Comme nous l’avons souligné en 2017, lorsque nous avons découvert cette technique pour la première fois, Golden SAML est un vecteur d’attaque incroyablement puissant qui permet aux cybercriminels de maintenir la persistance sur les réseaux et d’accéder à différents services de manière furtive. Grâce à cette méthodes, les attaquants peuvent usurper presque n’importe quelle identité dans une organisation et acquérir un accès à privilèges élevé à n’importe quel système ou environnement cloud. Comme l’a révélé le témoignage du Congrès, c’est "comme voler la clé de chaque porte de la maison. Cela permet aux attaquants d’accéder à toutes les informations d’une entreprise tout en ayant l’air d’être un employé."

C’est pourquoi les techniques utilisées dans la campagne d’attaque contre SolarWinds sont si dévastatrices : elles sont spécifiquement conçues pour ouvrir aux attaquants une porte sur le long terme sur les réseaux cibles, en exploitant un accès hautement privilégié. Une fois que les attaquants ont obtenu l’accès à des comptes à privilèges légitimes, ils peuvent obtenir et conserver l’accès à l’organisation ; et Golden SAML en est un excellent exemple.

Il est donc absolument crucial pour une stratégie de sécurité organisationnelle de s’assurer que leurs points d’accès et identifiants à privilèges soient sécurisés, et que toute activité à privilèges soit surveillée et prise en compte à l’aide d’une gestion des accès privilégiés.

Toute agence gouvernementale américaine dont le réseau a été brisé lors de la campagne contre SolarWinds doit absolument partir du principe que les attaquants maintiennent toujours l’accès. Le seul moyen de se remettre d’une compromission est de générer de nouvelles clés privées, de révoquer toutes les anciennes et de reconstruire la confiance à partir de zéro. »