Lors d'un récent webinaire que j'ai co-animé avec Semperis (les créateurs de l'outil d'évaluation de la sécurité Purple Knight ), nous nous sommes concentrés sur un dénominateur commun clé dans les récentes attaques très médiatisées : Active Directory. Lors de la session "Comment les attaquants exploitent Active Directory : Lessons Learned from High-Profile Breaches", Sean Deuby et Ran Harel de Semperis se sont joints à moi pour discuter de quatre attaques récentes qui ont fait les gros titres : SolarWinds, les attaques 0-day de Hafnium Exchange, l'attaque de Colonial Pipeline et l'attaque contre Ireland Health Service. Bien que chaque violation ait été différente en termes de tactique et qu'elle ait été exécutée par des acteurs malveillants différents, elles ont toutes eu des conséquences dévastatrices. Au cours de notre discussion, nous avons abordé trois des mesures préventives les plus importantes que les organisations peuvent prendre pour se protéger contre les cyberattaques.
"Il faut avoir vécu sous une roche au cours de l'année écoulée pour avoir manqué les événements importants en matière de cybersécurité qui se sont produits d'une semaine à l'autre. Nous passons beaucoup de temps à parler des nouvelles méthodes d'attaque des malfaiteurs. Mais en réalité, les acteurs de la menace ne cherchent pas à trouver de nouveaux moyens ; ils veulent simplement entrer, et l'autoroute pour les acteurs de la menace est Active Directory".
Sean Deuby, directeur des services de la Semperis
1. Protéger le courrier électronique contre les menaces avancées
L'un des points d'entrée les plus courants pour les attaquants est le courrier électronique. Les campagnes de phishing avancées sont extrêmement convaincantes pour les utilisateurs finaux et permettent aux attaquants d'obtenir des informations d'identification valides et/ou de diffuser des logiciels malveillants sur les points d'accès. Il est essentiel que les organisations adoptent une approche multidimensionnelle pour se protéger contre ces menaces. Les formations de sensibilisation à la sécurité et les simulations d'hameçonnage sont importantes pour éduquer et mesurer les risques. Quelle que soit l'ampleur de la formation, les attaquants parviendront toujours à leurs fins. Pour lutter contre ce phénomène, une solution de protection avancée contre les menaces par courrier électronique, qui va au-delà des outils anti-spam et anti-virus, doit faire partie de votre stratégie de défense. Un service qui utilise des algorithmes d'apprentissage automatique et d'autres détections avancées pour détecter et bloquer les messages de phishing et les pièces jointes suspectes doit être mis en place dans le paysage actuel des menaces.
2. Empêcher les mouvements latéraux
Une fois qu'un attaquant a compromis un ordinateur client ou un serveur membre, il cherchera à se déplacer latéralement sur le réseau et à élever ses privilèges. Empêcher les déplacements latéraux complique considérablement la tâche de l'attaquant. Vous pouvez mettre en place des contrôles techniquement simples, mais parfois difficiles à mettre en œuvre, pour bloquer les déplacements latéraux. Tout d'abord, le mot de passe d'ADministrateur local doit être différent sur chaque terminal. Microsoft propose une solution gratuite appelée Local Administrator Password Solution (LAPS ) pour y parvenir. Deuxièmement, vous ne pouvez pas intégrer des comptes de domaine dans le groupe des administrateurs locaux pour faciliter l'assistance informatique. Le personnel informatique doit utiliser LAPS pour récupérer les informations d'identification administratives pour des terminaux spécifiques.
3. Accès sécurisé aux informations d'identification privilégiées
Empêcher les adversaires d'obtenir un accès privilégié - en particulier l'administrateur de domaine - est un moyen de défense essentiel. Si un adversaire peut augmenter ses privilèges, il peut obtenir un contrôle plus élevé, voire complet, de l'ensemble du réseau. Il est extrêmement important de mettre en œuvre des contrôles efficaces qui isolent et protègent les informations d'identification à privilèges. Deux des ensembles de contrôles les plus courants que nous mettons en œuvre au Ravenswood Technology Group sont les concepts de contrôles de sécurité hiérarchisés et de postes de travail à accès privilégié (PAW). Les contrôles de sécurité à plusieurs niveaux empêchent que les informations d'identification à haut niveau de privilège soient exposées à des actifs à plus haut risque, tels que les ordinateurs clients, où les informations d'identification pourraient être volées. Les postes de travail à accès privilégié isolent les tâches effectuées par un administrateur de son poste de travail quotidien vers un poste de travail hautement sécurisé, protégeant ainsi les informations d'identification et la session d'ADministrateur des vecteurs de menace tels que le courrier électronique, l'accès à l'internet et certains types de logiciels malveillants.
Votre système d'AD est-il prêt à faire face aux menaces actuelles ?
Les attaques dont nous avons discuté dans ce webinaire ne sont que quatre des innombrables violations qui font la une des journaux quotidiennement. Le renforcement de l’environnement informatique de votre organisation est essentiel et, pour pratiquement toutes les entreprises, Active Directory doit être un élément essentiel de votre stratégie de renforcement. Pour une évaluation gratuite des contrôles de sécurité Active Directory, prenez Purple Knight pour un essai gratuit afin d’évaluer votre Active Directory. Entre Ravenswood et Semperis, il n’y a probablement pas deux organisations (en dehors de Microsoft lui-même) avec plus d’expertise combinée en matière de sécurité AD. Nous avons un partenariat extrêmement puissant qui aide les organisations du monde entier à relever la barre en matière de sécurité des identités hybrides.
Pour obtenir plus de conseils sur la façon de protéger votre organisation, consultez le séminaire Web à la demande. Et, bien sûr, vous pouvez télécharger gratuitement Purple Knight pour identifier et combler les lacunes en matière de sécurité AD et avoir confiance dans la sécurité de votre environnement AD, quel que soit son degré de complexité, d'alambiqué ou de négligence.
