Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pourquoi 86 % des entreprises intensifient leurs investissements dans la sécurisation d’Active Directory

décembre 2021 par Semperis

Le regain d’attention dont la sécurisation d’Active Directory (AD) fait l’objet est du à la fréquence accrue des attaques à son encontre. Comme, par exemple, la récente succession d’attaques « Golden Ticket », notamment celle dite « Golden SAML » lancée sur SolarWinds, dans laquelle des acteurs malveillants ont créé de faux identifiants utilisateurs, imité de vrais utilisateurs et déjoué l’authentification à deux facteurs.

Dans le cas de SolarWinds, les assaillants ont réussi, par élévation de privilèges, à exploiter un accès non autorisé aux listes de contrôle Active Directory (AD). Ils ont ainsi pu opérer des déplacements latéraux sur les réseaux de leurs victimes, à la faveur des niveaux d’autorisation élevés qu’ils ont dérobés, pour accéder à des données névralgiques et les exfiltrer. Les attaques de ce type conduisent aujourd’hui les entreprises à ériger en priorité la sécurisation d’AD.

Malgré la montée en puissance des attaques AD dont la sévérité et le coût s’accentuent depuis un an, ce type d’attaque n’a, malheureusement, rien de nouveau. Les chercheurs en sécurité ont isolé les premiers exploits Golden Ticket en 2017 et les assaillants ont ciblé AD, plusieurs années durant, dans l’optique de faire main basse sur les précieuses ressources de l’entreprise. Ce phénomène s’explique surtout par deux raisons.

La première, c’est qu’AD équivaut à la clé du coffre-fort dans lequel sont stockées quantité de précieuses données.

La seconde, c’est que cette plate-forme de services d’identité basée sur un annuaire est utilisée par 90 % des entreprises du monde entier à des fins d’authentification et d’autorisation.

Afin de mieux cerner le nombre croissant de graves attaques visant AD, Semperis s’est associé à Enterprise Management Associates (EMA) pour mener une enquête auprès de 250 professionnels de l’IT et dirigeants sur la manière dont leurs entreprises organisent la riposte et sur l’évolution de leurs priorités s’agissant de la sécurisation d’AD.

Voici les principales conclusions du rapport d’étude EMA, « The Rise of Active Directory Exploits : Is It Time to Sound the Alarm ? »

1. 50 % des entreprises ont subi une attaque ciblant Active Directory au cours de ces deux dernières années.
Compte tenu de la fréquence des attaques AD, il est surprenant que 50 % seulement des professionnels interrogés en déplorent une sur le système AD de leur entreprise au cours de ces deux dernières années. D’après les estimations de Microsoft, 95 millions de comptes AD sont ciblés au quotidien par des cyberattaques.
Il est fort possible qu’une proportion significative de ces attaques soit passée inaperçue. 25 % des professionnels interrogés avouent que la détection d’attaques en direct est la première des problématiques de sécurité liées à AD. En raison d’un manque évident de visibilité, conjugué au taux élevé d’attaques ciblant AD, il est possible d’affirmer, sans être loin du compte, que les entreprises sont peut-être passées à côté d’attaques furtives. De même, certains professionnels de la sécurité n’ont peut-être pas forcément conscience du rôle que joue pourtant fréquemment AD dans les attaques par rançongiciels, qui se sont considérablement multipliées ces deux dernières années.

2. Plus de 40 % des attaques ciblant Active Directory ont fait mouche.
Chez Mandiant, les chasseurs de menaces estiment que 90 % des missions de réponse aux incidents qu’ils accomplissent au profit de leurs clients impliquent AD, soit comme vecteur à l’origine de l’attaque, soit comme cible pour assurer la persistance des attaques ou obtenir des privilèges. D’où un taux de réussite particulièrement inquiétant des attaques ciblant les déploiements AD.

3. Les tests de pénétration sont parvenus à exploiter les expositions aux vulnérabilités d’Active Directory dans 82 % des cas.
Même si les équipes en charge des opérations IT et des opérations de sécurité sont celles auxquelles incombent les évaluations et analyses, ces dernières sont périodiquement complétées par des exercices auxquels se livre en interne la Red Team (l’équipe rouge qui simule les assaillants) ou par des tests d’intrusion. Pour les 29 % de participants qui réalisent des tests de pénétration ou se livrent en interne, via une Red Team, à des exercices ciblant AD, les tentatives d’exploitation des expositions aux vulnérabilités d’AD représentent un exercice relativement courant. Pour les entreprises qui s’y adonnent, le taux de réussite est incroyablement élevé puisqu’il ressort à 82 %.

Pour repérer les vulnérabilités et cerner les types d’erreurs appelés à exposer l’entreprise, il faut justifier d’un niveau élevé d’expertise sur AD. Or, nombre d’entreprises ne possèdent pas les ressources leur permettant de mener fréquemment ce genre de missions. Les outils automatisés applicables aux tests de pénétration ne suffisent pas aux équipes de sécurité pour maintenir un dispositif de sécurité AD satisfaisant. Même avec l’expertise nécessaire, la structure complexe d’AD fait qu’il est particulièrement lourd de remédier aux expositions et vulnérabilités. Certains facteurs, comme l’absence de visibilité sur l’exposition aux vulnérabilités d’AD et les contraintes liées à cette analyse, posent des difficultés à 38 % respectivement des professionnels interrogés. 4. 86 % des entreprises prévoient d’investir davantage dans la protection d’Active Directory.

Face au nombre croissant de vulnérabilités AD exploitées qui font les gros titres de la presse (SolarWinds, rançongiciel LockBit, etc.), il n’est guère étonnant que les équipes de sécurité érigent la sécurisation d’AD en tête de leurs priorités. La fréquence accrue des attaques AD a conduit la plupart des entreprises à planifier une augmentation de leurs dépenses de sécurité, mais d’autres problématiques ont également motivé ces décisions. La pandémie a provoqué deux changements majeurs, étroitement corrélés, dans l’activité IT. Premièrement, il a fallu gérer à grande échelle le télétravail. Deuxièmement, les projets de migration dans le cloud se sont accélérés dans la plupart des entreprises.

Même si Microsoft continue à publier des mises à jour de sécurité pour AD, rien n’empêchera les attaques AD de se produire, comme en témoigne le nombre croissant d’incidents. Pour protéger leurs entreprises des menaces actuelles, les équipes de sécurité doivent améliorer leur visibilité sur la surface d’attaque AD et être en mesure de riposter dès qu’une attaque en direct est détectée. Par ailleurs, si l’audit reste une méthode de choix pour repérer et sécuriser les expositions, il ne s’agit ni de la seule méthode, ni du seul outil, que peuvent ou doivent utiliser les équipes de sécurité, au vu de leur caractère instantané en particulier. À l’heure actuelle, de nouveaux outils sont conçus pour isoler les modèles d’activités malveillantes en temps réel, au moment où les assaillants mettent tout en œuvre pour accéder aux comptes à privilèges et créer des portes dérobées.

Lancé il y a peu par Semperis, Purple Knight est un outil gratuit d’évaluation de la sécurité AD qui interroge l’environnement AD d’une entreprise et exécute une batterie de tests pour identifier les vecteurs d’attaques les plus courants et les plus dangereux afin de mettre au jour les configurations à risque et les vulnérabilités dans le domaine de la sécurité. Semperis propose également, avec Directory Services Protector, la plate-forme de détection des menaces et de réponse la plus complète qui soit pour l’Active Directory hybride.




Voir les articles précédents

    

Voir les articles suivants