La révélation de l'attaque de la chaîne d'approvisionnement contre SolarWinds fin 2020 a été un signal d'alarme pour les agences fédérales chargées de sécuriser les actifs informationnels des États-Unis, ainsi que pour l'industrie de la sécurité. Au fur et à mesure que les détails de l'attaque sont dévoilés, l'une des révélations les plus importantes est que les attaquants ont utilisé des méthodes éprouvées pour obtenir l'accès initial - par le biais de l'Active Directory (AD) sur site.
Comme l'a écrit Sean Deuby, directeur des services de Semperis, dans un récent article d'InfoSecurity Magazine, si un attaquant peut contourner les contrôles d'authentification et obtenir un accès administrateur à AD, l'acteur de la menace peut alors obtenir une visibilité totale sur l'environnement AD - à la fois sur site et dans le nuage. Alors que les menaces d'origine étatique ne cessent d'augmenter, la surveillance continue d'AD à la recherche d'activités suspectes est un élément clé de la prévention, de la détection et de l'arrêt des activités malveillantes.
L'attaque de SolarWinds montre que les ressources d'identité sur site seront de plus en plus utilisées comme point d'entrée dans les environnements en nuage. Toutefois, des pratiques de sécurité saines peuvent contribuer à atténuer les attaques les plus complexes. M. Deuby attire l'attention sur des ressources récentes, notamment un billet de blog de Microsoft qui fournit des lignes directrices pour la sécurisation d'Azure AD, ainsi que des conseils actualisés de la CISA.
L'utilisation d'une approche stratifiée de la sécurisation d'Active Directory, qui comprend une surveillance continue des indicateurs d'exposition susceptibles de compromettre Active Directory, aidera les organisations à protéger leurs actifs informationnels. Bien que les cyberattaques soient de plus en plus sophistiquées, la sécurisation d'Active Directory est une étape fondamentale du plan de défense d'une organisation contre les cyberattaques.
