Le laboratoire du spécialiste de la sécurité CyberArk, spécialisé dans la protection des accès à privilèges, s’est penché sur les méthodes d’accès employées par des cyber-attaquants pour déterminer quelles étaient leurs techniques d’intrusion favorites, ou les plus faciles à mettre en œuvre via des malwares largement disponibles.
Il est apparu que ce sont les identifiants de niveau administrateur, qui sont souvent présents sur les postes de travail, qui constituent des points d’entrée de prédilection sur le réseau de l’entreprise pour les pirates. « Les identifiants à privilèges présents au niveau des points d’accès demeurent une véritable mine d’or pour les cybercriminels, explique ainsi Doron Naim, cyber research manager, CyberArk Labs. Les malwares conçus pour subtiliser des identifiants sont accessibles et faciles à déployer et, surtout, ils sont redoutables. Les techniques de leurres sont de plus en plus populaires et très efficaces pour comprendre les mouvements et la stratégie des cybercriminels, tout en ayant la capacité de stopper immédiatement et proactivement la progression des attaques. »
Pour remédier à ce problème, CyberArk enrichit sa solution SaaS « Endpoint Privilege Manager« (intégrée à la suite Privileged Access Security) une nouvelle fonctionnalité de cyber-leurre pour mieux détecter les tentatives de vols d’identifiants. Dès qu’un pirate tente d’exploiter l’un des identifiants leurres, toute une chaîne d’alertes et de blocage se met en place. Pour l’instant ces leurres sont positionnés au niveau des identifiants systèmes mais d’autres leurres seront prochainement intégrer aux systèmes d’identification des navigateurs.
La solution veut ainsi aider les entreprises à réduire les risques liés aux accès administratifs non gérée sous Mac et Windows et briser la chaîne d’attaque dès son point d’entrée initial. Outre le système de leurre intégré, rappelons que cet outil SaaS propose trois autres fonctionnalités :
* une fonctionnalité d’accès et d’élévation « juste à temps » qui permet d’ouvrir des accès à la demande et pour une période donnée, avec écriture dans un journal d’audit. Bien entendu, les permissions peuvent être révoquées rapidement, facilement voire automatiquement.
* l’application d’une politique de moindre privilège afin de réduire la surface d’attaque des systèmes en éliminant les privilèges des administrateurs locaux considérés comme inutiles et en accordant uniquement les accès requis pour effectuer le travail demandé, ni plus ni moins.
* un dispositif avancé de protection contre les vols d’identifiants permet de détecter et immédiatement bloquer les tentatives d’accaparement des mots de passe stockés par le système d’exploitation, les applications, les systèmes d’accès à distance et les principaux navigateurs du marché.
Pour en savoir plus : CyberArk ExndPoint Privilege Manager