Les fêtes de fin d'année sont une période chargée pour les acheteurs, les commerces de détail et les cybercriminels. L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a déjà noté "une augmentation des attaques de ransomware à fort impact se produisant les jours fériés et les week-ends, lorsque les bureaux sont normalement fermés" et a qualifié les périodes d'achats de vacances "d'occasion privilégiée pour les acteurs malveillants de profiter d'acheteurs peu méfiants par le biais de faux sites web, de liens malveillants et même de fausses organisations caritatives". Les conseils en matière de cybersécurité pour les fêtes de fin d'année sont en tête de la liste des souhaits de chacun.
Lecture connexe : Qu'est-ce que la sécurité Active Directory ?
Les vacances sont le moment idéal pour la cybercriminalité
Il est tout à fait logique que les commerces de détail soient pris pour cible à l'occasion des fêtes de fin d'année, étant donné l'abondance des informations relatives aux cartes de paiement qu'ils stockent et traitent. Le rapport 2023 Data Breach Investigations Report de Verizon s'est penché sur les techniques utilisées par les cybercriminels pour voler des données de cartes de crédit, en particulier pendant les périodes de forte affluence telles que le Black Friday et le Cyber Monday. Entre le typosquattage (utilisation de domaines mal saisis pour usurper l'identité de détaillants légitimes), les robots Grinch (programmes automatisés utilisés pour acheter des stocks entiers de produits populaires en vue de les revendre avec des marges bénéficiaires plus élevées) et les robots de requête (utilisés pour contourner les solutions d'atténuation des robots), les vacances sont une période difficile pour les détaillants.
Mais les menaces s'étendent bien au-delà du secteur de la vente au détail ou de toute autre période de l'année. Les attaquants privilégient les vacances et les week-ends tout au long de l'année pour lancer des ransomwares et d'autres tentatives d'intrusion dans les réseaux. Pendant ces périodes, les équipes de sécurité et d'informatique sont plus susceptibles d'être débordées, distraites ou absentes du travail, ce qui donne aux cyberattaquants une meilleure occasion de contourner vos défenses.
Les organisations qui ferment leurs portes pendant la période des fêtes, comme les banques, les administrations nationales et locales, les districts scolaires et les universités, sont des cibles de choix. (J'ai récemment entendu parler d'une tentative d'attaque de ce type lors d'une interview sur le HIP Podcast. Vous pouvez écouter l'intégralité de l'histoire ici).
Une fois que les attaquants ont pénétré dans votre réseau, leur première étape consiste souvent à trouver le moyen le plus rapide d'escalader les privilèges : votre infrastructure d'identité. Les cybercriminels peuvent également utiliser Active Directory pour propager des logiciels malveillants.
Une fois Active Directory compromis, les attaquants peuvent perturber les activités, voler des données et même créer des portes dérobées pour persister sans être détectés et résister aux efforts de nettoyage et de récupération.
Conseils de cybersécurité pour les infrastructures d'identité pendant les vacances
Il est plus facile d'élaborer une approche efficace en matière de cybersécurité lorsque l'on considère son environnement du point de vue d'un adversaire. Et le rôle d'Active Directory en tant que service d'annuaire en fait une cible commune et populaire pour les attaquants qui veulent étendre leur emprise sur un réseau violé.
Bien que les comptes à privilèges soient une cible privilégiée pour les attaquants, il est important de se rappeler que les comptes non-administrateurs peuvent être tout aussi précieux. Par exemple, un compte d'utilisateur de niveau service disposant de droits d'accès à une base de données sensible vaut son pesant d'or.
À l'approche de la nouvelle année, le moment est bien choisi pour évaluer votre approche de la sécurité AD. Voici trois conseils pour la renforcer contre les attaques.
1 : Analysez votre environnement Active Directory
Les entreprises ont besoin d'une cartographie complète de leur environnement Active Directory, y compris les comptes qui ont des privilèges et la justification technique ou liée à l'activité de ces droits. La mise en œuvre d'une stratégie basée sur le principe du moindre privilège réduit la surface d'attaque vulnérable aux pirates.
La première étape consiste à évaluer la surface d'attaque de votre identité afin de pouvoir remédier aux vulnérabilités et aux lacunes potentielles. Pour ce faire, utilisez un outil gratuit et simple comme Purple Knight.
L'audit d'Active Directory pour s'assurer que les groupes et les comptes individuels sont limités aux autorisations dont ils ont besoin pour remplir leurs fonctions est essentiel à la fois pour la sécurité et pour la conformité réglementaire. Cette déclaration est particulièrement importante pour les comptes à hauts niveaux de privilèges, qui doivent être maintenus au minimum pour réduire le risque que l'un de ces comptes soit compromis et utilisé par des acteurs menaçants.
Parmi les autres bonnes pratiques, citons
- Tout compte dont le nom du principal de service est défini comme hautement privilégié est considéré comme tel.
- Ne stockez pas les mots de passe de la stratégie de groupe dans votre SYSVOL.
- Retravailler les comptes de service privilégiés afin d'utiliser le moins de privilèges possible et envisager d'exploiter les comptes de service gérés par le groupe.
- Exiger l'utilisation de mots de passe uniques et complexes pour les comptes de service.
Vous voulez passer à l'étape suivante de votre évaluation ? Un outil gratuit d'analyse des chemins d'attaque tel que Forest Druid peut vous aider à trouver des chemins d'accès potentiels à votre périmètre de niveau 0 afin que vous puissiez verrouiller les privilèges excessifs.
2 : Disposer d'un plan de reprise après sinistre
Ne laissez pas votre sécurité identitaire (et donc votre résilience opérationnelle) au hasard. Connaissez les réponses à ces questions :
- Que ferez-vous en cas de cyberattaque ?
- Votre plan de reprise après sinistre prévoit-il des mesures spécifiques pour répondre à une attaque basée sur l'identité ?
- Disposez-vous d'un plan de sauvegarde et de récupération dédié à votre Active Directory ?
- Savez-vous combien de temps prendra la récupération d'Active Directory et disposez-vous des outils nécessaires pour automatiser le processus de récupération d'Active Directory?
- Qui appellerez-vous si vous avez besoin d'aide ?
Si vous manquez de temps ou de membres d'équipe pour vous préparer correctement aux cybermenaces, envisagez d'externaliser la tâche. Semperis, par exemple, dispose d'une équipe d'experts en Active Directory et en cybersécurité qui fournit des services de préparation et de réponse aux violations, allant de l'évaluation de votre infrastructure AD à la planification et aux tests de récupération AD, en passant par la réponse aux incidents et l'analyse criminalistique des attaques.
3 : Identifier les activités suspectes dans Active Directory
Aussi furtifs que puissent être les attaquants, ils laissent souvent des traces de leur comportement. La capacité à détecter les activités potentiellement suspectes, telles que les changements de permission sur l'objet AdminSDHolder, et les mauvaises configurations, telles que l'existence de mandants autres que ceux par défaut avec des droits DC Sync sur le domaine, est un aspect vital de la sécurité d'Active Directory.
C'est pourquoi les organisations doivent surveiller Active Directory en permanence et procéder à des évaluations régulières de la sécurité. Après une intrusion, il n'est pas rare que les acteurs de la menace modifient AD de diverses manières pour leur permettre de persister. La modification de l'appartenance à un groupe, l'apparition soudaine d'un nouveau compte d'administrateur et d'autres indices similaires sont autant de signes que quelque chose ne va pas.
Les outils d'évaluation de la sécurité tels que Purple Knight et d'autres offrent aux professionnels de la sécurité la possibilité d'identifier et de supprimer tous les points faibles de l'infrastructure AD de leur organisation avant que les attaquants ne puissent les utiliser pour s'introduire à nouveau. Mieux encore, des outils tels que Directory Services Protector vous permettent d'automatiser le retour en arrière des modifications suspectes.
Renforcer Active Directory pour des fêtes plus joyeuses
C'est la saison des cadeaux, mais aussi des prises : vos données, celles de vos clients et votre tranquillité d'esprit. Ne laissez pas les cyberattaquants gâcher votre nouvelle année, ou toute autre fête. En renforçant votre AD contre les attaques, vous pouvez ériger une barrière plus solide entre les attaquants et leurs objectifs.