Azure AD : Détections de vol de jetons & Conditional Access pour les identités de charges de travail


Microsoft renforce la protection des identités des charges de travail et la détection de vol de jetons.

Lors de Microsoft Ignite 2021, nous avons partagé la manière dont Microsoft a collaboré avec la communauté de la cybersécurité pour se défendre contre l’intensification des attaques d’identité. Dans ce billet de blog, je vais plonger plus profondément dans les fonctionnalités de sécurité des identités annoncées pour la protection des identités et l’accès conditionnel d’Azure Active Directory (AD). Ces fonctionnalités de sécurité des identités :

  • Offrent une visibilité sur les menaces émergentes (détections d’usurpation de jeton dans la protection d’identité).
  • Permettent une protection en temps quasi réel (évaluation de l’accès continu)
  • Étendre la protection aux identités de charge de travail (Accès conditionnel pour les identités de charge de travail).

Détection des vecteurs d’attaque émergents : détections de vol de jetons

Les acteurs malveillants utilisent de plus en plus le vol de jetons et le rejeu pour obtenir un accès permanent aux ressources des victimes et un accès élevé aux demandes d’authentification multifactorielle existantes. Le vol de jetons se produit principalement par le biais de logiciels malveillants et d’attaques de phishing de type « Machine-In-The-Middle » (MITM). Une fois que le mauvais acteur a volé un jeton à une identité (comme un utilisateur ou une application), il peut l’utiliser pour se faire passer pour une autre identité et voler des données.

 

Figure 1 : Illustration de la façon dont le vol de jetons se produit

À l’Ignite, nous avons annoncé la disponibilité générale de deux nouvelles détections qui peuvent alerter les administrateurs sur le rejeu de jetons : jeton anormal et propriétés de connexion inconnues pour les cookies de session. Ces nouvelles détections recherchent des anomalies dans les revendications du jeton, son âge et d’autres attributs d’authentification. Tout d’abord, vous devez bloquer l’accès des utilisateurs jusqu’à ce que vous puissiez révoquer les jetons actifs des utilisateurs, évaluer comment les jetons ont été volés et supprimer les logiciels malveillants s’ils sont présents. Nous recommandons ensuite de révoquer les jetons actifs avec la cmdlet PowerShell Revoke-AzureADUserAllRefreshToken.

 

Figure 2 : Expérience de l’administrateur pour les détections d’anomalies de jetons et d’émetteurs de jetons

En plus de la détection et de la prévention de la rediffusion des jetons, nous développons des fonctionnalités pour détecter et répondre au vol de jetons. Notre prochaine détection, l’anomalie de l’émetteur de jetons, est une première étape dans l’identification d’un fournisseur d’identité SAML sur site compromis qui permet aux attaquants de voler des jetons. Si vous concluez qu’il y a eu une attaque après avoir examiné cette détection, nous vous recommandons de faire ce qui suit :

  • Identifier et éliminer la source de la compromission du certificat de signature.
  • Lancez tous les certificats de signature de jetons SAML
  • Révoquer les jetons actifs avec la cmdlet PowerShell Revoke-AzureADUserAllRefreshToken.
  • Si vous utilisez ADFS, consultez les meilleures pratiques pour sécuriser AD FS et le proxy d’application Web.
    • Réduire la dépendance à la confiance SAML sur site par https://aka.ms/protectm365
    • Utilisez un HSM pour gérer vos certificats de signature de jeton SAML.

Application en temps quasi réel : Évaluation continue de l’accès

Les nouvelles capacités de détection permettent de repérer les sessions jouées de manière malveillante et de rafraîchir les tokens. Cependant, les protocoles d’authentification ne vérifient les jetons que lorsqu’ils se rafraîchissent (généralement toutes les heures environ pour les jetons d’accès). Cela signifie que la détection des changements dans les conditions de l’utilisateur ou de la politique est retardée d’autant de temps que l’intervalle de rafraîchissement. L’évaluation continue de l’accès (CAE) est un mécanisme qui permet à Azure AD de maintenir un dialogue avec l’application pour combler ce retard. La CAE nous permet de révoquer l’accès en temps réel lorsque des changements dans les conditions déclenchent des risques, par exemple lorsqu’un utilisateur est résilié ou se déplace vers un emplacement non fiable ou lorsqu’un risque pour l’utilisateur est détecté.

Par exemple, vous pouvez activer le CAE et configurer la politique d’accès conditionnel pour bloquer les plages IP non fiables ou les appareils infectés par des logiciels malveillants. Une fois activé, un jeton volé à partir d’un appareil infecté dans vos plages IP de confiance sera rejeté s’il est rejoué en dehors des plages de confiance parce que l’intention malveillante est supposée. Avant même que cela ne se produise, les jetons peuvent être invalidés lorsque le logiciel malveillant qui les vole est détecté. CAE et la protection de l’identité fonctionnent ensemble pour bloquer la relecture des jetons en dehors des conditions que vous définissez – en détectant et en corrigeant automatiquement la relecture des jetons lorsqu’elle est tentée. CAE sera généralement disponible d’ici la fin de l’année 2021. Après cela, CAE sera activé par défaut si vous n’avez configuré aucun paramètre CAE (si vous avez configuré quelque chose, votre paramètre sera honoré). Jusque-là, vous pouvez modifier les paramètres CAE dans le cadre de l’accès conditionnel.

Étendre davantage la couverture : Accès conditionnel pour les identités de charge de travail

Les attaques sophistiquées, orchestrées et multi-vecteurs se multiplient. Cela rend une stratégie de confiance zéro impérative pour chaque entreprise et organisation. Au cœur de la confiance zéro se trouve l’accès conditionnel d’Azure AD, qui vérifie explicitement chaque identité. Outre la protection des identités humaines, nous étendons les capacités d’accès conditionnel pour couvrir les authentifications d’applications uniquement à partir d’identités de charges de travail, telles que les applications et les services principaux. Il est essentiel de sécuriser les identités de charge de travail dans votre environnement pour empêcher les mauvais acteurs de compromettre et d’utiliser ces identités pour accéder à votre environnement.

L’accès conditionnel pour les identités de charge de travail permet aux administrateurs d’empêcher l’utilisation non autorisée des principaux services en bloquant les authentifications en dehors des réseaux de confiance. L’accès conditionnel pour les identités de charge de travail est maintenant en aperçu public.

Figure 3 : Expérience d’administration de l’accès conditionnel pour les identités de charge de travail

Nous espérons que vous avez apprécié le Microsoft Ignite 2021. Si vous avez des questions ou des commentaires, n’hésitez pas à nous en faire part, nous serons ravis de les entendre !

 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s