du point de vue de la sécurité des identités, les identités sont plus importantes que les comptes . Mais l'identité ne peut fonctionner qu'à travers les comptes, et les comptes sont la manifestation de l'identité. Que le compte puisse vraiment jouer la valeur de l'identité dépend de la capacité du compte à être mappé à l'identité.

Par conséquent, l'association entre les comptes et les identités est cruciale . Les comptes qui ne peuvent pas être liés à des identités sont des vecteurs d'attaque pour les identités. Un exemple de ceci est les « comptes orphelins » courants dans les entreprises, c'est-à-dire les comptes qui ne sont pas associés à des utilisateurs connus. Il existe également des comptes de services partagés utilisés par les applications pour accéder aux bases de données S'ils ne peuvent pas être associés à de véritables identités d'utilisateurs, il n'y a aucun moyen de savoir qui a accédé à vos données (voir « Qui a déplacé vos données ? »). L'un des principaux objectifs de la gouvernance moderne des identités est d'associer les comptes à de vrais utilisateurs (identités) et d'éliminer autant que possible les comptes orphelins.

Par conséquent, dans le 4A traditionnel, bien qu'il existe un système de compte, il ne peut pas être mappé à l'identité dans de nombreux cas. C'est pourquoi le 4A traditionnel est uniquement destiné à la sécurité des comptes , tandis que le 5A moderne est destiné à la sécurité de l'identité .

Cela implique même un problème philosophique similaire : des comptes peuvent être donnés à tous les sujets du réseau , mais des identités ne peuvent être données qu'aux humains ou aux robots logiciels . C'est-à-dire que l'attribution d'une identité à un sujet réseau (application, périphérique réseau, etc.) dépend du fait qu'il usurpe ou non l'identité d'une personne. Seuls ceux qui veulent imiter les gens (comme les robots de livraison express ) ont besoin d'une identité, sinon ils n'ont qu'à donner un compte. C'est-à-dire que les périphériques et applications réseau courants n'ont besoin que d'attribuer des comptes. Une allocation excessive d'identités compliquera le problème et conduira à un vecteur d'attaque plus important (car le vecteur d'attaque d'identité est plus grand que le vecteur d'attaque de compte ).

Nous avons déjà imaginé qu'à l'ère de l'Internet of Everything, des identités numériques devraient être attribuées à tout ce qui est connecté à Internet (appareils Internet of Things). Après avoir lu ce livre, vous aurez forcément un gros point d'interrogation. Parce que ce n'est pas aussi simple qu'on le pensait avant.

3) Pourquoi y a-t-il plus de management (Administration) ?

La gestion signifie ici la gestion de la configuration et le contrôle de la gouvernance sur toute modification de l'authentification, de l'autorisation et de l'audit.

Après 25 ans dans l'espace IAM , nous regardons en arrière et pensons : combien a changé et combien n'a pas changé. Vous constaterez que : les technologies d'authentification (Authentication) et d'autorisation (Authorization) ont connu trop de changements ; et la gestion (Administration) a toujours été une exigence relativement stable (et n'a pas été bien faite). Par conséquent, il est nécessaire de séparer la gestion de l'authentification et de l'autorisation pour former un A.

Vous poserez peut-être des questions sur la gouvernance des identités , et la gouvernance des identités ne couvre que les trois A de l'administration , de l'audit et de l'analyse .

4) Pourquoi plus d'analyses ?

L'analyse fait référence à la collecte et au traitement continus des données de configuration, d'allocation et d'utilisation liées à l'identité pour obtenir des informations opérationnelles et de sécurité .

L'analyse d'identité avancée prend en charge une approche plus intelligente et plus prédictive de la gouvernance. En utilisant des techniques d'apprentissage automatique (ML) et d'intelligence artificielle (IA), les outils d'analyse d'identité peuvent fournir des informations critiques d'analyse de groupe de pairs qui peuvent aider à étendre les capacités d'audit et de gestion d'identité et les rendre plus dynamiques et réactifs.

Le 4A traditionnel manque d'analyse . Grâce aux progrès de l'apprentissage automatique (ML) et de l'intelligence artificielle (IA), de grandes quantités de données opérationnelles peuvent désormais être découvertes et traitées pour révéler des informations cachées et des indicateurs exploitables bien au-delà de ce que les moteurs traditionnels basés sur des règles peuvent atteindre .

05 De l'IAM au PAM

différences de terrain . IAM (Identity and Access Management) est davantage axé sur l'identité ; PAM (gestion des accès privilégiés) est davantage axé sur les autorisations . Les deux traitent respectivement des besoins de sécurité des deux piliers (à savoir, le pilier identité et le pilier autorité).

différences fonctionnelles . La figure suivante montre la composition fonctionnelle d'IAM et de PAM :

Figure 9 - Composants de l'IAM et du PAM

différences d'utilisateurs . Les privilèges sont une autorité supérieure à l'autorité ordinaire. Il existe deux catégories de base d'utilisateurs : les utilisateurs standard (avec des autorisations normales) et les administrateurs (avec des privilèges , qui sont ensuite divisés en administrateurs locaux et administrateurs de domaine ). Habituellement, les utilisateurs invités (avec des privilèges inférieurs à ceux des utilisateurs standard) sont également ajoutés .

Une division plus fine des utilisateurs. Prenons l'exemple d'une organisation avec un environnement de fabrication. La portée utilisateur d'IAM et de PAM est illustrée dans la figure suivante :

Figure 10 - Comparaison des catégories entre IAM et PAM

différence de ressources . La perspective des autorisations se situe d'une part au niveau macro -utilisateur (sur lequel IAM se concentre) et d'autre part au niveau micro- ressource (sur lequel se concentre PAM). Considérer les autorisations comme une simple partie de l'application au niveau des ressources est à courte vue. Les privilèges doivent également être intégrés à tous les niveaux de la ressource , c'est-à-dire les systèmes d'exploitation, les systèmes de fichiers, les applications, les bases de données, les hyperviseurs, les plates-formes de gestion cloud, et même dans le réseau par segment, pour contrer les attaques de privilèges de haut niveau.

différence de visibilité . IAM peut répondre "Qui a accès à quoi?" Cependant, pour une visibilité complète de l'utilisateur, PAM répond aux questions restantes : "Cet accès est-il approprié?" et "Cet accès est-il utilisé de manière appropriée?" Cela dit, PAM peut fournirplus de visibilitéetaudit approfondi.

Souvent, IAM ajoutera un utilisateur à un système ou à un groupe d'applications, mais ne fournira pas de détails sur l'accès dont disposent les membres de ce groupe, ni ne donnera accès aux journaux de session détaillés ou à l'enregistrement des frappes collectés lors des sessions privilégiées. PAM peut étendre ces capacités. Ainsi, PAM étend la visibilité des solutions IAM .

Note spéciale : Dans un autre livre du même auteur, "Privileged Attack Vectors", PAM est systématiquement expliqué. L'équipe de traduction de "Identity Attack Vectors" est également en train de le traduire. On espère que la version traduite sera disponible dans un proche avenir.

06 Aperçus et aperçus

Dans le dernier chapitre du livre, les auteurs donnent les principes clés de l'Identity Access Management (IAM) :

  1. Pensez aux identités plutôt qu'aux comptes . Un utilisateur d'une organisation possède généralement plusieurs comptes et plusieurs autorisations pour chaque compte. Si une entreprise concentre son programme IAM uniquement sur la gestion au niveau du compte (plutôt qu'au niveau de l'identité) , elle n'obtiendra jamais la visibilité globale nécessaire pour comprendre correctement qui a accès à quoi . Il est essentiel de comprendre la relation à trois entre les identités et leurs comptes , entre les comptes et leurs autorisations , et entre les autorisations et les données/informations qu'elles protègent . Ce n'est qu'en centralisant les données pertinentes autour des identités, plutôt que des comptes , que les entreprises peuvent développer la bonne vue et la bonne visibilité.

  2. Voir est roi ! Les îles craignent . Avec la tendance du cloud, des objets, du mobile et des mégatendances, la visibilité centralisée à un seul point devient la clé de la sécurité organisationnelle. Ce n'est qu'alors que leurs identités et leurs données d'accès seront visibles dans toute l'entreprise .

  3. Une gouvernance complète des identités tout au long du cycle de vie est requise . En intégrant des politiques et des contrôles tout au long du cycle de vie de l'identité, les entreprises peuvent parvenir à une automatisation accrue, à une conformité continue et à une réduction des risques de sécurité.

  4. Intégrez IAM au déploiement PAM . PAM complète le schéma IAM en ajoutant une couche de contrôle et d'audit pour les comptes "privilégiés".

  5. Adoptez une approche prédictive . Appliquez activement les technologies d'apprentissage automatique et d'intelligence artificielle pour permettre des décisions d'accès plus intelligentes et plus éclairées.

  6. Implémenter le moindre privilège .

  7. L'expérience utilisateur avant tout ! Les technologies de gouvernance des identités et de gestion des droits doivent contribuer à une meilleure expérience utilisateur, sinon être niées par les hommes d'affaires pour leur valeur sécuritaire.

Je suppose que tu aimes

Origine blog.csdn.net/philip502/article/details/127227712
conseillé
Classement
du quotidien
Plus
2024-10-02(0)
2024-10-01(0)
2024-09-30(0)
2024-09-29(0)
2024-09-28(3)
2024-09-27(0)
2024-09-26(0)
2024-09-25(0)
2024-09-24(0)
2024-09-23(0)

Code World

© 2018 codetd.com