Sécurité du compte de service Snowflake, partie 1

Sécurité du compte de service Snowflake, partie 1


Cette série d’articles de blog vous mettra dans l’esprit d’un défenseur. En cybersécurité, être un bon défenseur, c’est penser comme un attaquant. La partie 1 de ce blog se concentrera sur la compréhension des raisons pour lesquelles les comptes de service sont d’excellentes cibles dans l’esprit des méchants, ainsi que des menaces et des attaques qu’un méchant peut utiliser. Dans la partie 2, nous expliquerons comment atténuer les menaces et se défendre contre ces attaques à l’aide des outils que Snowflake Cloud Data Platform vous offre. Dans la partie 3, nous vous montrerons comment vous pouvez atténuer davantage les menaces en utilisant l’exemple de plug-in Hashicorp Vault que nous avons publié pour gérer la rotation des informations d’identification.

Partie 1

Les comptes de service sont des identités non humaines utilisées par des logiciels tels que des applications, des processus d’automatisation, des systèmes d’exploitation, etc.

Les comptes de service ont généralement un accès privilégié aux données auxquelles les opérateurs humains n’ont pas accès. Les comptes de service ont besoin de cet accès privilégié pour agir dans le cadre du système, réaliser l’automatisation et orchestrer les tâches, ainsi que pour effectuer des actions administratives sans surveillance.

Account Type

La vérification de l’identité humaine bénéficie de schémas d’authentification multifacteurs robustes, mais qu’en est-il des comptes de service ? Les mécanismes hors bande tels que les notifications push ou les jetons de mot de passe à usage unique (TOTP) basés sur le temps sont difficiles ou impossibles pour les cas d’utilisation des comptes de service.

À la fin de cette série d’articles de blog, vous serez en mesure de

  • Décrire les menaces courantes affectant les comptes de service et comprendre comment elles sont liées à votre entreprise
  • Décrire les stratégies d’atténuation des meilleures pratiques pour ces menaces
  • Déterminez les meilleures approches pour sécuriser vos comptes de service

Le tableau suivant décrit un modèle de menace de haut niveau pour les comptes de service :

Service Acct Threats

Un attaquant qui vole ou devine un identifiant est susceptible de l’utiliser à mauvais escient. Le but de cet article est de rendre les méthodes utilisées pour obtenir et abuser des informations d’identification pratiquement impossibles ou très coûteuses.

Pour être un défenseur performant, vous devez d’abord comprendre comment ces attaques sont menées.

Dans la section suivante, nous explorerons où et comment les attaques de comptes de service ont lieu.

Vol et divulgation des identifiants

Serveurs et applications utilisant des comptes de service

Les attaquants utilisent des vulnérabilités de sécurité non corrigées pour accéder aux serveurs et aux applications. Ils peuvent attaquer directement un serveur ou une application, ou ils peuvent se déplacer latéralement après avoir compromis un autre système vulnérable.

Si un attaquant parvient à accéder à une application ou à un serveur, les informations d’identification peuvent être volées

  • Fichiers de configuration
  • Fichiers journaux
  • Variables d’environnement
  • Mémoire d’applications
  • Autres services mal configurés utilisant des secrets faiblement protégés sur le système

Fichiers journaux

Nous avons mentionné les fichiers journaux sur un serveur ci-dessus. Cependant, la plupart des journaux ne résident pas exclusivement sur un serveur. Ils sont agrégés, stockés et souvent redistribués dans de nombreux endroits. Cela donne aux attaquants de nombreuses opportunités d’accéder aux journaux, sans avoir un accès direct aux applications et aux serveurs.

Les journaux sont riches en informations par définition, en particulier lorsque le débogage est activé. Cela signifie qu’ils sont peu coûteux à attaquer hors ligne et coûteux à défendre en temps réel.

Trafic réseau

L’interception de sources de journaux externes est un moyen pour les attaquants de voler des informations d’identification sans avoir accès à un serveur ou à une application. Une autre méthode consiste à intercepter le trafic réseau d’un serveur ou d’une application.

Les attaquants peuvent tirer parti des attaques de l’homme du milieu pour rediriger le trafic des applications. Cela pourrait exposer les informations d’identification pendant leur utilisation.

Humains privilégiés

Les humains sont souvent les cibles les plus douces et les plus vulnérables pour les attaquants. Le phishing et d’autres attaques peuvent être menées contre des cibles humaines pour implanter des logiciels malveillants. Les attaques d’ingénierie sociale peuvent amener les administrateurs à divulguer involontairement des informations d’identification à un attaquant.

Deviner les informations d’identification

Jusqu’à présent, nous avons discuté des nombreuses opportunités de vol d’informations d’identification, mais elles nécessitent toutes de compromettre soit un logiciel, soit un être humain. Les attaques de devinettes ne nécessitent ni l’un ni l’autre, et elles coûtent très peu aux attaquants à tenter.

En utilisant ces exemples comme point de départ, réfléchissez à la manière dont un attaquant pourrait mener une attaque par anticipation dans votre environnement :

  • Forçage brutal
  • Attaques par dictionnaire
  • Bourrage d’informations d’identification

Brute forcing et attaques par dictionnaire

Le forçage brutal, qui consiste simplement à essayer toutes les combinaisons possibles d’entrées autorisées pour les informations d’identification, est la technique la plus coûteuse. Il peut réussir immédiatement ou échouer après avoir essayé pendant 100 ans.

Les attaques par dictionnaire optimisent une partie de l’espace problématique en incorporant des mots connus, réduisant ainsi le nombre de combinaisons à essayer.

Les devinettes réelles sont rares, mais peuvent réussir lorsque des mots de passe faibles liés à des faits bien connus sur l’entreprise, les marques ou les événements sociaux sont utilisés.

Bourrage d’informations d’identification

Cette technique utilise des informations d’identification précédemment violées contre un grand nombre de services arbitraires.

Lorsque les administrateurs utilisent par erreur les mêmes informations d’identification sur plusieurs services, les attaquants peuvent en profiter pour se déplacer latéralement et découvrir de nouvelles surfaces d’attaque.

Dans cet article, nous avons couvert les objectifs de haut niveau et les méthodes d’attaque des comptes de service. Dans Partie 2nous discuterons des atténuations de défense en profondeur pour ces méthodes.

Documents associés :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.