Les environnements informatiques hybrides seront la norme dans un avenir proche : Selon un rapport de Gartner datant de 2021, seulement 3 % des moyennes et grandes entreprises migreront complètement de l'Active Directory (AD) sur site vers un service d'identité basé sur le cloud d'ici 2025. Mais les responsables informatiques qui gèrent des environnements hybrides sont confrontés à un défi de plus en plus complexe : sécuriser efficacement les systèmes d'identité qui englobent à la fois AD sur site et Azure AD. Ce monde hybride présente un paysage de risques très différent de celui auquel étaient confrontés les administrateurs d'Active Directory (AD) il y a vingt ans.
Avec l'explosion de l'utilisation du cloud, les attaquants ont pris note de ce changement et se sont concentrés sur la compromission des informations d'identification du cloud, qu'ils peuvent utiliser pour obtenir des privilèges élevés dans le système, y compris dans l'environnement AD sur site, et déposer des logiciels malveillants.
La sécurisation et la surveillance d'Azure AD, même pour les organisations qui n'utilisent Azure AD qu'en tant que sous-produit de la mise en œuvre de Microsoft 365, sont devenues une partie essentielle du maintien des activités de l'entreprise. Tout comme la protection d'AD implique la détection des changements non autorisés et la correction des mauvaises configurations et des vulnérabilités, il en va de même pour Azure AD.
Pour aider les organisations à relever ces défis, nous avons mis à jour notre solutionDirectory Services Protector ( DSP) avec de nouveaux indicateurs de menaces conçus spécifiquement pour aider à évaluer la posture de sécurité d'Azure AD. Combinés aux indicateurs de menaces de DSPpour Active Directory, ces nouveaux outils permettent aux entreprises de protéger les identités dans leurs environnements sur site et dans le nuage.
Il incombe à chaque client de définir et de personnaliser les contrôles de sécurité d'Azure AD d'une manière adaptée à son organisation. Azure AD permet un accès sécurisé aux ressources internes ainsi qu'à Microsoft 365 et à d'innombrables autres applications SaaS (Software-as-a-Service). Le fait de ne pas identifier les configurations à risque et les modifications non approuvées ou accidentelles dans Azure AD peut mettre l'entreprise moderne dans l'impasse.
En introduisant les indicateurs Azure AD dans DSP, nous avons donné la priorité aux indicateurs qui aident les organisations à traiter certains des vecteurs d'attaque les plus courants que les acteurs de la menace utilisent pour accéder à l'environnement AD, ce qui peut conduire à une escalade des privilèges et éventuellement au déploiement de logiciels malveillants. Voici un récapitulatif des indicateurs de sécurité Azure AD sur DSP et les raisons pour lesquelles il est important de les suivre pour améliorer votre posture de sécurité Azure AD.
1. Les unités administratives ne sont pas utilisées
Dans Azure AD, les unités administratives sont des ressources qui peuvent contenir des utilisateurs, des groupes ou des appareils. Elles peuvent être utilisées pour restreindre les autorisations d'un rôle à toute partie de l'organisation qu'elles spécifient, telle qu'une unité commerciale ou une zone géographique particulière. Les attaquants qui compromettent un compte administratif peuvent avoir un accès étendu aux ressources. L'utilisation d'unités administratives permet donc de limiter le champ d'action d'administrateurs spécifiques et de s'assurer qu'une seule compromission d'informations d'identification est limitée et n'affecte pas l'ensemble de l'environnement.
2. Enregistrement de l'application Azure avec accès en lecture
Voir n° 4.
3. Enregistrement d'une application Azure avec accès en écriture
Voir n° 4.
4. Enregistrements d'applications Azure ajoutés ou supprimés
Lorsque ces indicateurs d'enregistrement d'applications Azure sont exécutés, ils vérifient si ces autorisations ont été accordées (ou révoquées) au cours des sept derniers jours. Même si ces actions ne posent pas toujours de problème de sécurité, une application malveillante ou mal configurée peut entraîner l'exposition de données ou la compromission d'un locataire Azure.
5. Vérifier si les invités ont la permission d'inviter d'autres invités
Les utilisateurs invités ne doivent pas pouvoir inviter d'autres invités à accéder à vos ressources en nuage. Ce pouvoir doit être limité aux administrateurs afin de maintenir un contrôle étroit, et DSP vérifiera que ce paramètre est correctement configuré.
6. Vérifier si les autorisations API accordées aux mandants des services d'application présentent des risques.
Un objet principal de service est créé lorsqu'une application reçoit l'autorisation d'accéder à des ressources. Si un administrateur d'application dispose de privilèges excessifs, cela peut ouvrir la porte à des activités malveillantes.
7. Vérifier si l'authentification ancienne est autorisée
Azure AD prend en charge différents protocoles d'authentification. Malheureusement, les méthodes d'authentification traditionnelles peuvent ne pas prendre en charge l'authentification multifactorielle (MFA), un élément essentiel de la protection des comptes. Autoriser l'authentification ancienne augmente le risque qu'un attaquant se connecte en utilisant des informations d'identification précédemment compromises.
8. L'AMF n'est pas configurée pour les comptes privilégiés
L'AFM est essentielle pour protéger les comptes contre le vol d'informations d'identification. Dans le cas des comptes à privilèges, le MFA est encore plus important, et DSP émettra un avertissement si la fonction n'est pas activée.
9. Le groupe privilégié contient un compte invité
Le nombre de comptes privilégiés doit être limité selon le principe du moindre privilège. La présence d'un compte invité dans un groupe privilégié peut être le signe d'autorisations excessives ou d'une compromission par un attaquant.
10. Les valeurs par défaut de la sécurité ne sont pas activées
Les paramètres de sécurité par défaut, tels que le blocage des protocoles d'authentification traditionnels et l'obligation d'utiliser le MFA pour les administrateurs, offrent une couche de protection importante pour Azure AD. Les paramètres de sécurité par défaut doivent être utilisés pour les locataires qui n'ont pas de politiques d'accès conditionnel configurées. Ce paramètre notifie les organisations si ces valeurs par défaut ne sont pas en vigueur.
11. Consentement illimité de l'utilisateur
Cet indicateur vérifie si les utilisateurs sont autorisés à ajouter des applications provenant d'éditeurs non vérifiés. Ce paramètre peut créer un risque supplémentaire, car ces applications peuvent effectuer des actions intrusives ou risquées.
12. Utilisateurs privilégiés Azure AD qui sont également privilégiés dans AD
Cet indicateur vérifie la présence d'utilisateurs privilégiés dans Azure AD qui sont également privilégiés dans AD sur site. La compromission d'un compte privilégié à la fois dans AD et Azure AD peut entraîner la compromission des deux environnements.
13. Les utilisateurs non administrateurs peuvent enregistrer des applications personnalisées
Cet indicateur vérifie l'existence d'une politique d'autorisation qui permet aux utilisateurs non administrateurs d'enregistrer des applications clients. Si les utilisateurs non administrateurs sont autorisés à enregistrer des applications d'entreprise développées sur mesure, les attaquants peuvent utiliser cette faille pour enregistrer des applications malveillantes, qu'ils peuvent ensuite exploiter pour obtenir des autorisations supplémentaires.
Sécuriser un environnement d'identité hybride
Les stratégies de sécurité doivent s'adapter à l'évolution des risques. Les changements risqués apportés à Azure AD, qu'ils soient attribuables à une cyberattaque ou à un accident, peuvent entraîner d'importants temps d'arrêt et une interruption de l'activité. Les entreprises ont besoin d'une approche de la gestion des identités hybrides qui couvre l'ensemble de leur environnement, ce qui nécessite non seulement de détecter les violations de politiques et les mauvaises configurations, mais aussi de suivre les changements et de les mettre en corrélation avec les activités qui se produisent sur site et dans le cloud. Armées d'indicateurs de menace basés sur une compréhension du risque, les entreprises peuvent lutter de manière proactive contre les problèmes avant qu'ils ne surviennent.
