Ran Harel

Après avoir annoncé Forest Druidnotre outil gratuit de découverte des chemins d'attaque de niveau 0, à Black Hat 2022, nous l'avons utilisé pour aider certaines des plus grandes organisations au monde à fermer les chemins d'attaque vers les actifs Active Directory de niveau 0. Notre travail avec ces organisations a validé le fait que les défenseurs peuvent gagner du temps en se concentrant sur les fruits à portée de main pour la remédiation, accélérant ainsi le processus de fermeture des portes dérobées dans AD. (Si vous êtes curieux de savoir comment fonctionne Forest Druid , regardez la vidéo de démonstrationForest Druid , consultez le guide de l'utilisateur en ligne ou téléchargez le logiciel Forest Druid ).

Active Directory est un système complexe avec de nombreux paramètres configurables, ce qui le rend notoirement difficile à sécuriser. Les défauts de conception, les erreurs opérationnelles et les mauvaises configurations s'accumulent au fil du temps, exposant l'AD à toute une série d'attaques. Pendant des années, les attaquants ont eu la mainmise sur l'identification des voies d'escalade des privilèges vers AD : D'innombrables chemins d'attaque mènent à AD. Les défenseurs qui doivent passer au peigne fin ces milliers de chemins d'attaque risquent de ne pas voir certaines violations dangereuses.

Forest Druid est le deuxième outil de notre arsenal d'outils de sécurité pour la communauté Active Directory, rejoignant Purple Knight, un outil d'évaluation de la sécurité AD utilisé par plus de 10 000 organisations. Alors que Purple Knight recherche les indicateurs d'exposition (IOE) et les indicateurs de compromission (IOC) et fournit un score de sécurité global, Forest Druid se concentre sur les chemins d'attaque qui mènent aux actifs critiques de niveau 0. Consultez l'interview vidéo ci-dessous pour découvrir les informations que nous avons partagées à Black Hat USA 2022 sur l'origine de Forest Druid et notre vision de son évolution.

Lecture associée

Identifier le véritable périmètre Tier 0

L'un des problèmes des méthodes traditionnelles de gestion du chemin d'attaque est que les organisations ne disposent souvent pas d'une définition précise de leurs ressources de niveau 0, et que les outils actuels n'aident pas à définir ces ressources. Il est difficile de défendre des ressources qui ne sont pas définies.  

Forest Druid utilise un processus itératif pour définir clairement les biens de niveau 0. À chaque itération, toutes les relations de contrôle qui proviennent d'un nœud situé en dehors du niveau 0 et atteignent un nœud situé dans le niveau 0 en un seul saut sont analysées afin de déterminer si le nœud d'origine doit être ajouté au niveau 0 ou s'il enfreint le modèle de sécurité et doit être supprimé. Le processus s'achève après une itération qui ne montre aucune relation supplémentaire avec le niveau 0, établissant ainsi votre périmètre défini par les privilèges.

Forest Druid accélère l'analyse des chemins d'attaque en se concentrant sur l'accès privilégié au niveau 0 de l'intérieur vers l'extérieur, alors que d'autres outils de découverte de chemins d'attaque identifient une liste exhaustive de chemins d'attaque et de points d'étranglement de l'extérieur vers l'intérieur. Forest Druid établit automatiquement un graphique des relations entre les actifs du niveau 0, créant ainsi une source indépendante de vérité pour la sécurité du niveau 0 qui permet aux défenseurs d'éradiquer rapidement la menace d'AD et d'identifier des techniques de persistance de domaine qui n'avaient pas été divulguées auparavant.

Gagner du temps et des ressources en protégeant les actifs de niveau 0

Plutôt que de rechercher des milliers de chemins d'attaque potentiels, les défenseurs peuvent gagner du temps en utilisant Forest Druid pour identifier et traiter les violations de sécurité les plus problématiques, c'est-à-dire les chemins qui mènent directement à vos actifs les plus sensibles.  

Pour découvrir le fonctionnement de Forest Druid , regardez cette vidéo de démonstration, rejoignez la discussion de la communautéPurple Knight sur Slack et consultez les ressources supplémentaires ci-dessous. Ou téléchargez Forest Druid dès maintenant et commencez à fermer les voies d'attaque vers vos actifs de niveau 0.

Plus de ressources