Analyse du chemin d'attaque

Identifier et fermer les chemins d'accès aux actifs Active Directory du Tier 0

Découvrez et gérez les chemins utilisée par les acteurs de la menace pour prendre le contrôle de votre infrastructure Active Directory critique.

Gagner du temps dans la réduction du chemin d'attaque AD

Rares sont les attaquants qui prennent immédiatement le contrôle d'Active Directory. Ils commencent plutôt par utiliser des informations d'identification d'utilisateurs non privilégiés compromises pour l'accès initial. Ils se déplacent ensuite d'un système à l'autre, en utilisant des configurations erronées et des vulnérabilités, jusqu'à ce qu'ils puissent escalader leurs privilèges pour contrôler Active Directory. En vous concentrant sur les actifs les plus proches de vos ressources du Tier 0, vous pouvez gagner du temps en identifiant et en réduisant les chemins empruntés par les attaquants pour prendre le contrôle de votre Active Directory.

Selon le rapport de Enterprise Management Associates

82%

des pirates informatiques réussissent leurs tentatives d'exploitation d'Active Directory

Rapport Microsoft Digital Defense :

3,47 milliards

de menaces liées à l'identité ont été bloquées dans l'écosystème Microsoft de juillet 2021 à juin 2022

Enterprise Management Associates :

40%

des organisations ayant subi une attaque AD ont déclaré que l'attaque avait réussi

Réduction total du chemin d'attaque du Tier 0

Découvrez vos actifs Active Directory du Tier 0, qui peut y accéder et comment minimiser ces chemins d'accès.

Découvrez

Utilisez des outils gratuits tels que Forest Druid pour comprendre votre véritable frontière du Tier 0 et les chemins qui y mènent.

Éliminer

Utilisez les résultats de Purple Knight et les meilleures pratiques de sécurité de Microsoft AD pour éliminer les chemins inattendus vers le Tier 0.

Surveiller

Surveillez en permanence les « dérives de configuration » susceptibles d'introduire de nouveaux chemins d'attaque avec Directory Services Protector.

Découvrez votre véritable frontière du Tier 0

Vos contrôleurs de domaine et bien plus

Le National Cybersecurity Center du Royaume-Uni définit le Tier 0 comme « la racine de confiance sur laquelle repose toute autre administration ». Pour Active Directory, cela inclut les comptes privilégiés (tels que les administrateurs de domaine) et les contrôleurs de domaine (DC). Une analogie médiévale du Tier 0 est celle du château fort d'un royaume, où le roi et ses conseillers de confiance résident en toute sécurité. Si un acteur de la menace prend le contrôle d'un actif du Tier 0, il a le contrôle d'Active Directory (ou potentiellement du royaume). Mais le Tier 0 d'AD ne se limite pas aux administrateurs de domaine et aux DC. Qu'en est-il de la capacité à modifier les autorisations sur les conteneurs AD qui contiennent des comptes privilégiés ou des DC ? Qu'en est-il du contrôle des objets de stratégie de groupe (GPO) liés ou pouvant être liés à un objet ou à un conteneur privilégié ? Qu'en est-il du serveur Azure AD Connect et du compte de service qui synchronise les utilisateurs avec Azure AD ? Il s'agit là d'un des possibles chemins d'attaque potentiels contre AD.

Se concentrer sur les chemins d'attaque qui comptent

Les outils conventionnels d'analyse des chemins d'attaque AD adoptent une approche « extérieure » et analysent l'ensemble de l'environnement pour découvrir le petit sous-ensemble de chemins vers le Tier 0. Forest Druid, un outil gratuit conçu par les experts en sécurité des identités de Semperis, aborde l'analyse des chemins d'attaque du Tier 0 dans l'autre sens. Pourquoi se donner la peine d'analyser toutes les rues et tous les chemins du royaume alors qu'il ne s'agit que de protéger le donjon ? C'est l'approche adoptée par Forest Druid. Ce dernier présent en premier lieu une analyse du Tier 0 par défaut. Vous analysez ensuite tous les objets qui ont des chemins d'accès au Tier 0, et vous les :

ajoutez au Tier 0 (par exemple, le conteneur intégré qui contient les groupes privilégiés)
notez si nécessaire, mais surveillez attentivement le chemin parcouru (par exemple, une ancienne application de ligne de métier)
fermez le chemin (un chemin d'attaque potentiel inutile ou non autorisé)

Télécharger Forest Druid

Notre mission fait écho auprès des leaders du secteur

C'est la première fois que j'utilise Forest Druid et je suis très impressionné. Je n'ai jamais trouvé le temps d'apprendre à comprendre le fonctionnement de Bloodhound, j'apprécie donc beaucoup le fait qu'il me suffise de lancer l'outil et de cliquer sur l'interface graphique pour commencer à trouver des problèmes.
Ingénieur SOC Entreprise de vente au détail et de produits emballés

Les acteurs expérimentés attaquent les déploiements d'identité sur site pour créer une brèche systémique et passer à l'accès administrateur dans le cloud. Les organisations dans des environnements Active Directory hybrides ont besoin d'une sécurité axée sur l'identité pour protéger leurs systèmes AD et Azure AD contre les attaques. Cela nécessite une surveillance et une évaluation continues de la posture de sécurité AD et Azure AD pour se défendre contre les attaques basées sur l'identité, en partenariat avec les équipes de sécurité traditionnelles.
Alex Weinert, Vice-président de la sécurité de l'identité, Microsoft

Le meilleur outil de récupération AD en cas d'attaque de ransomware !
Lire l'avis Directeur des annuaires et des solutions IAM, Sécurité informatique et gestion des risques, Grande entreprise bancaire

Questions fréquemment posées sur l'analyse du chemin d'attaque du Tier 0

Que sont les ressources du Tier 0 ?

Les ressources du Tier 0 sont les comptes, groupes et autres ressources qui ont un contrôle administratif direct ou indirect sur une forêt Active Directory, des domaines et des contrôleurs de domaine. En accédant à ces ressources du Tier 0, les attaquants peuvent prendre le contrôle de l'ensemble du réseau.

Qu'est-ce qu'un échelon administratif ?

Microsoft a mis au point le modèle d'administration par niveaux pour Active Directory afin de rendre plus difficile l'escalade des privilèges par les acteurs de la menace, c'est-à-dire le passage d'un poste de travail à des serveurs pour dominer le domaine AD. Ce modèle comporte trois niveaux :

Le Tier 2 est composé de clients, d'imprimantes et d'appareils mobiles reliés au domaine, ainsi que des comptes qui les administrent.
Le Tier 1 contient les serveurs et les applications, ainsi que leurs comptes administratifs.
Le Tier 0 contient les serveurs (par exemple, les contrôleurs de domaine), les structures AD (telles que la stratégie de domaine par défaut GPO) et les comptes privilégiés qui prennent en charge le service Active Directory lui-même.

Cette hiérarchie est appliquée de manière à ce que les informations d'identification des niveaux supérieurs ne soient pas accessibles à partir des niveaux inférieurs (par exemple, un compte d'administrateur de domaine se connectant à un PC client, où ces informations d'identification privilégiées pourraient ensuite être récoltées par des logiciels malveillants tels que mimikatz). Pour les environnements hybrides, ce modèle a été étendu pour tenir compte de leur complexité accrue et est appelé modèle d'accès d'entreprise.

Pourquoi la protection des actifs du Tier 0 est-elle importante pour la sécurité de l'identité ?

Les ressources du Tier 0 ont le contrôle administratif d'Active Directory. Si l'une de ces ressources est compromise, un acteur de la menace peut prendre le contrôle d'Active Directory et donc de chaque ressource - serveurs, applications, bases de données, clients, autres comptes Active Directory - à l'intérieur d'Active Directory pour atteindre ses objectifs.

Pourquoi est-il important de définir le périmètre du Tier 0 ?

En raison de mauvaises configurations qui s'accumulent au fil du temps, de nombreuses organisations ont des comptes et des groupes qui ont des accès privilégiés - c'est-à-dire des actifs de niveau 0 - mais ces privilèges excessifs sont soit négligés, soit les équipes informatiques et de sécurité n'ont pas eu les ressources nécessaires pour les examiner. La découverte de ces actifs peut s'avérer difficile. Forest Druid L'outil communautaire gratuit de Semperis, le " Tier 0 ", met en lumière les comptes sensibles afin que les équipes informatiques et de sécurité puissent les marquer comme " Tier 0 " et appliquer les mesures de protection appropriées, y compris le verrouillage des privilèges ou la suppression pure et simple des comptes inutiles.

Quels sont les chemins d'attaque ?

Les chemins d'attaque sont des itinéraires qu'un acteur de la menace peut emprunter depuis l'accès initial à l'environnement (tel qu'un PC client), en passant par des étapes intermédiaires, jusqu'à la domination du domaine du Tier 0.

Existe-t-il des outils permettant de réduire plus facilement le chemin d'attaque Active Directory ?

Semperis propose un outil gratuit de découverte des chemins d'attaque du Tier 0, appelé Forest Druid, qui vous aide à découvrir les ressources vulnérables du Tier 0, à verrouiller les privilèges excessifs et à découvrir et corriger rapidement les chemins les plus dangereux, et pas seulement les plus courants.(Cliquez ici pour en savoir plus sur Forest Druid).