J'ai récemment eu le plaisir de faire équipe avec Ran Harel, responsable principal des produits de sécurité chez Semperis, pour un webinaire visant à rendre le cadre ATT&CK de MITRE pertinent et exploitable pour les organisations cherchant à renforcer leur sécurité. Dans ce webinaire, nous nous sommes concentrés sur la cible la plus attaquée - Active Directory - et avons démontré comment les attaquants exploitent AD, comment ces attaques s'inscrivent dans le cadre MITRE et ont montré quelques outils précieux qui peuvent aider à découvrir et à combattre ces attaques incessantes.
Un point intéressant qui est ressorti du webinaire est le faux sentiment de sécurité que la plupart des praticiens éprouvent à l'égard de leurs déploiements AD. Nous avons commencé la session en demandant à tous les participants d'évaluer le degré de sécurité de leur système AD. Cinquante pour cent d'entre eux ont indiqué qu'ils pensaient que leur système AD était "très sûr", tandis que 43 % ont indiqué qu'il était "assez sûr". Ces résultats sont en contradiction directe avec les données réelles générées par des centaines d'évaluations d'AD par Semperis Purple Knight . Le score moyen de sécurité Purple Knight pour AD dans son ensemble est de 64 %, ce qui est une note insuffisante à tous points de vue. Cela n'est pas vraiment surprenant compte tenu de l'état actuel de la protection d'AD.
Lecture associée
Au cours de la session, j'ai suggéré que de nombreuses organisations ont "abandonné" la protection d'AD. La meilleure protection à ce jour existe sous la forme de lignes directrices et de meilleures pratiques de Microsoft - ce n'est pas suffisant pour protéger les clés du royaume. Les organisations ont consacré beaucoup de temps et d'argent à l'audit et à la gestion d'AD, mais pas à la protection et à la détection. Je dirais même qu'AD est l'actif le moins protégé dans la plupart des organisations. Pour violer AD, il suffit de compromettre un seul compte d'utilisateur.
Ran Harel a insisté sur ce point avec une excellente démonstration des tactiques d'attaque AD. Il a montré comment l'exploit Print Nightmare actuel est exécuté sur des déploiements AD standard, et si vous aviez suivi les conseils de Microsoft, vous auriez toujours été vulnérable. Microsoft a depuis fourni des correctifs pour éliminer les vulnérabilités, mais pas avant que des milliers d'organisations aient été victimes de l'attaque. Si l'on se réfère au cadre ATT&CK de MITRE, il est facile de voir comment, même avec les meilleures intentions, la plupart des organisations ont du mal à détecter et à contrecarrer les tactiques de mouvement latéral et d'escalade des privilèges utilisées par les attaquants, et que le cadre aide à mettre en évidence.
La valeur du cadre ATT&CK de MITRE vient du fait que les praticiens l'utilisent, non seulement comme un aperçu théorique, mais aussi comme un guide pour des mesures correctives et préventives pratiques et réalisables. Les acteurs de la menace pensent différemment des praticiens de la sécurité, et le cadre nous permet à tous de penser comme l'attaquant et donc de mieux nous protéger.
Ce qui est merveilleux dans ce passage de la théorie à la pratique, c'est qu'il existe des organisations pour vous aider. Mon organisation, ISSQUARED, fournit les informations et les conseils qui vous aideront à mettre le cadre en action. Et Semperis fournit les outils les plus puissants du secteur pour l'ensemble du cycle de vie des attaques - avant, pendant et après. Les outils de Semperis offrent une surveillance continue de niveau entreprise et une remédiation automatique grâce à la solution Directory Services Protector (DSP) - dont Ran a fait une démonstration puissante - et une évaluation ponctuelle grâce à Purple Knight, qui est un outil gratuit pour aider à générer une base de référence et fournir une vue réaliste de la sécurité réelle de votre environnement AD. Les deux outils sont parfaitement adaptés au cadre ATT&CK de MITRE ainsi qu'à de nombreuses réglementations industrielles et cadres de meilleures pratiques tels que CIS et NIST.
Je vous invite à regarder l'enregistrement de ce webinaire pour en savoir plus sur le cadre ATT&CK de MITRE et sur la manière de le faire passer de la théorie à la pratique. Vous trouverez l'enregistrement ici. Et pendant que vous y êtes, je vous recommande de télécharger et d'exécuter Semperis Purple Knight pour voir où vous vous situez actuellement et comment cette position s'inscrit dans le cadre. Une fois que vous saurez, vous pourrez commencer à défendre votre position.
