Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.
Voler l’identité d’un opérateur est un risque majeur contre lequel il est très difficile de se protéger. Les attaquants sont très bons pour voler les mots de passe et les clés, et les utilisateurs sont très mauvais pour les protéger. Vous pouvez éduquer vos utilisateurs à l’utilisation de l’authentification forte, la non-réutilisation des mots de passe ou la rotation régulière des clés SSH, il existera toujours le risque d’une erreur humaine qui expose un secret, tombe sous le coup d’un phishing, et donne un point d'entrée à un attaquant.
La question se pose donc de comment détecter un accès malveillant à l’infrastructure de production. Si nous avons suffisamment d'informations sur l'utilisateur, nous pouvons créer une empreinte de son activité pour détecter un changement de modèle. Cela peut utiliser des données telles que la zone de connexion habituelle, le type de client ou l’équipement utilisé ou encore la durée d'une session.
À...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première