Qu'est-ce qu'une attaque basée sur les données d'identification ?

Le vol d'informations d'identification, première étape d'une attaque basée sur les informations d'identification, est le processus de vol d'informations d'identification. Les attaquants utilisent couramment le hameçonnage pour voler des informations d'identification, car il s'agit d'une tactique peu coûteuse et extrêmement efficace. L'efficacité du hameçonnage de données d'identification repose sur l'interaction humaine dans le but de tromper les employés, contrairement aux logiciels malveillants et aux exploits, qui s'appuient sur les faiblesses des défenses de sécurité.

Le vol d'informations d'identification par les entreprises est généralement un effort ciblé. Les attaquants parcourent les sites de médias sociaux tels que LinkedIn, à la recherche d'utilisateurs spécifiques dont les identifiants permettront d'accéder à des données et des informations critiques. Les courriels et les sites web de hameçonnage utilisés pour le vol de données d'identification des entreprises sont beaucoup plus sophistiqués que ceux utilisés pour le vol de données d'identification des consommateurs. Les attaquants déploient beaucoup d'efforts pour faire en sorte que ces courriels et ces sites web ressemblent à s'y méprendre à des applications et à des communications d'entreprise légitimes.

C'est dans cette phase d'attaques basées sur les informations d'identification que la formation à la sensibilisation à la sécurité joue un rôle en tant que première ligne de défense. Malheureusement, rien ne garantit que les employés identifieront une tentative de hameçonnage dans 100 % des cas. Pour minimiser le vol de données d'identification, les données d'identification de l'entreprise doivent être limitées aux applications approuvées et l'utilisation doit être bloquée pour les applications et les sites improbables ou inconnus. Les produits de sécurité doivent être capables d'empêcher les informations d'identification de l'entreprise de quitter le réseau de l'organisation et de les soumettre à des sites malveillants.

Qu'est-ce que l'abus de pouvoir ?

L'utilisation abusive d'informations d'identification, qui constitue la finalité d'une attaque basée sur les informations d'identification, consiste à utiliser des mots de passe compromis pour authentifier des applications et voler des données.

Une fois qu'un pirate a mis la main sur les identifiants et les mots de passe d'un utilisateur, il peut les vendre dans le milieu de la cybercriminalité ou les utiliser pour compromettre le réseau d'une organisation, en contournant toutes les mesures de sécurité visant à empêcher un adversaire d'entrer, de se déplacer latéralement au sein du réseau et de voler des données.

Dans un environnement non segmenté, un pirate peut se déplacer librement dans le réseau d'une organisation. Si l'environnement est séparé et offre une visibilité sur les utilisateurs et les applications, des mesures de sécurité peuvent être mises en place pour empêcher un attaquant de se déplacer latéralement et d'accéder aux données critiques.

Une fois qu'un pirate dispose des informations d'identification lui permettant d'opérer comme un utilisateur valide, il n'y a pas grand-chose à faire pour identifier un intrus et vérifier si cet utilisateur est bien la personne que ses informations d'identification prétendent être. Les organisations mettent couramment en œuvre l'authentification multifactorielle dans les applications afin d'exiger des utilisateurs qu'ils valident leur identité plus d'une fois. Cependant, il n'est pas possible d'adapter cette procédure à chaque application utilisée au sein de l'organisation. La mise en œuvre d'une authentification multifactorielle basée sur des règles au niveau du réseau, c'est-à-dire au niveau du pare-feu, apportera l'échelle nécessaire et la facilité d'utilisation pour l'utilisateur final.

La plate-forme de sécurité de nouvelle génération de Palo Alto Networks arrête le cycle de vie des attaques basées sur les informations d'identification à plusieurs endroits, depuis le vol des informations d'identification jusqu'à l'utilisation abusive des informations d'identification volées. Les capacités de prévention combinées du pare-feu nouvelle génération, de la Threat Prevention, de WildFire et de l'URL Filtering stoppent les attaques connues et inconnues utilisées pour le vol et l'abus d'informations d'identification, tandis que GlobalProtect étend les protections de la plateforme aux effectifs mobiles et fournit des mesures supplémentaires pour identifier les utilisateurs et les appareils qui accèdent aux applications.