Suivre les modifications AD malveillantes et y remédier

Audit des modifications d'Active Directory et annulation

Auditer et remédier aux changements malveillants dans Active Directory et Azure Active Directory.

Arrêter les attaques Active Directory qui évoluent rapidement

Des groupes sophistiqués de ransomware-as-a-service (RaaS) ciblent Active Directory, le service d'identité central de 90 % des organisations dans le monde, avec des attaques qui se déplacent à travers les réseaux à une vitesse stupéfiante. Pour les arrêter, les entreprises doivent suivre les changements malveillants en temps réel et les annuler rapidement.

Rapport Semperis :
73%
des organisations ne sont PAS sûres de pouvoir prévenir les attaques Azure AD
Les pirates informatiques parviennent à compromettre AD dans
82%
de leurs tentatives, selon Enterprise Management Associates
Rapport Microsoft Digital Defense :
1 heure et 42 minutes
temps nécessaire, en moyenne, à un attaquant pour commencer à se déplacer latéralement après la compromission de l'appareil
7 minutes
c'est le temps qu'il a fallu à l'attaque NotPetya de 2017 pour paralyser le réseau Maersk. La récupération d'Active Directory a pris 9 jours.

Défendre AD avec un audit des changements et une remédiation avancés

L'audit et la correction des modifications malveillantes dans Active Directory requièrent des solutions spécialement conçues pour répondre aux attaques sophistiquées qui ciblent à la fois AD sur site et Azure AD. La première étape consiste à mettre en œuvre des outils de surveillance capables de détecter les changements dans l'environnement AD hybride, notamment les modifications des comptes d'utilisateurs, les changements de stratégie de groupe et les changements apportés aux contrôleurs de domaine (DC). Ces outils peuvent également fournir une visibilité sur l'auteur et la date des modifications. Une fois les changements détectés, vous devez réagir rapidement et avec précision. Dans de nombreux cas, les attaques se déplacent dans les réseaux trop rapidement pour permettre une intervention humaine, c'est pourquoi il est essentiel de mettre en place une remédiation automatisée.

icône du globe oculaire
Surveiller

Surveillez en permanence AD et Azure AD pour détecter les changements malveillants.

Auditer

Auditez les changements qui transitent par l'infrastructure AD.

icône de la liste de contrôle
Éliminer

Annulez des modifications malveillantes dans AD sur site et Azure AD.

Suivre les modifications dans AD et Azure AD

Le paradigme de sécurité d'Azure AD est différent

De nombreuses organisations adoptent des environnements d'identité hybrides, mettant en œuvre à la fois Active Directory sur site et Azure AD. Bien que la flexibilité des environnements d'identité hybrides apporte d'énormes avantages, cette approche s'accompagne également d'un risque accru. Tout comme l'AD sur site, Azure AD a ses faiblesses, et le mélange hybride crée des opportunités supplémentaires pour les attaquants. Comme dans le cas des brèches de Kaseya et de SolarWinds, les cybercriminels exploitent les faiblesses de sécurité des systèmes d'identité hybrides en s'introduisant dans le cloud et en se déplaçant vers le système sur site (ou vice versa). L'audit et la correction des changements malveillants dans Azure AD nécessitent une approche totalement différente de la gestion de la sécurité AD sur site.

  • Avec le nouveau modèle d'authentification, les concepts familiers tels que les forêts et les objets de stratégie de groupe ne s'appliquent plus à l'environnement Azure AD.
  • Des décisions telles que la fusion d'AD sur site et d'Azure AD avec Azure Connect peuvent avoir des conséquences importantes sur la sécurité.
  • La notion de périmètre de réseau traditionnel n'existe pas dans Azure AD, de sorte que les équipes informatiques et de sécurité doivent se défendre contre un nombre infini de points d'entrée potentiels.
  • Le passage à Azure AD apporte des changements significatifs au modèle de permissions : dans un environnement AD hybride, les identités sont stockées sur le cloud, ce qui les rend potentiellement vulnérables à des attaques similaires à celles de SolarWinds et de Kaseya.
  • Le manque de visibilité sur les changements potentiellement malveillants dans l'environnement AD hybride peut compromettre la sécurité.
En savoir plus
Auditer les modifications apportées à Azure AD et à AD sur site est difficile

Avec le manque de visibilité dans l'environnement AD hybride, les attaques peuvent entrer par Azure AD et se déplacer vers AD sur site, ou vice versa. Les entreprises ont besoin de solutions qui les aideront à auditer et à remédier aux attaques, qu'elles proviennent du cloud ou de l'environnement d'identité sur site.

  • Vue unique des changements dans Azure AD et AD sur site permet de mettre en lumière les attaques qui se déplacent dans l'environnement.
  • Audit en temps réel des changements dans Azure AD peut aider à surveiller les changements malveillants.
  • Possibilité d'annuler les modifications dans AD sur site et Azure AD, ce qui permet de gérer les attaques rapides dans l'environnement AD hybride.
En savoir plus

Audit des modifications AD qui contournent les SIEM

Les attaques avancées peuvent échapper à la traçabilité

Pour réagir rapidement, il est essentiel de pouvoir repérer les attaquants qui pénètrent dans votre système d'identité, qui s'y déplacent ou, pire, qui l'administrent. Compte tenu de la longue durée d'immobilisation des logiciels malveillants, il est évident que les cybercriminels sont très doués pour travailler en toute discrétion. Pour repérer les attaques avancées qui échappent aux systèmes basés sur les journaux ou les événements, vous avez besoin d'une solution qui utilise différentes tactiques pour suivre les menaces de sécurité AD et Azure AD.

  • Utilisation de plusieurs sources de données, y compris du flux de réplication AD, pour auditer les changements tels que les modifications de la stratégie de groupe, les modifications de l'appartenance à un groupe d'administrateurs de domaine et d'autres changements qui échappent à de nombreux systèmes de surveillance.
  • Suivi infalsifiable pour capturer les changements même si la journalisation de sécurité est désactivée, si les journaux sont supprimés, si les agents sont désactivés ou cessent de fonctionner, ou si les changements sont injectés directement dans AD.
  • Analyse forensique permettant d'identifier les modifications suspectes, d'isoler les modifications effectuées par des comptes compromis et de retrouver d'autres sources et détails d'incidents.
  • Notifications en temps réel lorsque des changements opérationnels et liés à la sécurité sont apportés à AD.
En savoir plus

Remédier aux modifications malveillantes d'AD et d'Azure AD

Agir rapidement pour arrêter une attaque AD

Les cyberattaques liées à AD peuvent paralyser les activités de l'entreprise en quelques minutes. Pour y mettre fin, les entreprises ont besoin de solutions qui offrent une remédiation automatisée des changements non désirés.

  • L'annulation automatisée des modifications malveillantes met fin aux attaques qui se propagent dans les réseaux trop rapidement pour que l'homme puisse intervenir.
  • Les capacités de recherche instantanée permettent aux organisations de traiter les changements d'objets et d'attributs AD non désirés en quelques minutes.
  • Les fonctions de restauration granulaire permettent aux équipes informatiques et de sécurité d'annuler les modifications apportées aux attributs individuels, aux membres de groupes, aux objets et aux conteneurs à n'importe quel moment.
Notre mission fait écho auprès des leaders du secteur
Gartner Peer Insights

Nous avons beaucoup de changements dans notre environnement Active Directory, nous ajoutons des serveurs Linux, etc... [Directory Services Protector] nous aide à surveiller et à annuler les changements dangereux en un seul clic.

Lire l'avis Membre de l'équipe informatique d'une grande entreprise
El Al Israel Airlines

Semperis offre une technologie supérieure et Directory Services Protector est un atout considérable pour toute entreprise qui utilise Active Directory.

En savoir plus Chen Amran Directeur adjoint de l'infrastructure et de la communication, EL AL Israel Airlines
Santé

Nous utilisons Directory Services Protector pour nous alerter sur les changements de stratégie de groupe. Cela nous a permis de mettre en œuvre des processus internes de contrôle et d'amélioration des changements plus solides afin d'empêcher les activités informatiques malhonnêtes qui peuvent être pratiques pour nous mais qui ne sont pas sûres.

Directeur de la technologie Cabinet médical spécialisé en orthopédie
Gartner Peer Insights

Directory Services Protector est exceptionnel en matière de rapports, de surveillance et de remédiation en temps réel, de rapports actifs et de notifications instantanées lorsque des objets sont modifiés ou changés.

Lire l'avis Administrateur principal de systèmes Windows Grande entreprise

Questions fréquemment posées sur l'audit des modifications AD et la restauration

Qu'est-ce que l'audit d'Active Directory ?

L'audit d'Active Directory est le processus de surveillance d'AD pour détecter les vulnérabilités et les erreurs courantes de configuration et de gestion qui peuvent ouvrir la porte à des compromissions de la sécurité. De nombreuses organisations disposent d'environnements AD hérités, avec des dizaines ou des centaines de configurations erronées qui se sont accumulées au fil du temps. En raison de ressources limitées et d'un manque de compétences AD au sein du personnel, l'audit continu d'AD et d'Azure AD pour détecter les failles de sécurité est souvent négligé. Les cybercriminels savent que de nombreuses failles de sécurité AD ne sont pas comblées, ce qui fait d'AD la première cible des cyberattaques. Les chercheurs de Mandiant rapportent que 9 attaques sur 10 impliquent AD d'une manière ou d'une autre. Pour comprendre les vulnérabilités de sécurité AD dans votre organisation, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité AD qui analyse l'environnement AD pour des centaines d'indicateurs d'exposition (IOE) et d'indicateurs de compromis (IOC), fournit un score de sécurité global et des conseils de remédiation hiérarchisés de la part d'experts en sécurité AD.

Comment vérifier les modifications apportées à la stratégie de groupe ?

L'audit des modifications apportées aux stratégies de groupe est un élément essentiel du renforcement de la sécurité d'Active Directory. Il s'agit d'une tâche difficile, car les solutions traditionnelles de surveillance basées sur les événements n'incluent généralement pas les détails des modifications apportées aux stratégies de groupe. À titre d'exemple, si un attaquant effectue une modification malveillante avec le ransomware Ryuk ransomware, le seul signal sera qu' un compte ayant accès à la stratégie de groupe a effectué une modification, ce qui ne déclenchera probablement pas d'alerte. Pour détecter les modifications malveillantes apportées à la stratégie de groupe, vous avez besoin d'une solution qui utilise plusieurs sources de données, y compris le flux de réplication AD, pour obtenir un contexte supplémentaire qui indiquera une attaque potentielle en cours. Pour mieux comprendre les failles de sécurité de votre système AD liées aux erreurs de configuration des stratégies de groupe, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité AD qui analyse l'environnement AD à la recherche de centaines d'indicateurs d'exposition (IOE) et d'Indicators of Compromise (IOC). Purple Knight recherche plusieurs erreurs de configuration des stratégies de groupe, notamment les changements d'exécutables SYSVOL, la délégation de la liaison des GPO au niveau du site AD et les mots de passe réversibles trouvés dans les objets de stratégie de groupe.

Comment suivre les modifications apportées à Active Directory ?

Pour suivre les changements dans Active Directory, vous devez surveiller en permanence les indicateurs d'exposition (IOE) et les indicateurs de compromis (IOC) dans l'environnement AD liés à la sécurité des comptes Active Directory, à la délégation AD, à la stratégie de groupe, à Kerberos, à la sécurité Azure AD et à la sécurité de l'infrastructure AD. Les groupes de ransomware développent constamment de nouvelles méthodes pour compromettre AD, qui est la principale source d'identité pour 90 % des organisations dans le monde. Avec un accès privilégié à AD, les cybercriminels peuvent accéder à l'ensemble du réseau et paralyser les activités de l'entreprise. Pour une évaluation ponctuelle des lacunes de sécurité d'AD, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité d'AD qui scanne l'environnement AD à la recherche de centaines d'indicateurs d'exposition (IOE) et d'indicateurs de compromis (IOC), fournit un score de sécurité global et des conseils de remédiation hiérarchisés de la part d'experts en sécurité d'AD. Pour suivre en permanence les changements dans AD et Azure AD, consultez Directory Services Protector.Pour suivre en permanence les modifications apportées à AD et Azure AD, il est possible d'utiliser la solution de détection et de surveillance des menaces AD, qui suit les modifications apportées à AD et Azure AD et permet de revenir automatiquement en arrière en cas de modifications AD malveillantes.

Comment puis-je suivre les failles de sécurité dans Azure AD ?

Vous pouvez utiliser l'outil gratuit d'évaluation de la sécurité AD Purple Knight pour rechercher dans votre environnement Azure AD divers IOE et IOC, notamment des comptes d'invités inactifs, des politiques d'accès conditionnel mal configurées et des utilisateurs privilégiés Azure AD qui sont également des utilisateurs privilégiés dans AD sur site, ce qui peut compromettre les deux environnements. Vous pouvez utiliser Directory Services Protector pour suivre les modifications apportées à Azure AD en temps réel. Pour plus d'informations, consultez «5 nouvelles façons de sécuriser AD et Azure AD ».

Comment puis-je auditer les modifications d'Active Directory telles que DCShadow ?

DCShadow est l'un des rares types d'attaques qui ne laissent aucune preuve d'activité Il est donc difficile de les détecter à l'aide des systèmes traditionnels basés sur les événements ou les journaux. Cette technique d'attaque contourne la journalisation traditionnelle basée sur le SIEM. Au lieu de cela, les modifications sont injectées directement dans le flux de réplication des contrôleurs de domaine de production. Pour se prémunir contre les attaques qui contournent la surveillance traditionnelle, les entreprises ont besoin de solutions qui utilisent plusieurs sources de données, y compris le flux de réplication AD. Pour une détection et une réponse complètes aux menaces AD, y compris la capacité d'auditer AD pour les attaques qui échappent aux SIEM et aux autres outils de surveillance traditionnels, consultez Directory Services Protector.

Auditer les modifications malveillantes dans Active Directory et y remédier

Ne manquez pas les menaces qui pèsent sur AD ou Azure AD

Découvrir Directory Services Protector