Séparation inappropriée des privilèges de l'utilisateur et de l'administrateur dans le domaine de la cybersécurité
Cet article fait partie d'une série consacrée à l'examen d'un récent avis conjoint de la avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport de la NSA/CISA.
-
La séparation des privilèges de l'utilisateur et de l'administrateur est la pierre angulaire de pratiques de cybersécurité robustes. Cependant, une mauvaise gestion de ces privilèges peut entraîner de graves failles de sécurité. Ce chapitre examine les nuances de cette question et présente des stratégies efficaces pour atténuer les risques associés.
Questions relatives à la séparation des privilèges
Privilèges excessifs sur les comptes
Des privilèges trop permissifs peuvent permettre aux utilisateurs d'accéder à des données sensibles ou d'effectuer des actions dépassant le cadre de leur rôle, ce qui augmente considérablement l'exposition aux risques et la surface d'attaque de l'organisation. Par exemple, des employés peuvent avoir accès à des dossiers financiers ou à des paramètres du système qui ne sont pas liés à leurs fonctions.
Permissions élevées du compte de service
Les comptes de service, souvent nécessaires pour les applications et les processus, bénéficient de privilèges élevés. Ces comptes deviennent des cibles privilégiées pour les attaquants en raison de leur large accès au sein d'un domaine. Par exemple, un compte de service compromis dans une base de données peut conduire à des violations de données ou à des manipulations de données non autorisées.
Utilisation non essentielle des comptes élevés
L'utilisation de comptes administratifs pour des tâches routinières et non administratives, telles que l'accès au courrier électronique ou la navigation sur le web, élargit inutilement la surface d'attaque. Cela crée des opportunités pour les attaquants d'exploiter ces comptes pour infiltrer le réseau et le compromettre rapidement.
Comptes conservant des privilèges après le départ de l'utilisateur
Une mauvaise gestion des comptes a souvent pour conséquence que les comptes conservent des privilèges alors qu'ils ne sont plus nécessaires, par exemple lorsqu'un employé quitte l'entreprise ou change de rôle. Cette négligence peut laisser des comptes dormants ouverts à l'exploitation.
Impact dans le monde réel
Une conséquence fréquente d'une mauvaise séparation des privilèges est la compromission du système, en particulier dans les environnements d'hébergement web. Par exemple, si un processus de serveur web exécutant Apache/PHP dispose de privilèges excessifs, tout exploit à distance fournissant un accès injustifié hériterait de ces privilèges, ce qui pourrait compromettre l'ensemble du système. Des incidents historiques survenus sur des plateformes d'hébergement web démontrent les graves conséquences de tels oublis. En abaissant les privilèges attribués au processus de serveur web, le vecteur de risque serait également réduit.
Stratégies d'atténuation
Limiter les privilèges administratifs
Réduire au minimum le nombre de rôles administratifs et revoir régulièrement les rôles et les politiques des utilisateurs. Cette pratique garantit que seul le personnel nécessaire dispose d'un accès élevé, ce qui réduit le risque d'exploitation interne ou externe.
Lors de l'examen des rôles en vue du maintien (ou non) des privilèges, il convient d'adopter la position par défaut consistant à ne pas les maintenir, puis à valider les raisons pour lesquelles ils devraient disposer de ces privilèges. S'il n'y a pas de raison valable, les privilèges liés au rôle doivent être supprimés.
Mise en œuvre de l'accès basé sur la durée
Utiliser des méthodes d'accès juste à temps pour ne fournir des privilèges élevés qu'en cas de nécessité, adhérant ainsi au principe du moindre privilège. Cette approche réduit la période pendant laquelle les privilèges élevés sont disponibles, diminuant ainsi le risque d'utilisation abusive.
Appliquer le principe du moindre privilège
Auditer régulièrement les comptes d'utilisateurs pour s'assurer qu'ils ne possèdent que les privilèges nécessaires à leur rôle. Cette pratique minimise les possibilités d'accès ou d'actions non autorisées au sein du réseau.
Restreindre l'utilisation non essentielle des comptes élevés
Interdire l'utilisation des comptes administratifs pour des tâches générales. La mise en œuvre de l'analyse du comportement des utilisateurs (UBA) peut aider à détecter et à prévenir de tels abus en surveillant les activités anormales.
Appliquer une gestion stricte du cycle de vie des comptes
Associer étroitement le cycle de vie des comptes aux exigences de l'entreprise. Supprimez ou rétrogradez rapidement les comptes lorsqu'un employé quitte l'entreprise ou que l'engagement d'un sous-traitant prend fin, afin de minimiser le risque que des comptes dormants soient exploités.
Mise en œuvre d'un système complet d'enregistrement des activités
Appliquer une journalisation stricte de toutes les activités privilégiées, idéalement dans tous les systèmes. Utiliser des outils d'agrégation de journaux ou des solutions de surveillance pour obtenir une vue d'ensemble de l'infrastructure, ce qui permet de détecter rapidement les activités non autorisées ou anormales.
Conclusion
Une gestion efficace des privilèges des utilisateurs et des administrateurs est essentielle pour protéger les actifs numériques d'une organisation. En comprenant les complexités de la séparation des privilèges et en mettant en œuvre ces stratégies d'atténuation, les organisations peuvent améliorer de manière significative leur position en matière de cybersécurité.