La meilleure façon de gérer les clés SSH

Le protocole Secure Shell (SSH) est largement utilisé par les administrateurs de systèmes, car il offre un moyen sûr d'accéder à des systèmes, appareils et données critiques distants sur un réseau non sécurisé. Cependant, son utilisation généralisée et son accès privilégié soulèvent la question suivante : "Quelle est la meilleure façon de gérer les clés SSH ?"

Avec la prolifération de technologies émergentes telles que IoT et le cloud, l'importance des clés SSH a considérablement augmenté. Ces clés sont désormais déployées dans toutes les organisations, non seulement pour permettre un accès à distance sécurisé, mais aussi pour sécuriser les sessions de machine à machine dans des environnements hautement automatisés.

Vous voulez éviter le blog et entendre les experts vous parler directement ? Cliquez sur "S'inscrire" ci-dessous pour participer à notre webinaire sur les risques de la prolifération des clés SSH et les meilleures pratiques pour reprendre le contrôle.

Cependant, des clés SSH mal gérées élargissent rapidement la surface d'attaque d'une organisation et créent des opportunités de compromission par des acteurs malveillants. Les cybercriminels recherchent de plus en plus les clés SSH pour exploiter l'accès de confiance qu'elles offrent, ce qui augmente le risque d'attaque.

Une seule clé suffit aux attaquants pour obtenir un accès privilégié non détecté aux systèmes et données critiques. Une fois compromis, ils peuvent alors se déplacer latéralement au sein de l'organisation, trouver d'autres clés, contourner les contrôles de sécurité pour injecter des données frauduleuses, subvertir le cryptage software, installer des logiciels malveillants persistants ou même détruire les systèmes.

Les récentes campagnes coordonnées à grande échelle de logiciels malveillants et de réseaux de zombies (par exemple TrickBot, FritxFrog, Lemon_Duck, etc.) sont des signes avant-coureurs de la menace réelle que représentent les clés SSH utilisées à mauvais escient dans le paysage de la sécurité.

Il fut un temps où des clés SSH mal gérées pouvaient passer inaperçues. Cependant, aujourd'hui, les régulateurs sont beaucoup plus préoccupés par l'accès privilégié et la gestion des clés que jamais auparavant. Tout faux pas peut conduire à un accès qui viole les mandats de conformité tels que PCI DSS, HIPAA, GDPR, CCPA, ou NIST 800-53. Ces réglementations exigent toutes de contrôler qui peut accéder à quels systèmes et à quelles données.

Il est donc impératif de maintenir des normes strictes et des bonnes pratiques pour sécuriser les clés SSH. Le NIST a publié le rapport NISTIR 7966, qui offre des conseils aux organisations et aux entreprises sur les contrôles de sécurité appropriés pour les déploiements SSH. Les recommandations du NIST mettent l'accent sur l'inventaire des clés SSH, l'identification des vulnérabilités, la correction des risques, la surveillance continue et, bien sûr, la rotation des clés.

Avant de nous pencher sur la meilleure façon de gérer les clés SSH, il est important de souligner deux points.

Tout d'abord, ces pratiques seront inefficaces si elles ne sont pas soutenues par des politiques claires qui renforcent les exigences opérationnelles et de sécurité. Cela signifie qu'il faut s'occuper des déploiements SSH existants et veiller à ce que les nouvelles implémentations SSH soient correctement déployées et suivies.

Deuxièmement, la sécurisation des clés SSH implique l'automatisation de tous les processus connexes. Compte tenu du grand nombre de clés SSH détenues par les organisations, les processus manuels sont impossibles à mettre en œuvre. Tous les processus liés à la gestion des clés SSH peuvent être optimisés en automatisant le cycle de vie des clés SSH. Plus important encore, l'automatisation peut améliorer de manière significative la sécurité, l'efficacité et la disponibilité.

Examinons maintenant les meilleures façons de gérer les clés SSH.

De nombreuses organisations possèdent des milliers de clés SSH inconnues et non tracées qui leur permettent d'accéder à des systèmes critiques. Les clés existantes, anciennes et orphelines, présentent un risque important pour la sécurité, qu'il est difficile d'atténuer si ces clés ne sont pas découvertes et inventoriées.

La découverte de vos clés SSH implique la création d'un inventaire de l'emplacement de chaque paire de clés SSH et de leurs relations de confiance. Cet inventaire doit ensuite être évalué en fonction des politiques de sécurité définies par l'entreprise. En outre, les clés SSH inventoriées doivent être mises en correspondance avec leurs propriétaires.

La cartographie de toutes les relations de confiance qui résultent des clés d'identité déployées et qui nécessitent l'examen et l'approbation de leurs propriétaires est une partie cruciale du processus d'inventaire. Si elles ne sont pas correctement comprises, ces chaînes de confiance peuvent être utilisées par des acteurs criminels pour s'infiltrer et passer d'un système à l'autre sans être détectés.

Toute clé identifiée qui n'a pas été approuvée peut être le signe d'une porte dérobée laissée par un pirate et doit être supprimée immédiatement.

L'étape suivante de la mise en place d'une implémentation sécurisée de SSH consiste à identifier les faiblesses et les vulnérabilités du système existant. Les organisations doivent donc procéder à un audit approfondi de leurs processus et procédures de gestion des clés SSH.

Les vulnérabilités de la mise en œuvre de SSH peuvent aller de faiblesses de configuration (utilisation d'algorithmes de cryptage faibles) à des clés avec un accès racine inutile. Ces vulnérabilités peuvent être facilement exploitées pour obtenir un accès non autorisé aux systèmes de l'entreprise.

En outre, l'audit devrait permettre d'identifier tout contrôle d'accès mal configuré. Ces contrôles sont généralement configurés par le biais d'une plateforme de gestion des identités et des accès (IAM) ou de gestion des accès aux privilèges (PAM) et constituent un atout majeur pour tout programme de sécurité.

Cependant, des contrôles d'accès mal configurés peuvent permettre aux comptes d'accès SSH d'avoir des privilèges élevés ou un accès non autorisé à d'autres comptes.

Enfin, l'audit devrait permettre de découvrir toutes les clés inutilisées qui dorment dans la structure de l'organisation et qui attendent d'être exploitées. La création d'une clé "porte dérobée" et son ajout au fichier des clés autorisées pourraient permettre à un pirate de contourner n'importe quel système de gestion des accès privilégiés.

La remédiation est importante pour combler les lacunes et sécuriser votre organisation contre tout attaquant cherchant à exploiter vos clés SSH vulnérables pour faire des ravages.

En outre, des mesures correctives sont nécessaires pour assurer la conformité aux réglementations. Toutes les réglementations en matière de sécurité et de protection de la vie privée exigent la transparence et la responsabilité lors de la sécurisation des systèmes et des données sensibles. L'identification des utilisateurs autorisés et de leurs droits d'accès, l'application du principe du moindre privilège et la gestion des clés autorisées sont des exigences prédominantes.

Votre plan de remédiation peut prendre beaucoup de temps et représenter un effort considérable, mais il est essentiel pour la sécurité et la conformité. Le projet peut comprendre les actions suivantes, en fonction des résultats de l'inventaire des clés et de l'identification des vulnérabilités :

• Supprimez toutes les clés orphelines, car elles peuvent être des "clés de porte dérobée".
• Supprimer toute clé d'identité dupliquée afin de réduire la surface d'attaque.
• S'assurer que toutes les clés d'identité interactives sont protégées par une phrase secrète.
• Remplacer toutes les clés qui ne respectent pas les normes industrielles en matière de longueur de clé et d'algorithme de cryptage.
• Attribuer des propriétaires (applications, processus opérationnels, individus) pour toutes les clés donnant accès aux serveurs.
• Contrôler les données du journal pour déterminer quelles clés ne sont pas utilisées et supprimer toutes les clés inutilisées dont la conservation n'est pas approuvée.

L'objectif de la surveillance continue est de s'assurer que toutes les politiques établies en matière de gestion du cycle de vie des clés SSH sont suivies et appliquées. La surveillance est également importante pour détecter les accès non autorisés effectués dans le cadre d'une activité criminelle utilisant des clés de porte dérobée.

Voici quelques exemples de ce qu'il faut rechercher :

• Détecter les clés SSH légitimes qui ne sont pas utilisées et proposer leur suppression pour remédier à l'octroi d'accès inutiles.
• Détecter et surveiller les connexions à partir de sites distants et s'assurer qu'elles sont correctement approuvées
• Détecter les connexions utilisant une clé autorisée à partir d'hôtes non approuvés, impliquant potentiellement des informations d'identification compromises.
• Identifier les clés utilisées en dehors de l'environnement géré comme des "clés externes" nécessitant une rotation manuelle.

Tout écart par rapport à la configuration SSH approuvée doit être identifié dans un tableau de bord ou un rapport afin d'engager des actions correctives.

Enfin, la meilleure façon de gérer les clés SSH doit impliquer la rotation des clés afin de minimiser les risques de vol ou de compromission des informations d'identification. La durée de vie des clés SSH doit être limitée et les clés doivent faire l'objet d'une rotation selon un cycle défini.

Le cycle des clés doit être clairement défini et conforme aux politiques de sécurité et d'audit de l'entreprise. En outre, les propriétaires de clés doivent interdire l'utilisation des mêmes phrases de passe pour plusieurs comptes.

Pendant la rotation, de nouvelles clés sont générées et échangées avec les anciennes, tandis que les clés inutilisées sont supprimées. Ce changement constant de clés réduit les risques d'utilisation de clés compromises pour accéder aux serveurs distants. La rotation des clés est également nécessaire pour les questions administratives lorsque les propriétaires des clés changent de fonction ou quittent l'organisation.

La rotation des clés doit être effectuée avant la fin d'une "période de cryptage" préconfigurée. Il est important de s'assurer que toute clé nouvelle ou renouvelée est automatiquement déployée sur les serveurs en fonction des politiques d'accès contrôlées par l'équipe de sécurité. Une console en libre-service peut simplifier le processus pour les administrateurs système tout en automatisant le déploiement en arrière-plan, ce qui leur permet d'agir rapidement tout en respectant les exigences de sécurité.

La clé d'une stratégie efficace de gestion du cycle de vie des clés SSH est d'automatiser et de rationaliser les processus existants. L'automatisation ne sécurise pas seulement votre implémentation SSH, en minimisant les risques d'une mauvaise gestion, mais elle élimine également de l'équation les procédures manuelles sujettes à l'erreur. Dans les grandes organisations possédant des milliers de clés SSH, la gestion manuelle n'est tout simplement pas envisageable.

Prêt à mettre en œuvre une nouvelle stratégie de gestion des clés SSH et à prévenir le risque de prolifération des clés SSH dans votre organisation ? Inscrivez-vous à notre prochain webinaire - Ghost Hunt : How to Find and Manage Your SSH Keys.