MITRE ATT&CK T1078 : Explication de la technique des comptes valides
La société de cybersécurité Picus Security explique comment les attaquants exploitent les identifiants légitimes via la technique T1078 "Comptes valides" de MITRE ATT&CK pour contourner les contrôles de sécurité et obtenir un accès non autorisé.
Picus Security a publié une analyse de la technique T1078 "Comptes valides" du cadre MITRE ATT&CK, une méthode prédominante utilisée par les adversaires pour accéder aux systèmes et aux réseaux. Cette technique implique l'abus d'identifiants d'utilisateur légitimes, y compris les comptes par défaut, locaux, de domaine ou cloud, pour s'authentifier et contourner les mesures de sécurité.
La technique des comptes valides permet aux attaquants d'atteindre plusieurs objectifs, tels que l'accès initial, le mouvement latéral, la persistance et l'escalade des privilèges, tout en échappant à la détection. Alors que l'accès basé sur l'identité devient de plus en plus central dans les infrastructures informatiques modernes et les environnements cloud, T1078 est apparu comme un vecteur d'attaque très efficace et fréquemment utilisé.
Selon les recherches de Picus Security, la technique des comptes valides réussit dans 98 % des environnements testés. Cela correspond aux conclusions générales de l'industrie, qui indiquent qu'une part importante des intrusions informatiques repose sur des identifiants légitimes compromis plutôt que sur l'exploitation de vulnérabilités logicielles.
Le rapport met en évidence des sous-techniques spécifiques, notamment T1078.001 (Comptes par défaut), où les attaquants exploitent les identifiants prédéfinis ou bien connus, tels que les comptes administrateur ou root par défaut. T1078.002 (Comptes de domaine) se concentre sur l'abus d'identifiants au sein des environnements Active Directory, permettant aux attaquants de se déplacer au sein d'un réseau et d'escalader leurs privilèges.
Les organisations sont confrontées à des défis importants pour se défendre contre de telles attaques basées sur l'identité. L'analyse de Picus Security souligne la nécessité d'une gestion proactive des risques liés à l'identité et d'une simulation continue des menaces pour contrer efficacement l'utilisation généralisée de l'abus de comptes valides par les acteurs malveillants.