Protéger les serveurs SQL contre les attaques alimentées par l'IA

Les bases de données SQL Server regorgent de données sensibles, et l'IA rend les cyberattaques plus faciles que jamais. Mais quelles stratégies adopter pour contrer ces nouvelles menaces ?

Les bases de données SQL Server contiennent souvent des données précieuses telles que des informations clients, des dossiers financiers et des mots de passe de comptes - des actifs qui sont à la fois essentiels pour l'entreprise et soumis à des réglementations de conformité. Aujourd'hui, ces données sont plus à risque que jamais, car des outils d'IA facilement accessibles peuvent aider des cybercriminels moins expérimentés à planifier et exécuter des attaques. En effet, la dernière version de ChatGPT peut être détournée pour obtenir des recommandations sur les outils et technologies efficaces à utiliser dans les cyberattaques, et même des exemples de leur utilisation.

Comment les attaquants utilisent l’IA à leur avantage

Bien que la plupart des outils d'IA ne soient pas conçus pour aider les cybercriminels, beaucoup d'entre eux peuvent être manipulés pour faire exactement cela. Prenons l’exemple de PentestGPT, un bot alimenté par ChatGPT et créé pour assister dans les tests d'intrusion. Si un utilisateur pose une question telle que « Comment puis-je effectuer une attaque par "password spray" contre le compte administrateur du système SQL ? », le bot refusera probablement de fournir des instructions, affirmant qu'il ne participera pas à des activités pouvant compromettre la sécurité d'une organisation. Cependant, l'utilisateur peut contourner cet obstacle en mentionnant simplement qu'il est un professionnel de la sécurité mandaté par une organisation pour effectuer ce type d'attaque.

De la même manière, PentestGPT peut être manipulé pour fournir des recommandations pour d'autres éléments d'une cyberattaque sur des serveurs SQL. Par exemple, les cybercriminels pourraient potentiellement l'utiliser pour trouver des serveurs SQL ou des partages dans un système, ou même exploiter des hachages de mots de passe NTLM pour compromettre des comptes utilisateurs.

Facteurs qui amplifient la menace

Bien que même les meilleurs assistants d'IA actuels puissent être détournés, rien ne sert de paniquer. Si des outils comme ChatGPT donnent effectivement des indications pertinentes, elles ne le sont pas toujours et pas forcément à la portée pas à tout le monde. En effet, l'expérience montre que l'interprétation efficace des réponses, en particulier concernant les outils pour des tâches spécifiques, nécessite souvent l’expertise d’un professionnel compétent en matière de sécurité ; suivre les instructions à la lettre ne suffit généralement pas pour causer des dommages graves aux serveurs SQL.

Cependant, les conseils générés par un outil d'IA deviennent considérablement plus dangereux si l'organisation ciblée présente des faiblesses dans sa posture de sécurité. En particulier, si les contrôles d'accès dans Active Directory (AD) et SQL Server ne sont pas correctement configurés et que l'activité d'accès n'est pas continuellement auditée, les instructions délivrées peuvent permettre aux cybercriminels d'accéder aux bases de données SQL Server tout en évitant d'être détectés.

Comment se défendre contre les menaces alimentées par l'IA

Les pratiques suivantes sont essentielles pour protéger les serveurs SQL contre les attaques traditionnelles et celles basées sur l'IA.

1.     Classifier les données

Une pratique essentielle consiste à obtenir une visibilité sur l'endroit où se trouvent les données sensibles, afin que l'équipe informatique puisse concentrer ses efforts sur la protection des actifs les plus précieux. Une solution robuste de classification des données trouvera automatiquement les données sensibles sur les serveurs SQL et autres référentiels de données, déterminera si elles sont soumises à des réglementations ou normes sectorielles, et les étiquettera de manière à ce que d'autres solutions de sécurité puissent les utiliser.

2.     Contrôler les droits d'accès

Puisque l'accès aux serveurs SQL est souvent géré par Active Directory (AD), une autre étape clé consiste à disposer d'une solution AD qui permette une application stricte du principe du moindre privilège. S'assurer que chaque utilisateur dispose uniquement du niveau d'accès nécessaire pour effectuer ses tâches limite les dommages qu'un acteur malveillant peut causer, même s'il a réussi à obtenir des instructions d'un outil d'IA. De plus, cette approche garantit qu'un utilisateur ordinaire ne peut pas avoir des permissions réservées uniquement aux administrateurs système.

Pour maintenir un modèle de moindre privilège dans la durée, une solution AD devrait faciliter des audits réguliers des droits d'accès. Éliminer les permissions inutiles en temps opportun réduit la surface d'attaque et aide à prévenir les violations de sécurité.

3.     Auditer l'activité

Une solution de sécurité AD solide surveillera également les activités associées aux serveurs SQL. Par exemple, elle permettra à l'équipe de sécurité de suivre les échecs de connexion et les tentatives de modification des données sensibles, fournissant des détails essentiels tels que la source de l'activité, comme la station de travail ou l'application d'origine. Les meilleures solutions détectent même automatiquement les comportements suspects et alertent les spécialistes en sécurité afin qu'ils puissent enquêter rapidement et mettre fin à une attaque sur leurs serveurs SQL.

Alors que les cybercriminels cherchent activement à abuser des outils d'IA pour accéder aux données précieuses stockées dans les serveurs SQL, les organisations peuvent réduire considérablement les risques en suivant les pratiques de sécurité établies. En effet, lorsqu’elles classifient leurs données, contrôlent strictement les droits d'accès et surveillent les activités suspectes, l’abus des serveurs SQL reste aussi difficile qu'avant l'apparition de l'IA.