Fournisseur de Services Réseau | Cybersécurité | Cloud 

+33189202069
SASETY - Intégrateur de services managés SASE [Secure Access Service Edge]
SASETY - Intégrateur de services managés SASE [Secure Access Service Edge]
SASETY.COM

Combattre le vol d’identifiants avec l’automatisation

La réponse au casse-tête des CISOs

Tribune SASETY


Plus de 24 Milliards d’identifiants volés sont disponibles sur Internet et le Darkweb.

Leur exploitation par les groupes de cybercriminels représente le premier vecteur d’attaque, loin devant le phishing et l’exploitation de vulnérabilités.

En utilisant ces identifiants, les attaquants prennent le contrôle des comptes utilisateurs et exposent les organisations à des violations, à des ransomwares et au vol de données.

 

Bien que les CISOs soient conscients de cette menace et disposent souvent d’outils pour réduire ce risque, l’actualité démontre que leur application s’avère largement insuffisante.

Une démarche structurée et continue permet de réduire l’exposition au risque mais elle représente une charge trop importante pour des équipes sécurité souvent limitées.

L’automatisation de la détection et de l’identification des risques réels pour l’organisation constitue la seule réponse adaptée à la dynamique des cybermenaces.

 

Nature du risque

 

80% des violations d'applications Web impliquent des identités compromises.

Les attaquants utilisent des techniques comme l'ingénierie sociale, la force brute et l'achat d'identifiants sur le Darkweb pour compromettre les identités et obtenir un accès aux ressources des organisations. 

 

Ils tirent souvent parti des faiblesses suivantes :

  • Mot de passe unique entre plusieurs applications
  • Mot de passe commun entre applications personnelles et professionnelles
  • Mots de passe stockées dans les navigateurs
  • Réutilisation de mots de passe ou durée de vie importante
  • Identifiants non utilisés (collaborateurs ayant quitté l’entreprise, prestataires, comptes de service, etc.)
  • Mots de passe partagés entre différents utilisateurs

 

Le principal défi pour l'organisation est que les attaquants n'ont besoin que d'un seul identifiant valide pour s'introduire. 

 

Mitigation du risque

 

Pour réduire leur exposition au risque, les organisations doivent se concentrer sur ce qui est exploitable du point de vue des attaquants. 

 

Une méthodologie efficace repose sur les étapes suivantes :

 

  1. Collecter les identifiants dérobés

 

Pour commencer à résoudre le problème, les équipes sécurité doivent collecter des données sur les identifiants qui ont été dérobés à divers endroits du Web et sur le Darkweb.

Des outils comme HaveIBeenPwned ou celui de l’Institut Hass-Platner sont utiles.

Cette étape permet d’obtenir un premier état de la situation et d’identifier les comptes individuels qui doivent être mis à jour.

 

    2.  Identifier le risque d’exposition réel

 

Une fois les données collectées, les équipes sécurité doivent déterminer quels identifiants peuvent être réellement exploités. 

Pour ce faire, elles doivent utiliser des techniques similaires à celles des attaquants :

  • Vérifier si les identifiants permettent l'accès aux ressources externes, tels que les services Web et les bases de données
  • Tenter de déchiffrer les hachages de mots de passe capturés
  • Valider les correspondances entre les identifiants dérobés et les outils de gestion des identités de l'organisation, tels que l’Active Directory
  • Tester des variantes pour identifier de nouvelles identités qui pourraient être compromises : les utilisateurs utilisant généralement les mêmes modèles de mot de passe


   3.  Réduire le risque d’exposition

Après avoir validé les identifiants dérobés qui exposent réellement l’organisation, les équipes sécurité doivent prendre des mesures ciblées pour atténuer le risque. 

Par exemple :

  • Supprimer les comptes inactifs divulgués de l’Active Directory
  • Initier des changements de mot de passe pour les utilisateurs actifs
  • Revoir les processus et la politique de gestion des mots de passe (durcissement, cycle de vie)

 

   4.  Mettre en place une démarche de validation continue

 

Les techniques des attaquants tout comme la surface d'attaque des organisations évoluent en permanence, en particulier en termes de comptes utilisateurs. 

Par conséquent, un effort ponctuel pour identifier, vérifier et réduire le risque d’exposition des identifiants est insuffisant. 

 

Pour combattre durablement ce risque, les organisations doivent adopter une démarche de traitement continu.

Cependant, la charge que représente ces actions manuelles est trop importante pour des équipes de sécurité aux ressources limitées.

 

La seule façon de gérer efficacement la menace est d'automatiser le processus de validation.

 

Automatisation 

 

Depuis 2021, le cabinet Gartner a introduit cette automatisation au travers des concepts « Automated Penetration Test and Red Team Tool » et « External Attack Surface Management ».

Ces concepts rassemblent des techniques visant à identifier de façon continue les risques exposant la surface d’attaque des organisations afin de concentrer le travail de remédiation sur les risques avérés.

Parmi les acteurs, la société Pentera constitue aujourd’hui le leader de la cybervalidation automatisée.

Utilisant les dernières techniques d’attaques les plus avancées, leur solution permet de réaliser de façon automatique et continue des attaques éthiques afin de mettre en évidence les vulnérabilités statiques et dynamiques. 

Ces tests sont exécutés aussi bien depuis l’extérieur que depuis l’intérieur de l’organisation, permettant de couvrir toute la surface d’attaque.

 

Parmi les fonctionnalités, le module « Leaked Credentials » automatise les étapes de découverte des identifiants dérobés et la vérification de l’exposition qu’ils représentent pour l’organisation :

  • Sur les services externes (SaaS, sites Web, messagerie)
  • Sur les services internes (applications, postes de travail, serveurs, éléments d’infrastructure).

 

Le résultat de ces investigations présente les vecteurs d’attaques complets ainsi que la description des actions de remédiation à réaliser par les équipes sécurité.

La communication avec des outils de type SIEM ou ITSM permet d’intégrer ce processus dans le processus global de gestion du risque de cybersécurité.

 

Ces solutions correspondent à l’avenir de la surveillance, de la détection et de la prévention des menaces.


Remerciements : Éli Domoshnitski, product manager, Pentera

💡 Pour découvrir la cybervalidation automatisée de Pentera, rien de tel qu’une démo ! 👀

A vos agendas 📅 👇

Réserver une démo

 👀 Pour en savoir plus sur Pentera 👇

En savoir plus

Fighting credential theft with automation

The answer to the CISOs puzzle

 

More than 24 billion stolen credentials are available on the Internet and the Dark Web. Their exploitation by cybercriminal groups represents the first attack vector, far ahead of phishing and vulnerabilities exploits. By using these credentials, attackers take control of user accounts and expose organizations to breaches, ransomware, and data theft.

 

Although CISOs are aware of this threat and often have tools to reduce this risk, daily news show that their application is largely insufficient. A structured and continuous approach reduces risk exposure, but it is too much of a burden for often limited security teams. Automating the detection and identification of real risks to the organization is the only appropriate response to cyber threat dynamics.

 

Nature of risk

 

80% of web application violations involve compromised identities. Attackers use techniques like social engineering, brute force, and buying credentials on the dark web to compromise identities and gain access to organizations' resources.

 

They often take advantage of the following weaknesses:

  • Same password between multiple applications
  • Same password between personal and business applications
  • Passwords stored in browsers
  • Password reuse or long lifespan
  • Unused identifiers (employees who have left the company, service providers, service accounts, etc.)
  • Passwords shared between different users


The main challenge for the organization is that attackers only need one valid ID to break in.

 

Risk mitigation

 

To reduce their risk exposure, organizations need to focus on what is exploitable from the attackers' perspective.

 

An effective methodology is based on the following steps:


  1. Collect stolen credentials


To start fixing the problem, security teams need to collect data on credentials that have been stolen from various locations on the web and on the dark web. Tools like HaveIBeenPwned or the Hass-Platner Institute are useful. This step provides an initial status report and identifies individual accounts that need to be updated.


    2.   Identify the actual risk of exposure

 

Once the data is collected, security teams need to determine which credentials can actually be leveraged.

To do this, they must use techniques similar to those of attackers:


  • Check whether credentials allow access to external resources, such as web services and databases
  • Attempt to crack captured password hashes
  • Validate matches between stolen credentials and the organization's identity management tools, such as Active Directory
  • Test variants to identify new identities that could be compromised: users typically using the same password patterns

 

    3. Reduce the risk of exposure

 

After validating stolen credentials that actually expose the organization, security teams must take targeted actions to mitigate the risk.

For instance:

  • Remove disclosed inactive accounts from Active Directory
  • Initiate password changes for active users
  • Review password management processes and policy (hardening, lifecycle)

 

    4. Implement a continuous validation process


Attackers' techniques as well as organizations' attack surfaces are constantly evolving, especially in terms of user accounts. Therefore, a one-time effort to identify, verify and reduce the risk of exposure of identifiers is insufficient. To sustainably combat this risk, organizations must adopt a continuous treatment approach. However, the burden of these manual actions is too great for security teams with limited resources.

 

The only way to effectively manage the threat is to automate the validation process.


Automation 

 

Since 2021, Gartner has introduced this automation through the concepts of "Automated Penetration Test and Red Team Tool" and "External Attack Surface Management". These concepts bring together techniques to continuously identify risks exposing the attack surface of organizations in order to focus remediation work on proven risks.

Among the players, Pentera is now the leader in automated cyber validation.

Using the latest and most advanced attack techniques, their solution allows automatic and continuous ethical attacks to highlight static and dynamic vulnerabilities. These tests are run from both outside and inside the organization, covering the entire attack surface.

 

Among the features, the "Leaked Credentials" module automates the steps of discovery of stolen identifiers and the verification of the exposure they represent for the organization:

  • On external services (SaaS, websites, messaging)
  • On internal services (applications, workstations, servers, infrastructure elements)


The result of these investigations presents the complete attack vectors as well as the description of the remediation actions to be carried out by the security teams. Communication with SIEM or ITSM tools makes it possible to integrate this process into the overall cybersecurity risk management process. These solutions are the future of threat monitoring, detection, and prevention. paragraphe


Thanks : Éli Domoshnitski, product manager, Pentera

EVENT | SASETY X CATO Networks, Table ronde autour du SASE et du XDR à Nantes

par SASETY 16 avr., 2024
AFTERWORK SASETY X CATO Networks sur le thème du SASE et du XDR
SASETY- CISO - Comment la Cybervalidation Automatisée va vous aider à passer de bonnes vacances ?t

Article | CISO - Comment la Cybervalidation Automatisée va vous aider à passer de bonnes vacances ?

par SASETY 12 avr., 2024
Être CISO n’est pas de tout repos. Aussi, pour profiter au maximum de quelques jours de congés et redémarrer sereinement, voici une checklist qui peut vous aider : AVANT DE PARTIR 1. Vérifiez les journaux et les événements de sécurité de vos principaux systèmes critiques Prenez connaissance des activités récentes : vérifiez les modifications et les tentatives de modification ainsi que tout indicateur potentiel de compromission. Si vous prévoyez de vous absenter plus d'une semaine, désignez un membre de l'équipe pour effectuer une analyse hebdomadaire qui permettra de réduire les risques qu'un événement critique ne soit pas détecté. 2. Vérifiez si de nouvelles vulnérabilités ont été identifiées et nécessitent une remédiation urgente Utilisez votre outil d'analyse de vulnérabilités ou consultez l'une des bases de données régulièrement mises à jour, telle que CVE Details. Identifiez si des composants critiques sont exposés et, si une correction est nécessaire, définissez un plan de
Avis d’expert | SASE + XDR : La Formule Gagnante d'une Cyberdéfense moderne

Avis d’expert | SASE + XDR : La Formule Gagnante d'une Cyberdéfense moderne

par SASETY 04 mars, 2024
Dans un monde toujours plus connecté et à l'équilibre géopolitique fragilisé, la cybermenace est omniprésente et chaque jour plus sophistiquée. Les cyberattaquants, usant de tactiques de plus en plus élaborées, exploitent les failles des systèmes numériques pour lancer des offensives allant de la cybercriminalité opportuniste à des campagnes orchestrées par des entités étatiques ou des réseaux organisés. L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) souligne dans son récent rapport l'émergence de techniques d'attaque toujours plus furtives, rendant leur détection d'autant plus ardue pour les dispositifs de défense traditionnels. Les conséquences d'une brèche de sécurité peuvent être catastrophiques, entraînant pertes financières, atteinte à la réputation et, dans les cas les plus graves, menaces contre la sécurité nationale. Les équipes en charge de la sécurité, souvent limitées en ressources, peinent à coordonner l'usage de divers outils de défense qui, généralement, ne communiquent
Communiqué | SASETY - Fort développement en 2023

Communiqué | SASETY - Fort développement en 2023

par SASETY 30 janv., 2024
SASETY, l’expert français des services SASE et Cybersécurité, poursuit le fort développement de ses activités. SASETY délivre aux organisations les solutions et les services qui apportent une réponse concrète à leurs enjeux de performance et de sécurité : Transport & sécurité avec le SASE ; Contrôle de la posture de sécurité avec la Cybervalidation automatisée. SASETY réalise un accompagnement sur mesure permettant à chaque client d’adapter le niveau de service en fonction de ses besoins en expertise (déploiement & exploitation) et en pilotage opérationnel (supervision, réponse aux incidents, gouvernance). Trois ans après son lancement, la société compte près de 40 clients ETI, Grands Comptes et Organismes publics de tous secteurs d’activité. En 2023, la société a triplé son chiffre d’affaires en contribuant significativement à l’accélération du développement de ses partenaires stratégiques CATO Networks et Pentera en France.
SASETY - Comment l’approche SASE de Cato Networks permet d’améliorer son niveau de sécurité ?

SASETY - Tribune | Comment l’approche SASE de Cato Networks permet d’améliorer son niveau de sécurité ?

par SASETY 15 nov., 2023
Avec l'évolution constante des technologies et des menaces cyber, la sécurité des réseaux devient un enjeu majeur pour les entreprises. Dans ce contexte, le modèle Secure Access Service Edge (SASE) émerge comme une solution novatrice, offrant une approche cloud intégrée, globale et convergente pour renforcer la sécurité tout en optimisant les performances. Le SASE résumé en quelques points : 100% cloud : le SASE est un service managé qui repose sur une architecture cloud native pour plus d'agilité et de flexibilité. Convergence : le SASE fait converger les capacités réseau et de sécurité dans une plate-forme unique pour répondre aux exigences d'une gestion simplifiée et d'une cybersécurité omniprésente. Distribué : une véritable approche SASE repose sur un réseau fédérateur de points de présence mondial et privé géographiquement répartis pour optimiser l’acheminement du trafic et en garantir la performance et l’évolutivité. Support de tous les périphériques : le SASE connecte de façon sécurisé t
Team | David WERQUIN rejoint SASETY en tant que Consultant sénior Cybersécurité

Team | David WERQUIN rejoint SASETY en tant que Consultant sénior Cybersécurité

par SASETY 09 oct., 2023
Pour accompagner son développement, SASETY renforce son équipe d’experts et accueille David WERQUIN 🤝 au poste de Consultant sénior Cybersécurité. L’arrivée de David WERQUIN vient renforcer l’équipe d’experts qui accompagne les organisations dans la transformation et la sécurisation de leurs infrastructures numériques. Diplômé de l’Ecole des Mines de Saint-Etienne, David WERQUIN a accompagné la transformation digitale des organisations pendant plus de 20 ans au sein d’une ESN de premier plan, dans laquelle il a occupé des fonctions techniques, commerciales et de direction. David WERQUIN : « La généralisation du Cloud et l’importance prise par la mobilité des utilisateurs ont redessiné les contours des systèmes d’information et en particulier leur exposition aux risques cyber. Après 20 ans dans l’intégration, j’avais à cœur de trouver une structure agile disposant d’un très haut niveau d’expertise sur des technologies émergentes et innovantes de la Cybersécurité. La stratégie unique de SASETY correspond
Résultats du 1er semestre - SASETY réalise ses perspectives de croissance

Communiqué | Résultats du 1er semestre - SASETY réalise ses perspectives de croissance

par SASETY 08 sept., 2023
SASETY, l’expert français des services managés SASE et Cybersécurité confirme l’accélération de sa croissance au premier semestre. SASETY apporte aux organisations les technologies et les services pour répondre à leurs enjeux de performance et de sécurité : Transport et sécurité des flux avec le SASE (Secure Access Service Edge) Validation continue de la posture de sécurité avec la Cybervalidation automatisée SASETY délivre ces technologies au travers de ses partenariats stratégiques avec les leaders mondiaux dans leur catégorie respective, CATO Networks et Pentera.
Pionnier des services managés SASE en France, SASETY voit son activité décoller

Article ChannelNEWS | Pionnier des services managés SASE en France, SASETY voit son activité décoller

par SASETY 28 juin, 2023
Créée en mars 2021 par Jérôme Beaufils (PDG) et Olivier Péricat (directeur avant-vente), la société est l’un des pionniers en France des services managés d’accès à distance sécurisés (Secure Access Service Edge ou SASE). Depuis 6 mois, ses prises de commandes s’emballent. Elles ont doublé au premier trimestre, dépassant le seuil des 4 M€ répartis sur une vingtaine de clients. Et l’année 2023 devrait se poursuivre au même rythme au vu de l’évolution de son portefeuille d’opportunités. L’entreprise, qui compte six salariés, pourrait ainsi dépasser les 2 M€ de chiffre d’affaires sur l’exercice. SASETY propose aux organisations d’améliorer le niveau de performance et de sécurité de leurs connexions réseaux en s’appuyant sur la technologie SaaS de Cato Networks, la marque qui a « inventé » le marché du SASE. SASETY assure le conseil, l’architecture, le déploiement et l’exploitation de la solution en s’appuyant sur l’ITSM d’AUtotask interconnecté avec la console de provisionnement et d’administration de Cato Netwo
L’expertise de SASETY est récompensée par CATO Networks à l’occasion du Front Runners Cato Networks

Récompense | L’expertise de SASETY est récompensée par CATO Networks à l’occasion du Front Runners Cato Networks 2023

par SASETY 23 juin, 2023
SASETY, l’expert français des services managés SASE, est récompensé par Cato Networks pour le dynamisme de son partenariat et la qualité des projets menés autour de la technologie de l’éditeur. Depuis sa création, SASETY a positionné l’offre de Cato Networks au centre de sa chaine de valeur. Cato Networks fournit la première plateforme SASE au monde via un backbone privé et mondial, une sécurité native « as a service », la gestion du nomadisme et des accès cloud au sein d’une console unifiée. Cato Networks peut remplacer l’ensemble de la pile réseau et sécurité (par une architecture « cloud-native »). À travers cette offre de nouvelle génération, SASETY a pu accroitre son avantage concurrentiel, intégrer une technologie éprouvée à son catalogue de services et accompagner de nombreux clients d’envergure dans leurs projets.
Tribune | Cybervalidation automatisée et SASE : l’accord parfait pour se protéger des cyberattaques

Tribune | Cybervalidation automatisée et SASE : l’accord parfait pour se protéger des cyberattaques

par SASETY 22 mai, 2023
La complémentarité entre le SASE (Secure Access Service Edge) incarné par CATO Networks et la Cybervalidation automatisée introduite par Pentera, constitue l’accord parfait pour se prémunir des cyberattaques. Lorsque l’on interroge les responsables sur leurs préoccupations en matière de cybersécurité, les inquiétudes suivantes remontent fréquemment : - Quelle est mon exposition réelle ? - Suis-je protégé face à un risque de cyberattaque ? - Comment puis-je m’en prémunir et, face au pire, que puis-je faire pour en limiter l’impact ? Dans un contexte où plus de 60% des CISO se déclarent prêts à payer une rançon en cas d’attaque et où il devient de plus en plus complexe et onéreux de se cyber-assurer, il convient de s’intéresser à ces questions de manière pragmatique. Connaitre précisément son exposition au risque pour se protéger Traditionnellement, la mesure du risque cyber passaient par l’investissement dans des out
Voir plus
Share by: