Analyse du chemin d'attaque

Identifier et fermer les chemins d'accès aux actifs Active Directory du Tier 0

Découvrez et gérez les voies utilisées par les acteurs de la menace pour prendre le contrôle de votre infrastructure Active Directory critique grâce à l'analyse des voies d'attaque de niveau 0.

Gagner du temps dans la gestion du chemin d'attaque AD

Rares sont les attaquants qui prennent immédiatement le contrôle d'Active Directory. Ils commencent plutôt par utiliser des informations d'identification d'utilisateurs non privilégiés compromises pour l'accès initial aux ressources critiques. Ils se déplacent ensuite d'un système à l'autre, utilisant les mauvaises configurations et les vulnérabilités pour découvrir les chemins d'attaque possibles, jusqu'à ce qu'ils puissent escalader leurs privilèges pour contrôler votre actif le plus critique : votre Active Directory. En vous concentrant sur les actifs les plus proches de vos actifs de niveau 0, vous pouvez gagner du temps en identifiant et en réduisant les chemins empruntés par les attaquants pour prendre le contrôle de votre Active Directory.

Selon le rapport de Enterprise Management Associates
82%
des pirates informatiques réussissent leurs tentatives d'exploitation d'Active Directory
Rapport Microsoft Digital Defense :
3,47 milliards
de menaces liées à l'identité ont été bloquées dans l'écosystème Microsoft de juillet 2021 à juin 2022
Enterprise Management Associates :
40%
des organisations ayant subi une attaque AD ont déclaré que l'attaque avait réussi

Réduction total du chemin d'attaque du Tier 0

Aidez votre équipe de sécurité à découvrir vos actifs Active Directory de niveau 0 (les clés du royaume), qui peut y accéder et comment minimiser ces voies d'accès.

Découvrez

Utilisez des outils gratuits tels que Forest Druid pour comprendre votre véritable frontière de niveau 0 et les voies d'attaque potentielles qui y mènent.

Éliminer

Utiliser les résultats de Purple Knight et les meilleures pratiques de sécurité de Microsoft AD pour remédier aux chemins d'attaque vers le niveau 0, y compris les vecteurs d'attaque potentiels inattendus.

icône du globe oculaire
Surveiller

Surveiller en permanence les "dérives de configuration" susceptibles d'introduire de nouvelles voies d'attaque potentielles avec Directory Services Protector

Découvrez votre véritable frontière du Tier 0

Vos contrôleurs de domaine et bien plus

Le National Cybersecurity Center du Royaume-Uni définit le niveau 0 comme "la racine de confiance sur laquelle repose toute autre administration". Pour Active Directory, cela inclut les comptes privilégiés (tels que les administrateurs de domaine) et les contrôleurs de domaine (DC). Une analogie médiévale du niveau 0 est celle du château fort d'un royaume, où le roi et ses conseillers de confiance résident en toute sécurité. Si un acteur de la menace prend le contrôle d'un actif de niveau 0, il a le contrôle d'Active Directory (ou potentiellement du royaume). Mais le niveau 0 d'AD ne se limite pas aux administrateurs de domaine et aux DC. Qu'en est-il de la capacité à modifier les autorisations sur les conteneurs AD qui contiennent des comptes privilégiés ou des DC ? Qu'en est-il du contrôle des objets de stratégie de groupe (GPO) liés ou pouvant être liés à un objet ou à un conteneur privilégié ? Qu'en est-il du serveur Azure AD Connect et du compte de service qui synchronise les utilisateurs avec Azure AD ? Chacun de ces éléments est un vecteur d'attaque potentiel et il existe d'autres cybermenaces pour votre Active Directory.

En savoir plus
Se concentrer sur les chemins d'attaque qui comptent

Les outils conventionnels d'analyse des chemins d'attaque AD adoptent une approche « extérieure » et analysent l'ensemble de l'environnement pour découvrir le petit sous-ensemble de chemins vers le Tier 0. Forest Druid, un outil gratuit conçu par les experts en sécurité des identités de Semperis, aborde l'analyse des chemins d'attaque du Tier 0 dans l'autre sens. Pourquoi se donner la peine d'analyser toutes les rues et tous les chemins du royaume alors qu'il ne s'agit que de protéger le donjon ? C'est l'approche adoptée par Forest Druid. Ce dernier présent en premier lieu une analyse du Tier 0 par défaut. Vous analysez ensuite tous les objets qui ont des chemins d'accès au Tier 0, et vous les :

  • ajoutez au Tier 0 (par exemple, le conteneur intégré qui contient les groupes privilégiés)
  • notez si nécessaire, mais surveillez attentivement le chemin parcouru (par exemple, une ancienne application de ligne de métier)
  • fermez le chemin (un chemin d'attaque potentiel inutile ou non autorisé)
Télécharger Forest Druid
Notre mission fait écho auprès des leaders du secteur
Vente au détail

C'est la première fois que j'utilise Forest Druid et je suis très impressionné. Je n'ai jamais trouvé le temps d'apprendre à comprendre le fonctionnement de Bloodhound, j'apprécie donc beaucoup le fait qu'il me suffise de lancer l'outil et de cliquer sur l'interface graphique pour commencer à trouver des problèmes.

Ingénieur SOC Entreprise de vente au détail et de produits emballés
Microsoft

Les acteurs expérimentés attaquent les déploiements d'identité sur site pour créer une brèche systémique et passer à l'accès administrateur dans le cloud. Les organisations dans des environnements Active Directory hybrides ont besoin d'une sécurité axée sur l'identité pour protéger leurs systèmes AD et Azure AD contre les attaques. Cela nécessite une surveillance et une évaluation continues de la posture de sécurité AD et Azure AD pour se défendre contre les attaques basées sur l'identité, en partenariat avec les équipes de sécurité traditionnelles.

Alex Weinert, Vice-président de la sécurité de l'identité, Microsoft
Gartner Peer Insights

Le meilleur outil de récupération AD en cas d'attaque de ransomware !

Lire l'avis Directeur des annuaires et des solutions IAM, Sécurité informatique et gestion des risques, Grande entreprise bancaire

Questions fréquemment posées sur l'analyse du chemin d'attaque du Tier 0

Que sont les ressources du Tier 0 ?

Les ressources du Tier 0 sont les comptes, groupes et autres ressources qui ont un contrôle administratif direct ou indirect sur une forêt Active Directory, des domaines et des contrôleurs de domaine. En accédant à ces ressources du Tier 0, les attaquants peuvent prendre le contrôle de l'ensemble du réseau.

Qu'est-ce qu'un échelon administratif ?

Microsoft a mis au point le modèle d'administration par niveaux pour Active Directory afin de rendre plus difficile l'escalade des privilèges par les acteurs de la menace, c'est-à-dire le passage d'un poste de travail à des serveurs pour dominer le domaine AD. Ce modèle comporte trois niveaux :

  • Le Tier 2 est composé de clients, d'imprimantes et d'appareils mobiles reliés au domaine, ainsi que des comptes qui les administrent.
  • Le Tier 1 contient les serveurs et les applications, ainsi que leurs comptes administratifs.
  • Le Tier 0 contient les serveurs (par exemple, les contrôleurs de domaine), les structures AD (telles que la stratégie de domaine par défaut GPO) et les comptes privilégiés qui prennent en charge le service Active Directory lui-même.

Cette hiérarchie est appliquée de manière à ce que les informations d'identification des niveaux supérieurs ne soient pas accessibles à partir des niveaux inférieurs (par exemple, un compte d'administrateur de domaine se connectant à un PC client, où ces informations d'identification privilégiées pourraient ensuite être récoltées par des logiciels malveillants tels que mimikatz). Pour les environnements hybrides, ce modèle a été étendu pour tenir compte de leur complexité accrue et est appelé modèle d'accès d'entreprise.

 

 

Pourquoi la protection des actifs du Tier 0 est-elle importante pour la sécurité de l'identité ?

Les ressources du Tier 0 ont le contrôle administratif d'Active Directory. Si l'une de ces ressources est compromise, un acteur de la menace peut prendre le contrôle d'Active Directory et donc de chaque ressource - serveurs, applications, bases de données, clients, autres comptes Active Directory - à l'intérieur d'Active Directory pour atteindre ses objectifs.

 

Pourquoi est-il important de définir le périmètre du Tier 0 ?

En raison de mauvaises configurations qui s'accumulent au fil du temps, de nombreuses organisations ont des comptes et des groupes qui ont des accès privilégiés - c'est-à-dire des actifs de niveau 0 - mais ces privilèges excessifs sont soit négligés, soit les équipes informatiques et de sécurité n'ont pas eu les ressources nécessaires pour les examiner. La découverte de ces actifs peut s'avérer difficile. Forest Druid L'outil communautaire gratuit de Semperis, le " Tier 0 ", met en lumière les comptes sensibles afin que les équipes informatiques et de sécurité puissent les marquer comme " Tier 0 " et appliquer les mesures de protection appropriées, y compris le verrouillage des privilèges ou la suppression pure et simple des comptes inutiles.

Quels sont les chemins d'attaque ?

Les chemins d'attaque sont des itinéraires qu'un acteur de la menace peut emprunter depuis l'accès initial à l'environnement (tel qu'un PC client), en passant par des étapes intermédiaires, jusqu'à la domination du domaine du Tier 0.

Existe-t-il des outils permettant de réduire plus facilement le chemin d'attaque Active Directory ?

Semperis propose un outil gratuit de découverte des chemins d'attaque du Tier 0, appelé Forest Druid, qui vous aide à découvrir les ressources vulnérables du Tier 0, à verrouiller les privilèges excessifs et à découvrir et corriger rapidement les chemins les plus dangereux, et pas seulement les plus courants.(Cliquez ici pour en savoir plus sur Forest Druid).

Réduire les chemins d'attaque du Tier 0

Prêt à gagner du temps pour fermer les chemins d'attaque vers les ressources Active Directory du Tier 0 ?

Télécharger Forest Druid
Notre mission fait écho auprès des leaders du secteur

Découvrez d'autres solutions de sécurité et de récupération AD