L’année dernière Toyota a subi une violation de données en raison de l’exposition accidentelle d’un identifiant permettant d’accéder aux données client dans un référentiel GitHub public.
Ce type de violation pourrait être évité si les organisations se concentraient sur les identifiants qui sont exposés dans les applications SaaS. Nous avons parlé à Corey O’Connor, directeur de produit de la plate-forme de sécurité SaaS DoControl, des raisons pour lesquelles il pense que la sécurité des identités est nécessaire pour aller au-delà de la simple protection des clés.
BN : Comment les organisations peuvent-elles se concentrer davantage sur les informations d’identification exposées dans les applications SaaS ?
CO : l’utilisation d’informations d’identification privilégiées est courante dans presque toutes les cyberattaques. Ceci est bien compris. Cependant, sécuriser les informations d’identification et les identités qui y ont accès est un défi permanent, en particulier dans la réalité actuelle des initiatives de transformation numérique et du passage au cloud. La menace de l’accès humain et non humain aux données d’entreprise devient un défi à grande échelle. Vous avez plus de systèmes et d’applications auxquels accèdent un certain nombre d’identités différentes, à la fois internes et externes, ainsi que des intégrations non humaines, c’est-à-dire d’application à application. Les données sont générées et échangées en volume considérablement élevé. Cela augmente la surface d’attaque d’une organisation et la probabilité d’exfiltration de données. La sécurité devient un obstacle qui introduit une dette technique inutile pour l’entreprise si elle n’est pas naviguée efficacement.
Il existe de nombreux exemples où des identités de machine ou non humaines sont introduites pour aider l’entreprise (c’est-à-dire des comptes de service ou des robots logiciels avec technologies d’automatisation des processus robotiques). Les organisations doivent se concentrer davantage sur l’accès des utilisateurs non humains. Ces identités et leurs informations d’identification associées sont souvent ignorées par l’équipe de sécurité et peuvent être une cible attrayante pour les attaquants pour prendre pied. Par exemple, le protocole OAuth offre un moyen pratique pour une application de se connecter à une autre, mais lorsque cet accès est compromis, il peut fournir un accès non autorisé aux données sensibles de l’application à laquelle il est connecté. Le risque d’attaques basées sur la chaîne d’approvisionnement impliquant des jetons OAuth et d’autres informations d’identification non humaines devient monnaie courante.
BN : Pourquoi avons-nous constaté une augmentation du risque d’initié négligent associé aux informations d’identification privilégiées et au SaaS ? applications ?
CO : La hausse est liée à ce qui a contribué à l’origine à façonner la nouvelle normalité avec des environnements de travail hybrides et à distance. Afin de soutenir l’entreprise, il y avait un mélange de différents appareils et applications mis à profit pour que les utilisateurs puissent faire leur travail. Vous avez des applications professionnelles installées sur des appareils personnels et vice versa. Vous avez alors accès aux fichiers et les partagez avec des comptes de messagerie privés. Au début de la pandémie, il y a eu une augmentation de l’adoption de nouveaux logiciels en tant que service (SaaS) et d’autres technologies cloud pour soutenir l’entreprise. Les DSI voulaient activer l’entreprise et non la ralentir. L’importante prolifération des applications et des données SaaS a été l’une des conséquences négatives.
Du point de vue de l’utilisateur humain, vous avez un problème de gestion des données et de surexposition dans un environnement SaaS typique, avec des centaines d’applications différentes, des milliers d’applications internes et les utilisateurs externes, et des dizaines de milliers de fichiers. L’erreur humaine est toujours aussi répandue et défie chaque organisation. Les comportements à risque d’initiés qui sont délibérément malveillants ou purement négligents doivent être détectés, les bonnes personnes doivent être alertées et la réponse appropriée doit être appliquée (c’est-à-dire un employé qui part qui partage des listes de clients avec son compte de messagerie privé).
Du point de vue des utilisateurs non humains, vous constatez une augmentation des applications autorisées et non autorisées au sein du parc SaaS. Certaines de ces applications sont souvent surprivilégées avec des portées d’autorisation risquées, elles peuvent ne pas avoir été vérifiées par l’éditeur (c’est-à-dire via la place de marché des fournisseurs), et beaucoup ne sont pas approuvées en interne par les équipes informatiques/de sécurité. La même approche doit être appliquée pour l’accès non humain, où vous avez la possibilité d’identifier les comportements malveillants, tels que les activités indiquant une attaque basée sur la chaîne d’approvisionnement. Détectez les activités à haut risque liées aux applications telles que les appels d’API d’écriture excessifs, l’exécution d’un nombre important de mises à jour ou le serveur d’applications a une adresse IP malveillante connue. Les équipes informatiques/de sécurité doivent être informées et prendre les mesures appropriées pour supprimer le jeton OAuth, suspendre l’application, etc. Bon nombre de ces étapes doivent être automatisées afin de maintenir à la fois la continuité des activités et une position de sécurité solide.
BN : À mesure que de plus en plus d’organisations adoptent des stratégies axées sur le cloud, comment peuvent-elles s’assurer que ces « clés du royaume » ne sont pas mal gérées ?
CO : Savoir qui a accès et à quoi vitale ici. Encore une fois, cela vaut aussi bien pour les utilisateurs humains que pour les identités des machines. Il est essentiel de créer un inventaire complet des utilisateurs, des applications, des actifs, des domaines, des groupes, etc. et de comprendre le contexte de l’entreprise grâce au suivi des communications, à la cartographie et aux graphiques de relations. Le contexte commercial est si essentiel pour ne pas ralentir l’activité, et les équipes de sécurité doivent être en mesure de comprendre ce qui est une pratique normale par rapport aux événements qui introduisent un risque important pour l’entreprise. Sinon, vous vous retrouvez avec un nombre important de faux positifs, ce qui éloigne les équipes de sécurité de l’identification et de la réponse aux événements et aux menaces. L’application du principe du moindre privilège aux utilisateurs humains et non humains est un moyen de soutenir une posture de sécurité solide pour les organisations qui poursuivent une stratégie axée sur le cloud.
BN : Comment les organisations peuvent-elles s’éloigner de l’état d’esprit de la sécurité comme une réflexion après coup, d’autant plus que les utilisateurs continuent de partager des informations d’identification laissant les données exposées à tomber entre de mauvaises mains ?
CO : Il doit y avoir des contrôles plus stricts autour des informations d’identification privilégiées, tant pour et les utilisateurs non humains. Par exemple, il est très courant que les fichiers pem, les clés AWS et d’autres informations d’identification soient partagées par les développeurs et les administrateurs via Slack. Avoir ces informations d’identification exposées indéfiniment sur le canal Slack est évidemment problématique. Il doit y avoir un équilibre entre le soutien de l’entreprise d’une manière logique du point de vue de la sécurité. Cela peut être un défi à mesure que l’entreprise se développe et évolue, c’est pourquoi l’automatisation joue un rôle essentiel. La sécurité doit être un catalyseur pour l’entreprise.
BN : Quels conseils pouvez-vous donner pour atténuer les risques et ajuster la posture de sécurité afin de garantir que les clés ne sont pas mal gérées ?
CO : Concentrez-vous sur trois choses spécifiques : découvrir, surveiller et corriger.
Découvrez toutes les applications SaaS connectées à la pile SaaS principale. Identifiez les problèmes de non-conformité pour l’ensemble du parc d’applications SaaS afin de garantir l’application efficace des politiques de sécurité. Exposez un mappage complet des applications SaaS à SaaS et un inventaire complet des applications premières, secondes et tierces (c’est-à-dire les utilisateurs installés, l’accès au lecteur, les autorisations à l’échelle du lecteur, etc.). Établissez une solide compréhension des plates-formes, des applications et des utilisateurs SaaS les plus risqués exposés au sein du parc SaaS. Activez le Shadow IT grâce à des examens des applications avec les utilisateurs professionnels pour surveiller et contrôler l’environnement SaaS. Attribuez un indice de risque à chaque application pour permettre l’évaluation et l’évaluation du parc SaaS. Créez des politiques et des workflows de pré-approbation qui obligent les utilisateurs finaux à fournir une justification commerciale pour intégrer de nouvelles applications. Mettez en quarantaine les applications suspectes, réduisez les autorisations excessives et révoquez ou supprimez les applications ou l’accès. De cette façon, les utilisateurs peuvent être productifs sans introduire de risques inutiles. La correction doit être automatisée dans certains cas. Comme l’application de la politique de sécurité dans la pile d’applications SaaS qui empêche l’utilisation d’applications non autorisées ou à haut risque, et remédie au risque potentiel que ces applications pourraient exposer (c’est-à-dire des jetons invalides, des autorisations étendues ou inutilisées, des applications répertoriées ou non répertoriées, etc.). La mise en œuvre de flux de travail de sécurité automatisés réduira l’exposition aux risques liés à l’interconnectivité d’application à application (c’est-à-dire suspendre ou supprimer automatiquement les applications malveillantes potentielles).
Crédit photo : Alexander Supertramp/Shutterstock