Suivre les modifications AD malveillantes et y remédier

Audit des modifications d'Active Directory et annulation

Auditer et remédier aux changements malveillants dans Active Directory et Entra ID.

Arrêter les attaques Active Directory qui évoluent rapidement

Des groupes sophistiqués de ransomware-as-a-service (RaaS) ciblent Active Directory, le service d'identité central de 90 % des organisations dans le monde, avec des attaques qui se déplacent à travers les réseaux à une vitesse stupéfiante. Pour les arrêter, les entreprises doivent suivre les changements malveillants en temps réel et les annuler rapidement.

Rapport Semperis :
73%
des organisations ne sont PAS sûres de pouvoir prévenir les attaques d'Entra ID
Les pirates informatiques parviennent à compromettre AD dans
82%
de leurs tentatives, selon Enterprise Management Associates
Rapport Microsoft Digital Defense :
1 heure et 42 minutes
temps nécessaire, en moyenne, à un attaquant pour commencer à se déplacer latéralement après la compromission de l'appareil
7 minutes
c'est le temps qu'il a fallu à l'attaque NotPetya de 2017 pour paralyser le réseau Maersk. La récupération d'Active Directory a pris 9 jours.

Défendre AD avec un audit des changements et une remédiation avancés

L'audit et la correction des changements malveillants dans Active Directory requièrent des solutions spécialement conçues pour faire face aux attaques sophistiquées qui ciblent à la fois AD sur site et Entra ID. La première étape consiste à mettre en œuvre des outils de surveillance capables de détecter les changements dans l'environnement AD hybride, y compris les modifications des comptes d'utilisateurs, les changements de stratégie de groupe et les changements apportés aux contrôleurs de domaine (DC). Ces outils permettent également de savoir qui a effectué les modifications et quand elles ont eu lieu. Une fois les changements détectés, vous devez réagir rapidement et avec précision. Dans de nombreux cas, les attaques se déplacent sur les réseaux trop rapidement pour permettre une intervention humaine, c'est pourquoi il est essentiel de mettre en place une remédiation automatisée.

icône du globe oculaire
Surveiller

Surveiller en permanence AD et Entra ID pour détecter les changements malveillants.

Auditer

Auditez les changements qui transitent par l'infrastructure AD.

icône de la liste de contrôle
Éliminer

Revenir sur des changements malveillants dans AD on-prem et Entra ID.

Suivi des modifications dans AD et Entra ID

Le paradigme de sécurité d'Entra ID est différent

De nombreuses organisations adoptent des environnements d'identité hybrides, mettant en œuvre à la fois Active Directory sur site et Entra ID. Bien que la flexibilité des environnements d'identité hybrides apporte d'énormes avantages, cette approche s'accompagne également d'un risque accru. Tout comme l'AD sur site, Entra ID a ses faiblesses, et le mélange hybride crée des opportunités supplémentaires pour les attaquants. Comme dans le cas des brèches de Kaseya et SolarWinds, les cybercriminels exploitent les faiblesses de sécurité des systèmes d'identité hybrides en s'introduisant dans le nuage et en se déplaçant vers le système sur site - ou vice versa. L'audit et la correction des changements malveillants dans Entra ID nécessitent une approche complètement différente de la gestion de la sécurité AD sur site.

  • Le nouveau modèle d'authentification signifie que les concepts familiers tels que les forêts et les objets de stratégie de groupe ne s'appliquent plus à l'environnement Entra ID.
  • Des décisions telles que la fusion d'AD sur site et d'Entra ID avec Azure Connect peuvent avoir des conséquences importantes en termes de sécurité.
  • La notion de périmètre de réseau traditionnel n'existe pas dans Entra ID, de sorte que les équipes informatiques et de sécurité doivent se défendre contre un nombre infini de points d'entrée potentiels.
  • Le passage à Entra ID apporte des changements significatifs au modèle de permissions : Dans un environnement AD hybride, les identités sont stockées dans le nuage, ce qui les rend potentiellement vulnérables à des attaques similaires à celles de SolarWinds et de Kaseya.
  • Le manque de visibilité sur les changements potentiellement malveillants dans l'environnement AD hybride peut compromettre la sécurité.
En savoir plus
Il est difficile d'auditer les modifications apportées à Entra ID et à AD on-prem.

Le manque de visibilité dans l'environnement AD hybride signifie que les attaques peuvent entrer par Entra ID et se déplacer vers AD sur site, ou vice versa. Les entreprises ont besoin de solutions qui les aideront à auditer et à remédier aux attaques, qu'elles proviennent du nuage ou de l'environnement d'identité sur site.

  • Une vue unique des changements dans Entra ID et AD on-prem peut mettre en lumière les attaques qui se déplacent dans l'environnement.
  • L'audit des changements en temps réel d'Entra ID peut aider à surveiller les changements malveillants.
  • La possibilité d'annuler les changements dans AD on-prem et Entra ID aide à répondre aux attaques rapides dans l'environnement AD hybride.
En savoir plus

Audit des modifications AD qui contournent les SIEM

Les attaques avancées peuvent échapper à la traçabilité

Pour réagir rapidement, il est essentiel de pouvoir repérer les attaquants qui pénètrent dans votre système d'identité, qui s'y déplacent ou, pire, qui l'administrent. Compte tenu de la longue durée d'immobilisation des logiciels malveillants, il est évident que les cybercriminels sont très doués pour travailler en toute discrétion. Pour repérer les attaques avancées qui échappent aux systèmes basés sur les journaux ou les événements, vous avez besoin d'une solution qui utilise différentes tactiques pour suivre les menaces de sécurité AD et Entra ID.

  • Utilisation de plusieurs sources de données, y compris du flux de réplication AD, pour auditer les changements tels que les modifications de la stratégie de groupe, les modifications de l'appartenance à un groupe d'administrateurs de domaine et d'autres changements qui échappent à de nombreux systèmes de surveillance.
  • Suivi infalsifiable pour capturer les changements même si la journalisation de sécurité est désactivée, si les journaux sont supprimés, si les agents sont désactivés ou cessent de fonctionner, ou si les changements sont injectés directement dans AD.
  • Analyse forensique permettant d'identifier les modifications suspectes, d'isoler les modifications effectuées par des comptes compromis et de retrouver d'autres sources et détails d'incidents.
  • Notifications en temps réel lorsque des changements opérationnels et liés à la sécurité sont apportés à AD.
En savoir plus

Remédier aux modifications malveillantes d'AD et d'Entra ID

Agir rapidement pour arrêter une attaque AD

Les cyberattaques liées à AD peuvent paralyser les activités de l'entreprise en quelques minutes. Pour y mettre fin, les entreprises ont besoin de solutions qui offrent une remédiation automatisée des changements non désirés.

  • L'annulation automatisée des modifications malveillantes met fin aux attaques qui se propagent dans les réseaux trop rapidement pour que l'homme puisse intervenir.
  • Les capacités de recherche instantanée permettent aux organisations de traiter les changements d'objets et d'attributs AD non désirés en quelques minutes.
  • Les fonctions de restauration granulaire permettent aux équipes informatiques et de sécurité d'annuler les modifications apportées aux attributs individuels, aux membres de groupes, aux objets et aux conteneurs à n'importe quel moment.
Notre mission fait écho auprès des leaders du secteur
Gartner Peer Insights

Nous avons beaucoup de changements dans notre environnement Active Directory, nous ajoutons des serveurs Linux, etc... [Directory Services Protector] nous aide à surveiller et à annuler les changements dangereux en un seul clic.

Lire l'avis Membre de l'équipe informatique d'une grande entreprise
El Al Israel Airlines

Semperis offre une technologie supérieure et Directory Services Protector est un atout considérable pour toute entreprise qui utilise Active Directory.

En savoir plus Chen Amran Directeur adjoint de l'infrastructure et de la communication, EL AL Israel Airlines
Santé

Nous utilisons Directory Services Protector pour nous alerter sur les changements de stratégie de groupe. Cela nous a permis de mettre en œuvre des processus internes de contrôle et d'amélioration des changements plus solides afin d'empêcher les activités informatiques malhonnêtes qui peuvent être pratiques pour nous mais qui ne sont pas sûres.

Directeur de la technologie Cabinet médical spécialisé en orthopédie
Gartner Peer Insights

Directory Services Protector est exceptionnel en matière de rapports, de surveillance et de remédiation en temps réel, de rapports actifs et de notifications instantanées lorsque des objets sont modifiés ou changés.

Lire l'avis Administrateur principal de systèmes Windows Grande entreprise

Questions fréquemment posées sur l'audit des modifications AD et la restauration

Qu'est-ce que l'audit d'Active Directory ?

L'audit de l'Active Directory est le processus de surveillance de l'AD pour détecter les vulnérabilités et les erreurs courantes de configuration et de gestion qui peuvent ouvrir la porte à des compromissions de la sécurité. De nombreuses organisations disposent d'environnements AD hérités, avec des dizaines ou des centaines de configurations erronées qui se sont accumulées au fil du temps. En raison de ressources limitées et d'un manque de compétences AD au sein du personnel, l'audit continu d'AD et d'Entra ID pour les lacunes de sécurité est souvent négligé. Les cybercriminels savent que de nombreuses lacunes de sécurité AD ne sont pas comblées, ce qui fait d'AD la première cible des cyberattaques : Les chercheurs de Mandiant rapportent que 9 attaques sur 10 impliquent AD d'une manière ou d'une autre. Pour comprendre les vulnérabilités de votre organisation en matière de sécurité AD, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité AD qui analyse l'environnement AD à la recherche de centaines d'indicateurs d'exposition (IOE) et de compromission (IOC), fournit un score de sécurité global et des conseils de remédiation hiérarchisés de la part d'experts en sécurité AD.

Comment vérifier les modifications apportées à la stratégie de groupe ?

L'audit des modifications apportées aux stratégies de groupe est un élément essentiel du renforcement de la sécurité d'Active Directory. Il s'agit d'une tâche difficile, car les solutions traditionnelles de surveillance basées sur les événements n'incluent généralement pas les détails des modifications apportées aux stratégies de groupe. À titre d'exemple, si un attaquant effectue une modification malveillante avec le ransomware Ryuk ransomware, le seul signal sera que un compte ayant accès à la stratégie de groupe a effectué une modification, ce qui ne déclenchera probablement pas d'alerte. Pour détecter les modifications malveillantes apportées à la stratégie de groupe, vous avez besoin d'une solution qui utilise plusieurs sources de données, y compris le flux de réplication AD, pour obtenir un contexte supplémentaire qui indiquera une attaque potentielle en cours. Pour mieux comprendre les failles de sécurité de votre système AD liées aux erreurs de configuration des stratégies de groupe, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité AD qui analyse l'environnement AD à la recherche de centaines d'indicateurs d'exposition (IOE) et de compromission (IOC). Purple Knight recherche plusieurs erreurs de configuration de la stratégie de groupe, notamment les modifications des exécutables SYSVOL, la délégation de la liaison des GPO au niveau du site AD et les mots de passe réversibles trouvés dans les GPO.

Comment suivre les modifications apportées à Active Directory ?

Pour suivre les changements dans Active Directory, vous devez surveiller en permanence l'environnement AD pour détecter les indicateurs d'exposition (IOE) et de compromission (IOC) liés à la sécurité des comptes Active Directory, à la délégation AD, à la stratégie de groupe, à Kerberos, à la sécurité Entra ID et à la sécurité de l'infrastructure AD. Les groupes de ransomware développent constamment de nouvelles méthodes pour compromettre AD, qui est la principale source d'identité pour 90 % des organisations dans le monde. Avec un accès privilégié à AD, les cybercriminels peuvent accéder à l'ensemble du réseau et paralyser les activités de l'entreprise. Pour une évaluation ponctuelle des lacunes de sécurité d'AD, téléchargez Purple Knight, un outil gratuit d'évaluation de la sécurité d'AD qui analyse l'environnement AD à la recherche de centaines d'indicateurs d'exposition (IOE) et de compromission (IOC), fournit un score de sécurité global et des conseils de remédiation hiérarchisés de la part d'experts en sécurité d'AD. Pour suivre en permanence les changements dans AD et Entra ID, consultez le site suivant Directory Services Protectorune solution de détection et de surveillance des menaces AD qui suit les changements dans AD et Entra ID et fournit un retour en arrière automatisé des changements AD malveillants.

Comment puis-je suivre les vulnérabilités de sécurité dans Entra ID ?

Vous pouvez utiliser l'outil gratuit d'évaluation de la sécurité AD Purple Knight pour rechercher dans votre environnement Entra ID divers IOE et IOC, notamment des comptes d'invités inactifs, des politiques d'accès conditionnel mal configurées et des utilisateurs privilégiés Entra ID qui sont également des utilisateurs privilégiés dans AD on-prem, ce qui peut compromettre les deux environnements. Vous pouvez utiliser Directory Services Protector pour suivre les changements d'Entra ID en temps réel ; pour plus d'informations, voir "Améliorer la protection d'AD et d'Entra ID contre les cyber-menaces".

Comment puis-je auditer les modifications d'Active Directory telles que DCShadow ?

DCShadow est l'un des rares types d'attaques qui ne laissent aucune preuve d'activité Il est donc difficile de les détecter à l'aide des systèmes traditionnels basés sur les événements ou les journaux. Cette technique d'attaque contourne la journalisation traditionnelle basée sur le SIEM. Au lieu de cela, les modifications sont injectées directement dans le flux de réplication des contrôleurs de domaine de production. Pour se prémunir contre les attaques qui contournent la surveillance traditionnelle, les entreprises ont besoin de solutions qui utilisent plusieurs sources de données, y compris le flux de réplication AD. Pour une détection et une réponse complètes aux menaces AD, y compris la capacité d'auditer AD pour les attaques qui échappent aux SIEM et aux autres outils de surveillance traditionnels, consultez Directory Services Protector.

Auditer les modifications malveillantes dans Active Directory et y remédier

Ne manquez pas les menaces AD ou Entra ID

Découvrir Directory Services Protector

Plus de ressources

Apprenez-en plus sur la façon d'auditer et d'annuler les changements malveillants dans Active Directory et Entra ID.