Sécurité Active Directory 101

La plupart des entreprises s'appuient aujourd'hui sur Microsoft Active Directory (AD) pour assurer le bon fonctionnement de leurs opérations. Mais qu'est-ce que la DA exactement ?

AD est, par essence, la passerelle reliant les employés à leurs ressources sur un réseau d'entreprise (telles que les e-mails ou les partages de fichiers réseau). Il est utilisé par les administrateurs pour gérer les autorisations de chaque utilisateur, en les authentifiant lorsqu'ils se connectent et en déterminant les ressources auxquelles ils peuvent accéder.

La DA présente de nombreux avantages. Il est facile à utiliser, existe depuis de nombreuses années et est extrêmement fiable. Pourtant, de nombreuses entreprises ne connaissent tout simplement pas les risques de sécurité qui en découlent.

Une brève histoire de la MA

Avant le lancement d'AD en 2000, les serveurs d'annuaire Microsoft IT n'évoluaient pas pour prendre en charge de manière adéquate les besoins des moyennes et grandes entreprises, et de nombreux serveurs étaient nécessaires. Une entreprise d'environ 1 000 personnes aurait pu avoir besoin de 200 serveurs différents, par exemple.

C'était un problème majeur pour les entreprises. Non seulement tous ces serveurs individuels étaient difficiles à gérer, chacun nécessitant des identifiants de connexion uniques, mais cela rendait également difficiles des activités telles que le partage de fichiers car ils ne pouvaient pas facilement communiquer entre eux.

AD a résolu ce défi. S'intégrant facilement aux applications et offrant des capacités d'authentification unique dans tout un environnement d'entreprise, il a transformé l'expérience réseau, devenant rapidement omniprésent.

Sa prévalence n'a pas changé depuis deux décennies. Plutôt que de disparaître, cette technologie vieille de près d'un quart de siècle est maintenant plus importante que jamais, servant de base à la plupart des systèmes d'identité cloud utilisés par les entreprises dans le monde.

Cependant, bien que la DA soit toujours essentielle pour la plupart des organisations dans le monde, elle est également devenue un problème de sécurité.

Pourquoi AD est un problème aujourd'hui

AD est vulnérable pour plusieurs raisons.

Premièrement, il n'a pas été conçu pour faire face à des menaces de sécurité complexes. Il a été publié à une époque antérieure aux ransomwares, aux cyber-équipements sophistiqués soutenus par les États-nations et à l'adoption généralisée du cloud computing. Il s'agit d'une technologie d'une autre époque, qui ne peut donc pas faire face efficacement à bon nombre des menaces avancées auxquelles nous sommes confrontés aujourd'hui.

Deuxièmement, AD a été conçu pour être ouvert afin de faciliter son utilisation. Il fait confiance aux utilisateurs connectés à un réseau afin de donner la priorité à une expérience utilisateur transparente. Pourtant, cette ouverture est aujourd'hui un défi délicat pour les défenseurs, présentant peu d'obstacles aux infiltrés réussis.

Troisièmement, son âge signifie que, dans de nombreux cas, il a hébergé plus de 20 ans de mauvaises décisions de sécurité prises à l'origine par souci d'opportunité qui se sont accumulées pour créer une cible massive que même les attaquants amateurs auraient du mal à manquer.

C'est pour cette raison qu'environ 90 % de toutes les entreprises sont exposées à des failles de sécurité en raison de vulnérabilités AD, et neuf sur 10 de toutes les cyberattaques impliquent AD d'une manière ou d'une autre.

De telles statistiques sont vraiment effrayantes, tout comme la simplicité des méthodes d'attaque utilisées pour cibler AD. Regardons le processus étape par étape…

1. Un attaquant compromettra un PC par hameçonnage - Un attaquant enverra un message ou un e-mail frauduleux conçu pour inciter sa cible à révéler des informations sensibles, telles que ses identifiants de connexion pour AD.
2. Ils travaillent ensuite pour obtenir des privilèges sur cette machine locale - Les attaquants peuvent élever leurs privilèges sur la machine de différentes manières, en exploitant les vulnérabilités de l'appareil.
   Ils utilisent AD pour trouver d'autres appareils - Les attaquants utilisent ensuite AD pour trouver d'autres ordinateurs, cartographiant toutes les machines connectées et utilisées au sein de ce réseau.
3. Ensuite, les attaquants s'attaquent à davantage d'appareils . À partir de là, les attaquants se déplacent sur un réseau en effectuant une reconnaissance difficile à détecter, en attaquant de nombreuses machines pour en trouver une qui dispose de droits d'administrateur AD.
4. Et enfin un accès sécurisé à un compte privilégié - Finalement, ils ont accès aux informations d'identification d'un compte privilégié ou administrateur. Une fois qu'ils ont cela, ils ont le contrôle total de l'AD et de tout ce qui en dépend.

Un exemple d'attaque AD populaire est l'attaque dite Golden Ticket. Nous connaissons tous le billet d'or du roman de Roald Dahl, Charlie et la chocolaterie. Dans le monde numérique, les Golden Tickets donnent également accès à l'environnement informatique de votre organisation. Une attaque Golden Ticket donne aux acteurs de la menace un accès illimité aux ressources en réseau et la possibilité de résider sur les réseaux indéfiniment, déguisés en utilisateurs de niveau administrateur accrédités.

Décrire la menace

AD n'est pas simplement un problème car il est facile à attaquer. De même, les récompenses pour les attaquants sont importantes.

AD détient essentiellement les clés de votre royaume. Imaginez un coffre-fort où vous stockez les clés physiques de votre bureau - AD est comme ce coffre-fort. Il s'agit de la plaque tournante centrale de l'accès à vos systèmes critiques (vos ordinateurs, applications logicielles et autres ressources).

C'est dangereux parce que c'est à la fois simple et lucratif. En 2021, une entreprise a payé une rançon pouvant atteindre 40 millions de dollars pour avoir à nouveau accès à son réseau.

Dans le même temps, les barrières à l'entrée pour les attaquants s'abaissent. Grâce à un marché en plein essor des ransomwares en tant que service (RaaS), ils n'ont plus besoin d'être techniquement avertis. Au lieu de cela, ils achètent simplement des outils et des services à ceux qui le sont.

C'est un cycle dévastateur. Les récompenses pour les attaquants augmentent tandis que les connaissances techniques nécessaires continuent de baisser, élargissant de manière exponentielle le paysage des attaques.

Il est donc facile de comprendre pourquoi une étude sur les ransomwares 2021 d'International Data Corporation a récemment révélé que plus d'un tiers (37 %) des organisations mondiales ont été victimes d'une attaque de ransomware en 2021. En effet, les chances sont fermement inclinées en faveur des attaquants. .

Comment les entreprises peuvent-elles réagir ?

Les entreprises doivent réagir pour renverser cette marée montante.

Pour minimiser vos vulnérabilités, vous devez d'abord savoir où vous êtes vulnérable. Pour de nombreuses entreprises, essayer d'acquérir cette compréhension peut sembler écrasant, en particulier pour celles qui ont peu ou pas de connaissances en matière de cybersécurité. Cependant, rassurez-vous, il existe des solutions et un soutien disponibles pour vous aider.

Purple Knight est un bon point de départ. Outil gratuit d'évaluation de la sécurité d'Active Directory conçu et géré par un groupe d'experts en identité Microsoft de premier plan, il peut vous aider à repérer les points faibles de votre Active Directory avant que les attaquants ne le fassent, en mettant en évidence les vulnérabilités courantes qui doivent être corrigées.

Une gamme complète de vulnérabilités potentielles est répertoriée dans le dernier rapport de Purple Knight. Mais pour commencer, voici quelques exemples courants :

• Dérive de configuration – La dérive de configuration est le résultat d'années de mauvaises pratiques AD. Les applications doivent être configurées dans AD pour fonctionner, mais cela prend du temps. Une solution rapide consiste à accorder trop de droits d'administration à l'application, ce que les entreprises ont toujours fait, souhaitant que leur nouvel outil brillant soit opérationnel dès que possible. En conséquence, les comptes administratifs commencent à s'accumuler dans AD. Pourtant, il suffit que l'un d'entre eux soit attaqué pour que des conséquences catastrophiques s'ensuivent.
  
• Comptes d'administrateur hérités - Les comptes d'administrateur hérités posent des problèmes similaires. Ce sont des squelettes dans le placard. Si un attaquant parvient à accéder à ces comptes privilégiés, ils reviendront vous hanter.
  
• Mots de passe faibles ou courants - Les attaquants essaieront également d'accéder à plusieurs comptes en essayant une gamme de mots de passe couramment utilisés. C'est ce qu'on appelle la pulvérisation de mots de passe, une technique qui peut facilement être contrecarrée en éliminant l'utilisation de mots de passe faibles ou courants sur votre réseau.

Bien sûr, l'identification et la résolution de ces vulnérabilités ne sont qu'une petite partie du puzzle. Pour lutter efficacement contre la menace croissante de la cybercriminalité sur le long terme, les organisations doivent adopter activement une série de meilleures pratiques.

Celles-ci peuvent inclure n'importe quoi, de la réalisation d'audits de sécurité internes réguliers et de l'apport d'améliorations opérationnelles succinctes à la formation régulière du personnel sur le phishing et à l'investissement dans des processus de récupération pour assurer un rebond rapide en cas d'attaque.

Pour obtenir de l'aide ou des conseils dans le développement d'une défense solide à tous les niveaux, il vaut la peine de consulter des professionnels dédiés spécialisés dans la sécurité AD pour comprendre les principaux changements que vous devez apporter. Les attaques Active Directory ne sont plus une question de savoir si mais quand. Si les entreprises corrigent leurs vulnérabilités AD critiques, elles ont une chance de se battre. Sinon, ils continueront à être des canards assis prêts à faire face aux pires résultats possibles.