Non classé

Atténuer les attaques légitimes dans le secteur financier – Bien installer son serveur

Le 10 juin 2020 - 9 minutes de lecture

(Si vous pensez que l'authentification multifactorielle empêche le remplissage accidentel, détrompez-vous!)

Partout dans le monde, les sociétés de services financiers connaissent des attaques d'arrêt légitimes à un rythme alarmant. Les cybercriminels utilisent des outils d'automatisation facilement accessibles, des botnets et des informations de compte compromises pour obtenir des attaques toujours plus sophistiquées et furtives. De nombreuses entreprises utilisent l'authentification multifacteur (MFA) pour améliorer la sécurité des accès et lutter contre le vol d'identité. Bien qu'utile et nécessaire, le MAE n'empêche pas nécessairement que l'identification soit créditée. Lorsqu'un attaquant averti identifie une combinaison d'ID utilisateur et de mot de passe légitime, il recherche presque toujours d'autres moyens d'accéder aux comptes et de commettre des délits.

De nombreuses sociétés de services financiers prennent des mesures supplémentaires pour lutter contre la légitimation en utilisant des solutions sophistiquées de gestion des bots pour détecter et arrêter les mauvais acteurs sur leurs traces avant d'accéder aux applications ou aux systèmes critiques. Dans ce blog, je vais vous expliquer comment fonctionne la certification et donner quelques conseils pour la défendre.

Quels sont les pouvoirs?

L'accréditation est une forme courante de cyberattaque où les mauvais acteurs utilisent des systèmes automatisés et des informations de connexion compromises pour accéder aux comptes en ligne. La prémisse de base derrière l'identification est que les victimes utilisent souvent la même combinaison ID utilisateur / mot de passe pour de nombreux comptes Web. Donc, si un criminel en ligne obtient votre identifiant et votre mot de passe Amazon et que vous utilisez la même combinaison pour les services bancaires en ligne, il peut désormais déduire de l'argent de votre compte d'épargne. Les criminels peuvent utiliser des outils d'automatisation open source pour essayer des milliers et des milliers d'informations d'identification volées contre des milliers et des milliers de sites Web, sachant que les chances sont bonnes qu'elles finiront par devenir d'or.

Une économie souterraine florissante existe pour acheter, vendre et exploiter le crédit de compte compromis. Des milliards d'informations d'identification volées sont disponibles à l'achat sur le dark web. Des outils d'automatisation gratuits tels que Sentry MBA ou SNIPR permettent aux mauvais acteurs d'orchestrer facilement les informations d'identification et de valider les informations volées. Et les plates-formes à faible coût «botnet as a service» permettent aux criminels de mener des campagnes d'extradition complexes à grande échelle.

CSBlog1.png

CSBlog2.png

Le MBA Sentry facilite l'orchestration des attaques avec accréditation

Sans surprise, les organisations de services financiers sont des cibles communes pour les attaques à partir d'informations d'identification. Les comptes bancaires, les comptes de carte de crédit, les comptes de courtage et les applications de paiement sont des cibles de grande valeur. Un rapport sur l'état de l'Internet d'Akamai en 2019 a révélé qu'environ 6% de toutes les attaques par accréditation visaient des clients de services financiers, comme le montre le graphique ci-dessous. (Bien que cela puisse sembler être un pourcentage relativement faible à première vue, vous devez mettre cela en perspective en considérant le coût potentiel total d'une violation dans le secteur financier, par rapport à d'autres industries.) Akamai sur une période de 17 mois a découvert plus de 3 , 5 millions de tentatives de connexion malveillantes contre des organisations financières!

CSBlog3.png

Attaques légitimes observées par Akamai (Décembre 2017 – avril 2019)

Les cybercriminels utilisent également des informations d'identification pour obtenir un faux accès aux API. Un rapport sur l'état de l'Internet d'Akamai en 2020 a montré que les attaquants ciblent souvent les points de terminaison REST et SOAP qui donnent accès à des données et services confidentiels que les mauvais acteurs peuvent utiliser pour commettre des délits financiers. (Les diagrammes ci-dessous montrent les tentatives de connexion malveillantes découvertes par Akamai sur une période de 24 mois. Les tentatives de point de terminaison API sont affichées en orange. Le graphique du haut représente toutes les industries. Le graphique du bas est zéro dans le secteur financier.)

CSBlog4.png

Tentatives de connexion malveillantes observées par Akamai (décembre 2017 – novembre 2019)

Se défendre contre les attaques légitimes

Les attaques par accréditation peuvent nuire à la réputation de l'entreprise et entraîner des soumissions, des paiements légitimes et des conversations avec les clients. Ils peuvent également nuire aux performances de votre site Web et de vos applications en ligne en submergeant votre infrastructure d'un trafic bidon. Pour aggraver les choses, les attaquants attaquent toujours leurs techniques – en répartissant les tentatives de connexion sur des milliers de robots, en utilisant des serveurs proxy, en répartissant les tentatives de connexion dans le temps – pour éviter la détection.

Voici trois conseils pour vous défendre contre le déploiement et réduire les risques.

Astuce 1: Jetez un autre coup d'œil à vos pages d'application et à vos pages de connexion à un site Web

De nombreux concepteurs d'applications et de sites Web aident par inadvertance les mauvais acteurs en confirmant par inadvertance les ID utilisateur ou d'autres informations pouvant être utilisées pour monter une attaque. Par exemple, un criminel en ligne peut essayer de se connecter à un compte en utilisant un ID utilisateur et un mot de passe non vérifiés. Si l'application Web renvoie un message d'erreur indiquant que le mot de passe est incorrect, le criminel peut supposer que l'ID utilisateur est valide et utiliser des méthodes de craquage de mot de passe par force brute ou d'autres mécanismes pour accéder au compte.

Vérifiez vos flux de travail d'authentification et vos écrans de connexion pour vous assurer de ne pas faciliter les choses aux escrocs.

Astuce 2: Extension des solutions d'authentification multifacteur

Les solutions d'authentification multifactorielle peuvent aider à empêcher l'accès non autorisé aux applications des services financiers si un criminel en ligne obtient ses informations d'identification. MFA est avantageux, mais il n'empêche pas toujours de remplir les informations d'identification. Au contraire, MFA peut réellement aider les attaquants.

Avec de nombreuses implémentations MFA, les utilisateurs entrent d'abord une combinaison d'ID utilisateur et de mot de passe, puis sont invités à saisir une autre preuve telle qu'un code envoyé par e-mail ou SMS. Un mauvais opérateur peut exploiter MFA pour vérifier une combinaison ID utilisateur / mot de passe (la plupart des solutions MFA valident la combinaison ID utilisateur / mot de passe avant de générer le code de défi). Une fois l'ID utilisateur / mot de passe confirmé, l'agresseur peut cibler la victime directement via une attaque de phishing, vendre les informations d'identification validées sur le dark web ou tenter une autre action malveillante. Pour une protection complète, introduisez une architecture de sécurité à plusieurs niveaux et de défense en profondeur, qui combine MFA avec d'autres fonctions de sécurité. Assurez-vous également qu'un attaquant ne peut pas détecter les informations d'identification valides en interrogeant la réponse du serveur Web.

Astuce 3: implémentez une solution de gestion des bots pour une protection ultime

Pour une protection ultime contre le blocage des informations d'identification, déployez une solution de gestion de bots basée sur le réseau dans le cadre d'une implémentation de sécurité multicouche. Les mauvais acteurs s'appuient sur des réseaux de bots distribués pour mener des attaques complexes de certification. Les solutions de gestion de bateau détectent et contrôlent le faux trafic réseau à la périphérie du réseau, bloquant les attaquants avant qu'ils ne puissent atteindre vos applications ou submerger votre infrastructure. Les plates-formes de gestion de robots les plus performantes utilisent l'intelligence artificielle et l'apprentissage automatique pour détecter et prévenir les attaques avancées d'identification.

Conclusion

Les cybercriminels mènent des attaques sophistiquées de reconstitution pour s'emparer de comptes de services financiers, voler des données confidentielles et effectuer des transactions frauduleuses. Vous pouvez riposter en jetant un nouveau regard sur les flux de travail d'authentification et en mettant en œuvre une architecture de sécurité multicouche qui comprend une plate-forme de gestion de robots robuste. Les principales solutions de manutention de bateaux comme Akamai Bot Manager détectent et arrêtent les remplisseurs sophistiqués avec légitimité à la limite avant qu'ils n'atteignent vos applications ou votre centre de données. La solution Akamai utilise l'apprentissage automatique et l'analyse du comportement pour identifier et rejeter intelligemment les attaques d'arrêt des informations d'identification sans réduire le trafic de fond légitime. Bot Manager est construit sur la plate-forme Akamai Intelligent Edge avec plus de 280 000 serveurs dans le monde pour une évolutivité et des performances mondiales. La solution gère plus de 560 millions de demandes de robots par heure, offrant une visibilité inégalée dans le paysage de robots en constante expansion.

Pour en savoir plus sur la lutte contre les attaques par accréditation, consultez le webinaire que j'ai organisé avec mon collègue Hamish Rose.

*** Ceci est un blog syndiqué pour le réseau des blogueurs de sécurité de l'auteur du blog Akamai par Gerhard Giese. Lisez l'article d'origine sur: http://feedproxy.google.com/~r/TheAkamaiBlog/~3/Ikmxa2xgIRs/mitigating-credential-stuffing-attacks-in-the-financial-sector.html

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.