Mythos rencontre Cassandra : quand les risques liés à Active Directory croisent les nouvelles technologies d'IA

Pendant des années, il a été facile de faire la sourde oreille aux mises en garde concernant Active Directory (AD).
Les équipes de sécurité savent que la gestion des identités devient de plus en plus difficile. Les autorisations s'accumulent et la confiance s'étend — au cloud, à l'&e mobile, aux fournisseurs et à l'accès à distance.
En théorie, les équipes comprennent les risques liés à la « dette technique » d'Active Directory. Mais dans la pratique, mettre de l'ordre dans tout cela demande du temps et des ressources. Et comme Active Directory continue de fonctionner — en authentifiant les utilisateurs, en gérant les accès et en assurant la continuité des opérations —, le danger peut ne pas sembler urgent.
Puis vint Mythos — le moment « Cassandre » de la cybersécurité —, obligeant les entreprises à tenir compte des avertissements qu’elles entendaient depuis des années.
Dans la mythologie grecque, Cassandre avait le don de prédire l'avenir, mais elle était victime d'une malédiction qui faisait que personne ne croyait à ses avertissements. Elle avait prédit la chute de Troie et n'avait cessé de mettre en garde contre une catastrophe, mais on l'ignorait à chaque fois.
La « Vulnpocalypse » est là
Le risque lié à la maladie d'Alzheimer a toujours été bien réel. Mythos a rendu cela immédiat.
Quelques semaines seulement après la présentation de Mythos par Anthropic, les participants au projet Glasswing ont identifié plus de 10 000 vulnérabilités de gravité élevée ou critique dans des infrastructures essentielles, des logiciels et des projets open source largement utilisés.
Cloudflare a identifié 2 000 vulnérabilités, dont 400 classées comme présentant un niveau de gravité élevé ou critique.
C'est une nouvelle réalité : l'IA détecte des failles à un rythme qui était encore inimaginable il y a six mois.
Le défi de taille auquel sont confrontées les banques
En réaction à l'affaire Mythos, les autorités de régulation bancaire américaines, notamment la Réserve fédérale et l'OCC, ont suspendu certains contrôles de cybersécurité concernant plusieurs des plus grandes banques du pays.
L'ironie est difficile à manquer. L'IA accélère la détection des vulnérabilités et le développement d'exploits. Dans le même temps, certaines banques et autorités de régulation américaines suspendent temporairement leurs contrôles de cybersécurité, simplement pour ne pas se laisser distancer.
C'est là tout le paradoxe : l'IA évolue à la vitesse des machines, tandis que les organisations s'efforcent de corriger les failles, de mettre en place des règles et de gérer les risques à un rythme humain.
« Identifier les vulnérabilités et les exploiter pour obtenir un accès constituent les premières étapes », a expliqué Christer Swartz, architecte en sécurité chez Illumio. « La question suivante est de savoir où mène cet accès — et à quelle vitesse les pirates peuvent agir. »
Vecteur de menace Mythos-vers-Active Directory
« Le principal risque lié à Mythos pour Active Directory, c'est la vitesse », a déclaré M. Swartz. « Cela ne crée pas un nouveau vecteur de menace, mais accélère ceux qui existent déjà. »
Cela est important car la plupart des attaques suivent déjà un schéma bien connu : s'introduire dans le système, se déplacer latéralement, étendre les privilèges, puis cibler les systèmes d'identité tels qu'Active Directory.
Pour de nombreux cybercriminels, Active Directory est la cible.
Les récentes attaques visant l'identité en sont la preuve. Des chercheurs ont établi un lien entre la violation de données chez Marks & & Spencer et Scattered Spider, un groupe de pirates informatiques basés au Royaume-Uni et aux États-Unis, dont certains auraient à peine 16 ans. Une fois infiltrés dans un réseau, ces groupes n'ont besoin que d'un accès aux systèmes d'authentification pour pouvoir accéder au reste.
« Active Directory détient les clés de l'infrastructure d'entreprise », a déclaré M. Swartz. « Si des pirates parviennent à prendre le contrôle d'Active Directory, ils peuvent prendre le contrôle de l'ensemble de votre environnement. »
M. Swartz a expliqué que « les équipes de sécurité ne peuvent pas réagir aussi vite que les attaques lancées à la vitesse des machines ». Ils ont besoin de temps pour tester les correctifs, approuver les modifications et déployer les mises à jour dans l'ensemble de l'entreprise.
Le problème, c'est que les attaques automatisées n'attendront pas que tout cela se produise.

La fenêtre d'exploitation de la vulnérabilité est en train de se refermer
La pression monte. Les nouvelles recommandations émises par l'équipe indienne d'intervention en cas d'urgence informatique (CERT-In) préconisent de corriger ou de limiter les vulnérabilités connues et exploitées qui affectent les systèmes critiques et connectés à Internet dans un délai de 12 heures, dans la mesure du possible.
Ces recommandations montrent à quel point la situation évolue rapidement. "« Nous assistons à une évolution des attentes », a déclaré l'" e Swartz. "La question n'est plus de savoir si vous pouvez appliquer un correctif. Tout dépend de votre capacité à corriger le problème assez rapidement."

La Chine, l'open source et la course à l'IA
Mythos est un signal d'alarme. Ce qui va se passer ensuite pourrait bien être encore plus important. Les nouvelles versions proposées par Anthropic, OpenAI et d'autres atteignent ou se rapprochent des capacités de Mythos.
Dans le même temps, les modèles d'IA chinois rattrapent leur retard.
"« Ce n'est pas un modèle en particulier qui est en cause », a déclaré" Swartz. "C'est la rapidité avec laquelle ces capacités se répandent et la vitesse à laquelle les pirates peuvent désormais accéder à des systèmes critiques tels qu'Active Directory."
Sécurisation d'Active Directory
Swartz a comparé le fait de perdre le contrôle d'AD à « perdre les clés de sa maison, puis négocier avec celui qui les a volées ».
La protection d'Active Directory commence par la fermeture des voies d'accès utilisées par les pirates :
- Identifiez et contrôlez les accès privilégiés. Sachez quels comptes disposent de droits d'accès étendus, à quels systèmes ils peuvent se connecter et s'ils ont encore besoin de cet accès.
- Comprendre les relations de confiance. Les pirates informatiques se déplacent souvent via des connexions de confiance entre les utilisateurs, les systèmes, les applications et les domaines. La cartographie de ces chemins peut permettre de mettre en évidence les failles avant que les pirates ne les découvrent.
- Limitez les mouvements latéraux. Les pirates informatiques parviennent à Active Directory étape par étape. L'essentiel est de repérer ces dérives et de les endiguer avant qu'elles ne compromettent la situation.
Regardez une démonstration en direct pour découvrir comment Illumio Insights et Segmentation protègent Active Directory et en limitent les risques :
On ne peut pas tout corriger en quelques heures. Mais vous pouvez réduire les vecteurs d'attaque, limiter les mouvements latéraux et rendre Active Directory plus difficile d'accès.
Téléchargez notre livre électronique, Pour la défense d'Active Directory, pour voir comment les pirates s'attaquent à Active Directory et comment la microsegmentation permet de les bloquer avant qu'ils n'y parviennent. Prenez rendez-vous pour une démonstration découvrez dès aujourd'hui comment Illumio bloque les voies d'accès à Active Directory avant que les pirates ne les repèrent.

.webp)
.webp)

.webp)