Table des matières
Eitan Bloch

Il estdifficile de sécuriser Active Directory (AD), la cible commune de 9 cyberattaques sur 10. De nombreuses organisations disposent d'environnements AD hérités, avec des configurations erronées accumulées que les attaquants adorent exploiter. Et bien que 90 % des organisations dans le monde utilisent AD comme principale source d'identité, l'étude de Gartner montre que seulement 33 % d'entre elles ont mis en place un système de sécurité AD, quel qu'il soit. Ajoutez Azure Active Directory (Azure AD) - maintenant appelé Entra ID - dans le mélange, et les défis augmentent. 

Lecture associée

Le suivi des activités malveillantes dans Azure AD et AD sur site est notoirement difficile. Les équipes sur site et dans le cloud sont souvent cloisonnées, ce qui complique la détection des changements dans l'environnement.  

Semperis Directory Services Protector (DSP) facilite la sécurisation de votre environnement AD hybride. De plus, nous venons de publier de nouvelles améliorations qui aident les équipes informatiques et de sécurité à mettre AD et Azure AD en pilote automatique, ce qui permet d'économiser de précieuses ressources tout en améliorant la sécurité globale d'AD.  

Découvrons les nouvelles fonctionnalités de DSP qui aident les entreprises à sécuriser AD et Azure AD contre les cyberattaques. 

1. Annulation des modifications malveillantes dans Azure AD  

Pour atténuer une attaque sur votre environnement AD hybride, vous avez besoin d'un moyen efficace d'annuler les modifications malveillantes dans Azure AD. Semperis DSP permet de rétablir les modifications indésirables ou malveillantes apportées aux utilisateurs, aux groupes ou aux rôles dans Azure AD. Vous pouvez également restaurer des objets Azure AD supprimés (c'est-à-dire supprimés mais toujours dans la corbeille Azure AD), ce qui vous permet de récupérer des données perdues ou supprimées. 

2. Alertes sur les IOC concernant la détection avancée des menaces AD 

Les indicateurs de compromission (IOC) sur le site DSP vous permettent de savoir si vous avez été victime d'une intrusion, afin de détecter les menaces à temps et d'agir rapidement pour arrêter les attaquants dans leur élan. Les IOC fournissent également des données cruciales pour localiser avec précision la zone affectée et réduire les temps d'arrêt. 

3. Des rapports faciles à comprendre sur la situation générale en matière de sécurité 

DSP dispose d'un flux rationalisé pour la création de rapports. Un rapport sur l'état général de la sécurité fournit un aperçu visuel des principaux indicateurs de sécurité à partager avec les chefs d'entreprise. Ce rapport comprend : 

  • Un score de posture de sécurité atteignant jusqu'à 100 %
  • Un résumé de l'état de l'indicateur d'exposition (IOE) (trouvé, non évalué ou passé)
  • Notes individuelles par catégorie pour Azure AD et AD sur site, y compris la sécurité des comptes, la sécurité Kerberos, la stratégie de groupe, etc.

La méthode d'évaluation de la posture de sécurité de DSP est basée sur une série de facteurs, qui les suivants :

  • Conséquences potentielles si un attaquant exploite la vulnérabilité
  • Facilité d'exploitation de la vulnérabilité
  • La prévalence globale de la vulnérabilité dans l'environnement

Chaque indicateur comprend une note de gravité (niveau et nombre) qui reflète l'impact potentiel de la vulnérabilité sur votre posture de sécurité, votre disponibilité et vos performances. Cette note de gravité est ensuite utilisée dans la formule de notation pour calculer le risque global posé par la vulnérabilité.  

Le tableau de bord DSP donne un score global de posture de sécurité pour l'environnement AD hybride, des scores par catégorie individuelle et d'autres mesures clés de sécurité AD.

4. Rapports de conformité réglementaire pour GDPR, HIPAA, PCI et SOX 

DSP inclut des modèles pour des dizaines de rapports de conformité courants, que vous pouvez télécharger depuis le service Web Semperis ou importer via le module PowerShell DSP. Ces rapports, adaptés aux exigences GDPR, HIPAA, PCI et SOX, fournissent des informations sur la configuration et la sécurité d'AD qui sont pertinentes pour assurer la conformité réglementaire. Par exemple, les modèles de rapport pour le GPRD incluent des listes de tous les comptes d'ordinateur supprimés dans AD et des listes de changements de statut de groupe au cours des 30 derniers jours. 

5. Intégration avec Splunk et Microsoft Sentinel pour fournir un contexte significatif aux données de sécurité AD 

DSP a toujours détecté les IOC en contournant les solutions traditionnelles basées sur les journaux ou les événements. Pour ce faire, DSP utilise plusieurs sources de données, y compris le flux de réplication AD. DSP transmet ensuite les changements suspects, accompagnés d'un contexte significatif, à votre système de gestion des informations et des événements de sécurité (SIEM). S'appuyant sur cette capacité, DSP intègre désormais les données de sécurité AD dans les vues Splunk habituelles. DSP fournit des tableaux de bord prédéfinis qui affichent les données de changement AD, les données des indicateurs de sécurité DSP et les événements des règles de notification DSP. Vous pouvez également utiliser les alertes prédéfinies de DSP comme modèles pour créer des alertes personnalisées pour l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR) et les systèmes de billetterie.  

Capture d'écran des données de Semperis Directory Services Protector intégrées dans le tableau de bord Splunk
DSP apporte les données de sécurité AD dans les vues du tableau de bord Splunk.

Nous avons également étendu l'intégration de DSP avec Microsoft Sentinel, en fournissant de nouveaux classeurs qui vous permettent de visualiser les informations de DSP, telles que les données de changement AD et les événements de règles de notification DSP, dans l'interface de Microsoft Sentinel. 

Renforcer la sécurité d'AD et d'Azure AD grâce à une détection complète des menaces 

Les attaques contre AD et Azure AD ne font que commencer. Des groupes de ransomware-as-a-service (RaaS) tels que LockBit et Vice Society ciblent sans relâche les systèmes AD hybrides. Il est difficile pour les équipes informatiques et de sécurité de garder une longueur d'avance sur les menaces émergentes. Mais grâce aux nouvelles fonctionnalités que nous introduisons sur DSP, conçues par une équipe d'experts en sécurité AD, nous espérons faciliter la défense de votre système AD hybride contre ces attaques.