Récemment, des chercheurs d’agences de cybersécurité nationales d’Australie, du Canada, de Nouvelle-Zélande, des États-Unis et du Royaume-Uni ont publié un rapport important, intitulé Detecting and Mitigating Active Directory Compromises (Détection et atténuation des compromissions d’Active Directory). Lorsque vous le lirez, accrochez-vous.
Le rapport propose une analyse approfondie de la complexité d’Active Directory (AD) et des défis de sécurité associés. Ses conclusions sont brutales et sans concessions. Et si votre entreprise a déployé Active Directory depuis un certain nombre d’années, il est probable que ce rapport suscitera des inquiétudes en ce qui concerne les vulnérabilités et les erreurs de configuration qui sévissent dans votre instance d’AD. Bien évidemment, maintenant que vous êtes conscient de l’existence de ces failles, il faudrait probablement prendre les mesures qui s’imposent.
Une clé du succès des cybercriminels
Dans le secteur de la cybersécurité, on a coutume de dire en plaisantant qu’AD est tellement utile aux cybercriminels qu’il devrait être considéré comme l’un de leurs outils majeurs, au même titre que Mimikatz, BloodHound, Impacket et d’autres. Ce trait d’humour est révélateur d’une vérité plus large, soulignée par les auteurs dans leur introduction :
« Les cybercriminels effectuent souvent l’énumération d’Active Directory pour extraire des informations après avoir obtenu un accès initial à un environnement avec Active Directory. À l’aide des informations récoltées, ils cherchent à déterminer la structure, les objets, les configurations et les relations propres à chaque entreprise. Ce faisant, les cyberpirates parviennent parfois à mieux appréhender l’environnement Active Directory de l’entreprise que l’entreprise elle-même. »
Pourquoi la sécurité et les bonnes pratiques en matière d’AD sont-elles si importantes ? Tout simplement parce que les cybercriminels nous montrent encore et encore qu’elles le sont. Rien que cette année, de nombreuses compromissions de grande envergure qui ont été rendues publiques étaient liées à l’exploitation et à l’utilisation d’AD pour les déplacements latéraux et l’élévation des privilèges. Parmi ces compromissions de données à grande échelle, citons :
- Compromission de Microsoft par Midnight Blizzard
- Compromission de TeamViewer par Cozy Bear
- Attaques de ransomwares par Black Basta
Les cybercriminels doivent se déplacer latéralement tout au long de la chaîne d’attaque, depuis le point d’entrée initial jusqu’à leur objectif ultime, qui est le plus souvent l’exfiltration de données ou le déploiement de ransomwares. Dans cette perspective, il est facile de comprendre pourquoi l’accès à AD et l’exploitation de cette ressource sont aussi critiques pour la réussite d’une attaque.
Barrières au contournement d’AD
Vous envisagez de vous débarrasser d’AD et de migrer vers le cloud pour résoudre tous ces défis de sécurité liés à AD ? C’est effectivement le choix que posent certaines entreprises. Pour les start-ups et les petites entreprises, une approche 100 % cloud peut être une stratégie viable.
Toutefois, la grande complexité de la migration peut en faire une tâche herculéenne. La gestion des identités et des accès doit être totalement repensée. Il faut respecter les exigences réglementaires et de conformité, notamment en matière de résidence des données. Sans compter les défis majeurs que constituent le temps d’adaptation des collaborateurs et les perturbations opérationnelles lors de la transition. De plus, tout cela a bien évidemment un coût. Avec autant de barrières au changement, il est probable qu’AD et les problèmes de sécurité associés vont perdurer dans la plupart des entreprises dans un avenir proche.
Une voie à suivre
L’une des causes de la situation difficile dans laquelle se trouvent les entreprises est le manque de gouvernance historique sur les implémentations d’AD. Ce problème prend de l’ampleur au fil des années, voire des décennies, dans la plupart des organisations, alimenté par une série de défis connexes. Les administrateurs d’AD vont et viennent. Les priorités métier et les applications associées changent. Des raccourcis en matière de droits sont implémentés et jamais supprimés. Des fusions et acquisitions se produisent. Au milieu de tout cela, le nettoyage d’AD est rarement une priorité.
En conséquence, ses autorisations et configurations deviennent tellement complexes et interdépendantes que les administrateurs appréhendent souvent d’entamer ce processus de nettoyage. En effet, ils n’ont généralement aucune visibilité sur les processus métier qu’ils risquent de perturber ce faisant. De même, ils ne savent pas quels risques sont prioritaires et quels comptes et droits donnent directement accès à leurs actifs informatiques les plus précieux.
Ce dont les entreprises ont réellement besoin, c’est d’un système qui découvre, priorise et corrige en contenu les risques liés à AD, de même que les risques de sécurité liés aux identités. C’est exactement ce que permettent les solutions de détection et de neutralisation des menaces liées aux identités (ITDR). Proofpoint Identity Threat Defense en est un bon exemple.
La perspective Proofpoint
La seule lacune de ce rapport, de mon point de vue, est que j’aurais souhaité que les auteurs mettent plus en avant la catégorie émergente du secteur de la sécurité que sont les ITDR. S’il est normal que les représentants d’autorités publiques ne fassent pas preuve de favoritisme vis-à-vis des divers éditeurs de solutions, je pense tout de même qu’une allusion à l’ITDR et à ses atouts pour contrer les vulnérabilités d’AD aurait été bénéfique pour le lecteur.
Pour Proofpoint, une solution ITDR doit offrir une couverture continue et une visibilité totale sur les vulnérabilités et erreurs de configuration d’AD en matière d’identité. Mais ce n’est pas tout. Elle doit aussi couvrir les endpoints et utiliser d’autres systèmes d’identité, tels que la gestion des accès à privilèges (PAM), pour offrir la vue la plus complète sur la sécurité des identités.
En parallèle, les systèmes ITDR doivent prendre en charge les aspects détection et réponse. En d’autres mots, ils doivent pouvoir détecter les cybercriminels qui essaient de se déplacer latéralement et d’élever les privilèges à leur insu. En outre, les responsables des investigations numériques doivent avoir accès à des données ad hoc en temps réel afin de pouvoir éjecter le cybercriminel avant que celui-ci ne cause de vrais dégâts.
En savoir plus
Pour un avis d’expert et objectif sur les risques qu’implique Active Directory pour une entreprise, consultez cette nouvelle publication.
Pour en savoir plus sur la façon dont Proofpoint peut vous aider à mettre de l’ordre dans votre implémentation d’AD, consultez notre page Web consacrée à Proofpoint Identity Threat Defense.