privilège minimum

Le principe de privilège minimum : à quel endroit l’aborder pour assurer une sécurité optimale ?

Il est important d’établir, de mettre en œuvre et d’appliquer des niveaux d’accès minimum au sein de l’organisation afin de limiter les risques associés aux menaces internes ou à l’utilisation abusive des informations d’identification par des attaquants externes. Cela crée une base de sécurité solide, mais ne permet pas de s’assurer que cet environnement de sécurité élevé ne fasse pas l’objet d’une compromission d’identifiants de niveau inférieur et élevé.

Où se situe la bataille des «privilèges» dans votre organisation?

Il y a quelques facteurs clés qui vous aideront à déterminer si vous avez choisi le bon emplacement pour mener une bataille:

  1. Vous devez être capable d’identifier l’ennemi
  2. Vous devez voir l’ennemi arriver avant qu’il attaque
  3. Vous devez être capable de répondre à l’attaque immédiatement

Il existe un certain nombre d’endroits où les organisations informatiques peuvent se placer. Regardons chacun d’eux pour comprendre ce qui est approprié afin de s’assurer que l’intention du Privilège minimum est maintenue dans votre organisation.

Restriction au niveau des permissions

L’un des éléments fondamentaux d’une stratégie solide de privilège minimum est l’utilisation de permissions restreintes; fournir l’accès minimum nécessaire à chaque utilisateur pour faire son travail.

Mais cela n’assure pas pleinement l’intention du Privilège minimum.

Tout d’abord, les autorisations doivent changer au fil du temps, ce qui signifie que votre «combat» maintient un ensemble d’autorisations variables en constante évolution pour un nombre potentiellement important d’utilisateurs. C’est comme tirer des flèches dans toutes les directions, à des distances variables, sans jamais vraiment être certain d’avoir un impact.

Deuxièmement, si mettre en place la bataille ici restreint qui peut avoir accès, une fois qu’un utilisateur se connecte avec ses informations d’identification, ou un attaquant obtient des informations d’identification et se connecte avec, en principe, il obtient un accès à tout dans les limites des accès de ce compte.

Avez-vous choisi le bon emplacement en fonction des trois critères?

En bref, Non. Aucun des trois critères n’est rempli. Les attaquants (initiés et externes) utilisent des identifiants approuvées avec des autorisations approuvées, ce qui rend impossible l’identification de l’ennemi et, même si vous le pouviez, les modifications d’autorisation (en particulier dans un environnement Windows) n’ont aucun effet une fois le compte connecté.

Restriction au niveau des comptes

Un autre endroit où les organisations informatiques pensent qu’elles font un effort de bataille est par la restriction de qui a accès à des comptes élevés et / ou demander aux utilisateurs d’utiliser des comptes distincts : comptes de bas niveau et comptes élevés. Elles utilisent même des solutions de gestion des comptes privilégiés (PAM) pour limiter les accès aux comptes élevés.

Le défi ici est que les organisations ont tendance à concentrer leurs efforts de restriction sur les comptes élevés les plus importants (par exemple : Admins du domaine, etc.). Ainsi, un compte de vendeur de niveau inférieur avec accès aux données client n’est pas une priorité, malgré le fait que les données auxquelles il a accès sont importantes.

Avez-vous choisi le bon emplacement en fonction des trois critères?

En quelque sorte. Si vous utilisez une solution PAM, il y a un certain degré d’efficacité. Les demandes d’utilisation d’un compte privilégié de haut niveau attireront l’attention des services informatiques, ce qui est en fait un excellent moyen de s’assurer que le privilège minimum est appliqué. Mais, si le compte en question n’est pas considéré comme «élevé» – comme le commis aux comptes créditeurs, ou le vendeur mentionné ci-dessus – le fait de mener une bataille au niveau des comptes sera une perte de temps.

Restriction au niveau des connexions

En général, cela ne fait pas partie du privilège minimum – principalement parce que le concept de privilège minimum se concentre sur les deux facettes précédentes (comptes et privilèges).

Mais, les connexions, à bien des égards, mettent le privilège minimum à l’épreuve. Si un compte est compromis par un attaquant externe ou est mal utilisé par un initié, il est probable que les habitudes de connexion habituelles – heure / jour, fréquence, point de terminaison utilisé, etc. – soient brisées, éclairant ainsi un malfaiteur cherchant à se cacher.

Avez-vous choisi le bon emplacement en fonction des trois critères?

Les connexions répondent aux trois critères.

  1. Vous pouvez identifier l’ennemi par les anomalies de connexion mentionnées ci-dessus.
  2. Les connexions représentent également un événement qui se produit avant que le dommage ne soit fait.
  3. Enfin, avec une solution de gestion des connexions solide en place, vous pouvez prendre des mesures immédiates, telles que notifier le département informatique de l’activité anormale de connexion, ou même déconnecter l’utilisateur et désactiver le compte.

Choisir le bon emplacement consiste à trouver une place dans votre sécurité où vous installez vos tentes de sécurité, assignez des guetteurs (pour repérer l’ennemi qui s’approche), et avez une contre-attaque prête à frapper. Parmi les trois parties mentionnées de votre sécurité, seule la connexion offre aux organisations un avantage tactique – le fait que votre ennemi nécessite la possibilité de se connecter pour réussir. Retirez ça et ils n’ont aucune capacité pour faire quelque chose de malveillant.

Lisez le livre blanc de la société IS Decisions sur la gestion des connexions en tant qu’élément clé du privilège minimum.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.