Engagez les meilleurs experts mondiaux en matière de cybersécurité Active Directory pour développer et mettre en œuvre une préparation et une gestion complètes en cas de cyberattaques AD
Active Directory est le premier vecteur d'attaque dans le paysage des menaces de cybersécurité, car c'est une cible lucrative pour les cybercriminels. En tant que principal service d'identité pour 90 % des organisations dans le monde, AD assure l'authentification des utilisateurs et l'accès aux applications et services critiques de l'entreprise. La compromission d'AD peut entraîner des semaines d'indisponibilité. Les organisations qui ne protègent pas correctement AD sont susceptibles de devoir payer une rançon pour restaurer les données et reprendre leurs activités.
Semperis, leader de la sécurité des identités et de la cyber-résilience pour les entreprises, propose des services d'Identity Forensics & Incident Response (IFIR), combinant les connaissances d'experts en sécurité Active Directory (AD) et en réponse aux incidents (IR) avec des solutions de pointe pour la prévention, la remédiation et la récupération des attaques AD. Ces services vous permettent de profiter de l'expertise de Semperis avant, pendant et après une attaque, afin que vous puissiez bénéficier des dizaines d'années d'expérience combinée de notre équipe en matière de réponse aux cyber-incidents.
Services de préparation
Gardez une longueur d'avance sur les attaquants grâce à des services experts de préparation aux violations, y compris des programmes complets pour découvrir les faiblesses de sécurité dans votre infrastructure AD et améliorer la posture de sécurité globale.
Services de gestion
Avec 100 ans d'expérience combinée de Microsoft MVP dans les services d'annuaire, notre équipe possède une vision directe de l'endroit où se situent les problèmes dans le cas d'une attaque AD, ainsi qu'une expérience et une expertise approfondies en matière de nettoyage AD, d'atténuation des risques et de remédiation aux menaces. L'expérience collective de l'équipe va de la conception, de la configuration et de la sécurisation d'Active Directory à la recherche de vulnérabilités et aux tests d'intrusion par une équipe rouge. Notre équipe aide également les organisations à récupérer Active Directory après des attaques de ransomware et de menaces internes.
Active Directory est un système complexe qui comporte de nombreux paramètres et fonctionnalités configurables, ce qui le rend difficile à sécuriser. Les défauts de conception, les erreurs opérationnelles et les mauvaises configurations s'accumulent au fil des ans pour créer une dette technique qui est souvent difficile à traiter et qui expose l'AD à toute une série d'attaques. Ces vulnérabilités font de l'AD le chemin de moindre résistance pour un attaquant afin d'atteindre les systèmes critiques et les données sensibles. Notre équipe vous aide à franchir deux étapes importantes pour réduire la probabilité qu'un pirate réussisse à détruire ou à crypter votre environnement : La première consiste à trouver les mauvaises configurations et les voies d'attaque qu'un pirate pourrait utiliser pour compromettre votre environnement. Deuxièmement, il s'agit de se préparer au scénario le plus défavorable, à savoir la destruction ou le verrouillage de l'accès à AD par les administrateurs et les utilisateurs. L'équipe Identity Forensics & Incident Response (IFIR) Services de Semperis vous aide à identifier et à fermer les voies d'attaque dans votre environnement AD et Azure AD avec des évaluations de sécurité Active Directory, la réduction des menaces AD, et la planification et les exercices de reprise après sinistre AD.
Active Directory Security Assessment (ADSA) vous donne une image claire de votre position de sécurité AD et une feuille de route pour traiter les expositions aux niveaux stratégique, opérationnel et tactique. Nos experts en sécurité AD évaluent la sécurité à l'aide d'entretiens, de questionnaires et divers outils d'analyse automatisés et manuels.
Ce service aide les organisations à prévenir les attaques et à s'y préparer. Développé pour les clients de Semperis Directory Services Protector (DSP), ce service comprend une évaluation annuelle standard de la sécurité de l'Active Directory, des sessions périodiques de réduction de la surface d'attaque et une optimisation sur mesure de DSP, la solution de détection et de réponse aux menaces AD de Semperis, reconnue par Gartner.
Ce service aide les organisations à aligner les paramètres des objectifs et de restauration (RPO) et de durée maximale d'interruption (RTO). Il identifie les dépendances implicites qui pourraient entraver l'exécution du plan lors d'un incident. Ce service comprend un examen du plan de reprise, un atelier de planification et un test de résistance du plan de reprise, y compris un chiffrement simulé de l'organisation.
L'examen de l'architecture de sécurité est un examen de haut niveau de l'environnement et des considérations qui ont conduit à l'actuelle conception. L'équipe de Semperis mène des entretiens avec les membres clés de votre équipe et passe en revue les artefacts pertinents, tels que les diagrammes architecturaux. Avant chaque entretien, votre équipe remplit un questionnaire de collecte d'informations qui aide l'équipe de la Semperis à orienter l'entretien vers les domaines d'intérêt, à obtenir les informations manquantes et à s'assurer que les bonnes personnes sont présentes à l'entretien. Les principaux aspects capturés ou produits au cours de cette étape sont les suivants :
L'examen des procédures opérationnelles est une évaluation de vos procédures opérationnelles actuelles. L'équipe de Semperis procède à cet examen par le biais d'entretiens avec les membres clés de votre équipe et d'un examen des artefacts pertinents, tels que les diagrammes de flux, les scripts, etc. Comme pour l'examen de l'architecture de sécurité, votre équipe remplit avant chaque entretien un questionnaire qui aide l'équipe de la Semperis à orienter l'entretien vers les domaines d'intérêt, à recueillir les informations manquantes et à s'assurer que les bonnes personnes sont présentes lors de l'entretien. Les principaux éléments saisis ou produits au cours de cette étape sont les suivants :
Lors de l'examen de la configuration de sécurité, l'équipe de Semperis utilise des outils automatisés (tels que Purple Knight, un outil d'évaluation de la sécurité AD conçu par les experts de Semperis) et des méthodes manuelles pour identifier les indicateurs d'exposition (IOE) et les indicateurs de compromis (IOC) dans votre environnement AD. Les éléments capturés ou produits dans cette étape sont les suivants :
L'analyse des chemins d'attaque vise à identifier les chemins d'attaque dangereux ou involontaires vers les biens du Tier 0 et d'autres ressources essentielles. Les attaquants pourraient abuser de ces chemins pour élever les privilèges et pourraient les utiliser afin d'installer la persistance du domaine et récupérer l'accès privilégié. Dans cette étape, l'équipe de la Semperis collecte et analyse des données à l'aide d'outils open-source et internes. Les éléments saisis ou produits au cours de cette étape sont :
Dans la phase d'analyse et de rapport, l'équipe de Semperis synthétise les données et les résultats de l'évaluation dans un rapport exploitable qui décrit l'état actuel de l'environnement, fournit un état recommandé réalisable et propose une feuille de route pour l'atteindre. La feuille de route comprend des « lignes d'effort » et des « lignes d'opération » pour atteindre l'état recommandé :
Semperis propose des ateliers de planification de la remédiation optionnels avec nos experts en sécurité AD. Ceux-cipeuvent avoir lieu après ou pendant l'évaluation afin d'aborder rapidement les problèmes les plus urgents et les plus critiques. Au cours de ces sessions de conseil interactives, les experts de Semperis travaillent avec votre équipe AD dans le but de :
Le service de réduction de la surface d'attaque est un effort périodique qui comprend une ADSA standard annuelle et des sessions trimestrielles au cours desquelles les experts de Semperis travaillent avec vous pour analyser les IOC, les IOE et les indicateurs d'attaque (IOA) recueillis par Directory Service Protector, ainsi que les données recueillies à l'aide d'autres outils. L'équipe Semperis fournira des recommandations pour réduire la surface d'attaque et éliminer les risques de sécurité dans l'environnement AD. En outre, elle pourrait effectuer une analyse des chemins d'attaque afin d'identifier ceux étant dangereux ou involontaires vers les ressources du Tier 0 et d'autres actifs essentiels, ainsi que les droits délégués anormaux.
Conçu pour les clients de Semperis Directory Services Protector (DSP), ce service garantit que le déploiement de DSP est optimisé pour répondre à vos exigences en matière de protection AD. L'objectif est de maximiser le résultat de votre posture de sécurité, en s'assurant que DSP fournit une protection adaptée à votre environnement. Cet examen d'optimisation s'aligne sur les meilleures pratiques de Semperis, qui comprennent les éléments suivant :
Les experts de Semperis examinent votre plan de récupération d'activité AD existant pour comprendre les objectifs de l'entreprise, les accords de niveau de service, les scénarios de sinistre et les méthodes actuellement en place pour récupérer AD en cas de sinistre.
Les experts de Semperis analysent avec vous les objectifs de votre entreprise en cas de sinistre, tels que les objectifs de restauration et de durée maximale d'interruption, les sites distants, le nombre d'utilisateurs nécessitant un accès initial et la priorité de récupération de l'environnement dans le cas d'un sinistre impliquant plusieurs forêts. L'atelier permet également de cartographier les dépendances pour le processus de récupération. L'équipe de Semperis vous aidera à planifier différents scénarios de catastrophe cybernétique et opérationnelle dans le cadre de l'atelier, y compris l'examen du stockage hors ligne/des sauvegardes hors site, la récupération des sauvegardes en ligne lorsque cela est nécessaire, et d'autres activités de récupération similaires. Le résultat de l'atelier est un plan de récupération d'activité documenté, prêt à être présenté aux responsables de l'entreprise et comprenant les éléments suivants :
Nous recommandons d'effectuer un test complet de votre plan de reprise après sinistre AD au moins une fois par an ou lorsqu'un changement majeur intervient dans votre configuration AD. L'exercice de reprise après sinistre Active Directory comprend une simulation de cryptage de l'ensemble de l'organisation et le processus de récupération et de reprise de contrôle d'AD. Au cours de cet exercice, les experts de Semperis récupèrent vos sauvegardes de production dans un environnement de laboratoire isolé. À la fin de l'exercice, l'équipe de Semperis fournit un rapport qui décrit les résultats du test et documente les problèmes, puis révise le plan de reprise d'activité en conséquence. Vous pouvez utiliser ce rapport pour répondre aux exigences de gouvernance et de conformité.
Lorsqu'il y a une attaque contre AD, le temps presse. Les organisations qui subissent une cyberattaque sont soumises à une pression sans précédent. Lorsqu'une attaque cible le système d'identité, les opérations les plus critiques ne peuvent pas fonctionner tant qu'il n'a pas été reconstruit et rendu à nouveau fiable. Et la reconstruction de l'identité peut prendre des semaines, alors que tout le reste attend. Semperis offre des services de réponse aux incidents AD de classe mondiale, y compris la reprise après sinistre, l'enquête sur les incidents AD et l'analyse judiciaire des attaques.
Si votre environnement AD est gravement endommagé, les experts de Semperis utilisent Active Directory Forest Recovery (ADFR) pour effectuer une récupération partielle ou complète de la forêt dans une nouvelle infrastructure isolée, sans transporter le code exécutable du système d'exploitation des DC. Cette approche élimine la réintroduction de logiciels malveillants. Le processus de récupération comprend la restauration des fonctionnalités AD sur la base des procédures développées dans le cadre de la planification de la reprise après siniste Active Directory.
Suite à un incident de sécurité ayant un impact négatif sur AD, la première étape cruciale du rétablissement consiste à déterminer si des intentions et des renseignements malveillants étaient à l'origine de l'incident, constituant ainsi une attaque. Nos experts utilisent Directory Solutions Protector (DSP) et d'autres outils pour analyser les données de réplication AD et les journaux d'événements correspondants ainsi que recommander le meilleur plan d'action pour éradiquer complètement la menace de l'environnement AD.
Suite à l'analyse d'une attaque AD, les experts de Semperis recommandent des mesures pour reprendre le contrôle de l'environnement AD et éliminer la menace, y compris l'élimination des acteurs de la menace et des objets compromis/exposés pour empêcher l'attaquant de reprendre le contrôle, la réalisation d'une évaluation de la sécurité pour identifier les vulnérabilités et les expositions après le confinement, et la fourniture de mesures d'atténuation pour la réduction de la surface d'attaque AD.
La plupart des entreprises ont mis en place des plans de continuité des activités. Mais ces plans prennent rarement en compte les scénarios dans lesquels les logiciels malveillants détruisent l'infrastructure d'identité de l'entreprise ,dont Active Directory (AD) est un composant essentiel dans 90 % des entreprises dans le monde. Les cybercriminels ciblent délibérément l'AD parce que cette tactique fonctionne.
Aucun fournisseur ou prestataire de services ne peut surpasser l'expérience collective des Microsoft MVP de Semperis en matière de services d'annuaire et de politique de groupe. L'équipe Identity Forensics & Incident Response (IFIR) Services de Semperis est composée de Microsoft MVP et d'anciens Microsoft Premier Field Engineers (PFEs) ayant une expérience inégalée dans la protection des environnements Active Directory les plus sensibles au monde et une expertise approfondie dans AD on-prem, Azure AD, Okta, et d'autres systèmes d'identité d'entreprise.
Active Directory compromis, pas en panne, mais réparable
Les experts en gestion des incidents de Semperis se concentrent sur l'évaluation de l'environnement AD actuel, la correction des failles de sécurité existantes, l'éradication de l'accès des acteurs de la menace et la création d'une sauvegarde AD propre.
Active Directory compromis, pas en panne, pas réparable
L'objectif est ici d'effectuer rapidement une évaluation de la sécurité d'AD, de récupérer AD dans un environnement isolé, d'éliminer les menaces et de le restaurer dans un environnement propre.
Active Directory en panne (scénario le plus courant)
La première étape consiste à récupérer AD dans un environnement isolé et à procéder à l'analyse de la violation et à la remédiation, puis à évaluer AD, à éliminer les menaces et à rétablir la production.
Pour vous aider à répondre à une attaque en cours, Semperis combine les connaissances d'experts en sécurité des identités et en gestion des incidents avec des solutions de pointe pour protéger l'Active Directory hybride des entreprises avant, pendant et après une cyberattaque. Vous obtiendrez une réponse immédiate et experte à l'incident en cours, ainsi qu'une évaluation et une remédiation complètes pour vous prémunir contre les menaces futures.
Contactez notre équipe d'experts en gestion des incidents AD pour une action rapide sur une attaque en cours ou pour développer un plan d'amélioration de votre posture de sécurité globale.
Contacter notre équipe
En savoir plus sur la façon d'accélérer la gestion des incidents AD
Demandez une démonstration et l'un de nos experts produits vous présentera nos solutions.
Semperis dispose d'une expertise inégalée en matière de gestion en cas de violation