Les clés SSH sont omniprésentes. Cependant, malgré leur utilisation répandue et leur accès privilégié, elles sont souvent négligées par les équipes informatiques et de sécurité. Pendant ce temps, des acteurs malveillants cherchent à exploiter des clés non gérées et non protégées pour mener des attaques SSH et se propager dans les réseaux sans être détectés.
Dans ce blog, nous aborderons le problème sous-jacent de la prolifération des clés SSH et la manière de prévenir les attaques SSH émergentes, telles que FritzFrog et Lemon_Duck, en mettant en œuvre une gestion des clés et des pratiques de sécurité adéquates.
L'importance des clés SSH
Le protocole SSH est déployé sur des millions de serveurs Linux et Unix dans presque tous les réseaux d'entreprise. Les clés SSH sont largement utilisées dans ces environnements (plutôt que les mots de passe) pour sécuriser l'accès à distance et les processus automatisés entre les systèmes et les machines.
En bref, les clés SSH jouent un rôle essentiel dans la sécurité de l'entreprise, en permettant des connexions chiffrées et fiables avec d'autres systèmes, qu'ils soient sur site ou dans le nuage.
Des clés SSH correctement gérées sont pratiques et améliorent la sécurité, protégeant l'entreprise contre les écoutes et l'interception du trafic, tout en empêchant les adversaires d'obtenir un accès non autorisé et de décrypter les données transmises.
Contrairement à l'authentification par mot de passe, les clés protégées et gérées efficacement résistent aux attaques SSH par force brute et protègent contre les vecteurs d'attaque utilisés pour accéder aux systèmes distants. Le niveau de cyber-résilience offert par les clés SSH est crucial, surtout si l'on considère la dépendance des entreprises à l'égard de technologies telles que IoT et les plateformes multi-cloud, ainsi que les tendances telles que le travail à distance, qui s'appuient sur l'identité comme périmètre de l'entreprise.
En raison de l'importance des clés SSH, les organisations qui utilisent le protocole SSH doivent protéger leurs clés afin de préserver la confiance de leurs systèmes.
Qu'est-ce que la prolifération des clés SSH ?
La prolifération de l'edge-computing, des environnements multicloud, des pratiques DevOps et de IoT a entraîné une explosion des clés dans les environnements d'entreprise. En fait, les grandes entreprises, les agences gouvernementales, les banques et les fournisseurs de technologie ont souvent des centaines de milliers, voire des millions, d'identités SSH automatisées, scriptées ou autres identités non interactives.
Cependant, le nombre de clés SSH est souvent inconnu et non suivi. De nombreuses raisons contribuent à cette situation plutôt chaotique.
Tout d'abord, il est beaucoup trop facile pour les administrateurs système de générer des clés SSH à l'aide de la ligne command sans aucune forme d'approbation ou de nécessité d'adhérer à la politique de gestion des accès de l'entreprise. Il en résulte une prolifération de clés SSH non gérées, utilisées pour des cas d'utilisation et des processus particuliers.
De plus, en l'absence de processus de suppression des clés lorsque les employés changent de rôle ou quittent l'organisation, les clés correspondantes restent souvent inactives et oubliées sur les systèmes hôtes. Le manque de visibilité sur l'ensemble des clés SSH et des relations de confiance rend la rotation et la suppression des clés beaucoup plus difficiles, au point que les équipes de sécurité évitent tout simplement le processus par crainte de perturber les opérations.
Le résultat final est que des processus et des pratiques de gestion des clés SSH faibles créent une situation où de plus en plus de clés sont générées, et beaucoup sont laissées orphelines et perdues dans la nature des vastes réseaux d'entreprise. Mais le plus effrayant, c'est que ces clés "oubliées" restent valides et permettent un accès privilégié, voire un accès root, à des systèmes et à des données critiques.
Les clés SSH inconnues, non tracées et mal gérées représentent un problème de gestion des risques si grave (mais évité) qu'on l'appelle souvent "l'éléphant dans la pièce".
Risques liés à la prolifération des clés SSH
Compte tenu du niveau d'accès privilégié que les clés SSH permettent, il n'est pas étonnant que des clés mal gérées exposent les organisations à des attaques SSH considérables. Malgré cela, la sécurité de ces clés a été largement ignorée.
Les comptes associés aux clés SSH ne respectent souvent pas les principes du moindre privilège et accordent plus d'accès que nécessaire, en permettant par exemple l'exécution de n'importe quelle adresse command (root). En outre, les clés SSH pour l'accès automatisé aux biens et systèmes de l'entreprise fournissent souvent beaucoup plus de points d'entrée sur les serveurs que les comptes d'utilisateurs interactifs. Un pourcentage considérable de ces clés donne accès à des comptes administratifs ou sensibles, tels que ceux qui stockent des fichiers de base de données ou des fichiers critiques software.
Les clés SSH sont également utilisées pour établir des relations de confiance lors de la communication avec d'autres organisations, des systèmes externes ou des utilisateurs indépendants. Les clés SSH non gérées peuvent transformer ces relations de confiance en violations des politiques, comme le passage de systèmes de développement et de test à des systèmes de production ou le passage d'un système à faible impact à un système à fort impact, sans qu'aucune authentification supplémentaire ne soit requise.
Plus important encore, la rupture des relations de confiance basées sur les clés SSH peut permettre à un attaquant qui compromet un système de passer rapidement d'un système à l'autre et de se propager au sein d'une organisation - les relations de confiance individuelles forment souvent collectivement des réseaux de confiance à travers les systèmes d'une organisation.
Les clés SSH constituent un problème de gestion critique
En réalité, les clés SSH posent un réel problème de gestion avec un profil de risque élevé.
Les clés SSH sont des cibles attrayantes pour les acteurs malveillants, car elles sont largement utilisées pour sécuriser l'accès aux systèmes critiques, notamment les serveurs, les routeurs, les pare-feu, les dispositifs de sécurité et d'autres appareils, par l'intermédiaire de comptes dotés de privilèges élevés.
Ces privilèges élevés peuvent être obtenus grâce à une simple clé SSH, qui peut avoir été générée en dehors du processus de gestion des clés, afin de permettre à un acteur malveillant d'accéder à un serveur.
À partir de là, les privilèges élevés peuvent être utilisés pour trouver ou créer une nouvelle clé permettant d'accéder à un autre serveur, ce qui permet aux criminels de se déplacer latéralement, d'effectuer une surveillance et de s'enfuir avec des données précieuses.
La gestion des clés SSH est évidemment essentielle pour garantir la confiance dans les processus d'accès interactifs et automatisés au sein des organisations. Cependant, la gestion des clés SSH est une tâche difficile.
Bien que les clés SSH soient un élément clé d'une gestion robuste des identités et des accès (IAM), dans de nombreux cas, ces clés ont été complètement négligées. La cause première de ce problème critique est l'utilisation de méthodes et de processus manuels pour gérer le nombre toujours croissant de clés SSH.
Il en résulte un manque de visibilité sur les clés que possède une entreprise. N'ayant aucune visibilité sur les clés qu'elle possède, il est difficile de faire correspondre ces clés à tous les appareils et utilisateurs associés. La prolifération des appareils IoT et des entités et services non-utilisateurs ne fait qu'aggraver la situation.
En outre, le manque de visibilité rend les implémentations SSH vulnérables, car les entreprises ne peuvent pas mettre en place des processus solides de rotation et de retrait des clés, que ce soit en réponse à des incidents de sécurité ou à des fins administratives (rotation du personnel).
Commencer par la visibilité et le contrôle
Pour que l'IAM soit efficace, il faut d'abord avoir une visibilité et un contrôle sur les identités. Les identités sont les références les plus importantes dans les environnements d'entreprise modernes. Vous ne pouvez tout simplement pas vous permettre d'avoir des identités non contrôlées, non suivies et mal gérées.
Les clés SSH sont une partie importante et cruciale des processus IAM de votre organisation et doivent être protégées contre les compromis. Le meilleur moyen d'y parvenir est de reprendre le contrôle de leur propriétaire, de leur emplacement, de leur finalité et du moment où une rotation est nécessaire.
En l'absence de mécanismes de gestion des contrôles, vous ne serez pas en mesure de préserver la confidentialité et l'intégrité de vos actifs.
La gestion des identités et des accès est le fondement de toute entreprise moderne, car elle répond au besoin organisationnel fondamental de pouvoir identifier de manière fiable les utilisateurs et les machines, et de pouvoir contrôler quelles entités ont accès à quelles ressources.
Évaluez les risques liés à une mauvaise gestion des clés SSH dans votre entreprise et apprenez à mettre en place des pratiques de sécurité SSH dans ce livre blanc.
