Tout ce dont un attaquant a besoin, c'est de temps et de motivation pour pénétrer votre réseau. Mais notre travail avec vous est de l'empêcher de faire cela, ou du moins de compliquer cette tâche autant que possible. Vous devez commencer par identifier les faiblesses d'Active Directory (ci-après dénommées AD) qu'un attaquant peut utiliser pour accéder et se déplacer sur le réseau, sans être détecté. Aujourd'hui, dans cet article, nous allons examiner les indicateurs de risque qui reflètent les vulnérabilités existantes dans la cyberdéfense de votre organisation, en utilisant le tableau de bord AD Varonis comme exemple.
Les attaquants utilisent des configurations spécifiques dans le domaine
Les attaquants utilisent de nombreuses astuces et vulnérabilités pour pénétrer le réseau d'entreprise et augmenter les privilèges. Certaines de ces vulnérabilités sont des paramètres de configuration de domaine qui peuvent être facilement modifiés après avoir été identifiés.
Le tableau de bord AD vous avertira immédiatement si vous (ou vos administrateurs système) n'avez pas changé le mot de passe KRBTGT le mois dernier, ou si quelqu'un s'est authentifié avec le compte Administrateur par défaut intégré (Administrateur). Ces deux comptes offrent un accès illimité à votre réseau: les attaquants tenteront d'y accéder pour contourner librement toute distinction de privilèges et d'autorisations d'accès. Et, par conséquent, pour accéder à toutes les données qui les intéressent.
Bien sûr, vous pouvez détecter ces vulnérabilités vous-même: par exemple, définissez un rappel de calendrier pour vérification ou exécutez un script PowerShell pour collecter ces informations.
Le tableau de bord Varonis est
automatiquement mis à jour pour fournir un affichage et une analyse rapides des mesures clés qui mettent en évidence les vulnérabilités potentielles afin que vous puissiez prendre des mesures immédiates.
3 indicateurs clés de risque au niveau du domaine
Vous trouverez ci-dessous un certain nombre de widgets disponibles sur le tableau de bord Varonis, dont l'utilisation renforcera considérablement la protection du réseau d'entreprise et de l'infrastructure informatique dans son ensemble.
1. Le nombre de domaines pour lesquels le mot de passe du compte Kerberos n'a pas changé de manière significativeLe compte KRBTGT est un compte spécial dans AD qui signe tous les
tickets Kerberos . Les attaquants qui ont accès à un contrôleur de domaine (DC) peuvent utiliser ce compte pour créer un
ticket Golden , qui leur donnera un accès illimité à presque tous les systèmes du réseau d'entreprise. Nous avons été confrontés à une situation où, après avoir reçu avec succès le Golden Ticket, l'attaquant a eu accès au réseau de l'organisation pendant deux ans. Si le mot de passe du compte KRBTGT dans votre entreprise n'a pas changé au cours des quarante derniers jours, le widget vous en informera.
Quarante jours, c'est plus que suffisant pour qu'un attaquant puisse accéder au réseau. Cependant, si vous fournissez et standardisez régulièrement le processus de modification de ce mot de passe, cela compliquera considérablement la tâche d'un attaquant pour pénétrer le réseau de l'entreprise.
N'oubliez pas que conformément à la mise en œuvre du protocole Kerberos par Microsoft, vous devez
modifier le mot de passe KRBTGT deux fois.
À l'avenir, ce widget AD vous rappellera quand il sera temps de changer à nouveau le mot de passe KRBTGT pour tous les domaines de votre réseau.
2. Nombre de domaines utilisant récemment le compte administrateur intégréSelon le
principe des moindres privilèges , deux comptes sont fournis aux administrateurs système: le premier est un compte pour une utilisation quotidienne et le second pour les travaux administratifs planifiés. Cela signifie que personne ne devrait utiliser le compte administrateur par défaut.
Un compte administrateur intégré est souvent utilisé pour simplifier le processus d'administration système. Cela peut être une mauvaise habitude, entraînant un piratage. Si cela se produit dans votre organisation, il vous sera difficile de distinguer la bonne utilisation de ce compte de l'accès potentiellement malveillant.
Si le widget affiche autre chose que zéro, cela signifie que quelqu'un ne fonctionne pas correctement avec les comptes administratifs. Dans ce cas, vous devez prendre des mesures pour corriger et restreindre l'accès au compte administrateur intégré.
Une fois que vous avez atteint une valeur nulle pour le widget et que les administrateurs système n'utilisent plus ce compte pour leur travail, à l'avenir, tout changement dans celui-ci indiquera une cyberattaque potentielle.
3. Le nombre de domaines dans lesquels il n'y a pas de groupe d'utilisateurs protégés (utilisateurs protégés)Les anciennes versions d'AD prenaient en charge un type de cryptage faible - RC4. Les pirates ont piraté RC4 il y a de nombreuses années, et maintenant pour un attaquant de pirater un compte qui utilise toujours RC4 est une tâche triviale. La version d'Active Directory introduite dans Windows Server 2012 a introduit un groupe d'utilisateurs d'un nouveau type appelé le groupe d'utilisateurs protégés. Il fournit des outils de sécurité supplémentaires et empêche l'authentification des utilisateurs à l'aide du cryptage RC4.
Ce widget montrera s'il n'y a pas un tel groupe dans aucun domaine de l'organisation afin que vous puissiez le corriger, c'est-à -dire activer un groupe d'utilisateurs protégés et l'utiliser pour protéger l'infrastructure.
Cibles légères pour les attaquants
Les comptes d'utilisateurs sont la cible numéro un des attaquants - depuis les premières tentatives de pénétration jusqu'à l'escalade continue des privilèges et la dissimulation de leurs actions. Les attaquants recherchent des cibles simples sur votre réseau à l'aide des commandes PowerShell de base, souvent difficiles à détecter. Retirez autant de ces cibles lumineuses de AD que possible.
Les attaquants recherchent des utilisateurs avec des mots de passe illimités (ou qui n'ont pas besoin de mots de passe), des comptes technologiques qui sont des administrateurs et des comptes qui utilisent l'ancien cryptage RC4.
L'accès à l'un de ces comptes est insignifiant ou, en règle générale, n'est pas surveillé. Les attaquants peuvent pirater ces comptes et se déplacer librement dans votre infrastructure.
Une fois que les attaquants ont pénétré le périmètre de sécurité, ils sont susceptibles d'accéder à au moins un compte. Pouvez-vous les empêcher d'accéder à des données sensibles avant de détecter et de mettre fin à l'attaque?
Le tableau de bord Varonis AD pointera vers les comptes d'utilisateurs vulnérables afin que vous puissiez résoudre les problèmes à l'avance. Plus il est difficile de pénétrer à l'intérieur de votre réseau, plus vous avez de chances de neutraliser un attaquant avant qu'il ne fasse de gros dégâts.
4 indicateurs de risque clés pour les comptes utilisateurs
Voici des exemples de widgets dans le tableau de bord Varonis AD qui indiquent les comptes d'utilisateurs les plus vulnérables.
1. Le nombre d'utilisateurs actifs avec des mots de passe qui n'expirent jamaisPour tout attaquant, accéder à un tel compte est toujours un grand succès. Étant donné que le mot de passe n'expire jamais, l'attaquant obtient un point d'ancrage permanent au sein du réseau, qui peut ensuite être utilisé pour
augmenter les privilèges ou se déplacer dans l'infrastructure.
Les attaquants ont des listes avec des millions de combinaisons utilisateur-mot de passe qu'ils utilisent dans les attaques de substitution d'informations d'identification, et la probabilité
que la combinaison pour l'utilisateur avec le mot de passe "éternel" figure dans l'une de ces listes, bien plus que zéro.
Les comptes dont les mots de passe n'expirent pas sont faciles à gérer, mais ils ne sont pas sécurisés. Utilisez ce widget pour trouver tous les comptes qui ont ces mots de passe. Modifiez ce paramètre et mettez à jour le mot de passe.
Dès que la valeur de ce widget devient nulle, tout nouveau compte créé avec ce mot de passe apparaîtra sur le tableau de bord.
2. Le nombre de comptes administratifs avec SPNSPN (Service Principal Name) est un identifiant unique pour une instance d'un service. Ce widget montre combien de comptes de service ont des droits d'administrateur complets. La valeur sur le widget doit être nulle. Un SPN avec des droits d'administrateur se produit parce que l'octroi de ces droits est pratique pour les fournisseurs de logiciels et les administrateurs d'applications, mais cela pose un risque pour la sécurité.
L'octroi de privilèges d'administrateur de compte de service permet à un attaquant d'obtenir un accès complet à un compte non utilisé. Cela signifie que les attaquants ayant accès aux comptes SPN peuvent agir librement à l'intérieur de l'infrastructure et en même temps éviter de surveiller leurs actions.
Vous pouvez résoudre ce problème en modifiant les autorisations pour les comptes de service. Ces comptes doivent obéir au principe du moindre privilège et ne disposer que de l'accès réellement nécessaire à leur travail.
En utilisant ce widget, vous pouvez trouver tous les SPN qui ont des droits d'administrateur, éliminer ces privilèges et contrôler davantage le SPN, guidé par le même principe d'accès avec le moins de privilèges.
Le SPN nouvellement apparu sera affiché sur le tableau de bord, et vous pouvez contrôler ce processus.
3. Nombre d'utilisateurs qui ne nécessitent pas de pré-authentification KerberosIdéalement, Kerberos crypte un ticket d'authentification à l'aide du cryptage AES-256, qui reste intact à ce jour.
Cependant, les anciennes versions de Kerberos utilisaient le cryptage RC4, qui peut désormais être craqué en quelques minutes. Ce widget montre quels comptes d'utilisateurs utilisent encore RC4. Microsoft prend toujours en charge RC4 pour la compatibilité descendante, mais cela ne signifie pas que vous devez l'utiliser dans votre AD.
Une fois que vous avez trouvé de tels comptes, vous devez décocher la case «Ne nécessite pas de pré-autorisation Kerberos» dans AD afin que les comptes utilisent un cryptage plus complexe.
La découverte de ces comptes sans le tableau de bord Varonis AD prend beaucoup de temps. En réalité, être informé en temps opportun de tous les comptes modifiés pour utiliser le cryptage RC4 est une tâche encore plus difficile.
Si la valeur du widget change, cela peut indiquer des actions illégales.
4. Le nombre d'utilisateurs sans mot de passeLes attaquants utilisent les commandes PowerShell de base pour lire l'indicateur "PASSWD_NOTREQD" dans les propriétés AD des propriétés du compte. L'utilisation de cet indicateur signifie qu'il n'y a aucune exigence pour la présence ou la complexité d'un mot de passe.
Est-il facile de voler un compte avec un mot de passe simple ou vierge? Imaginez maintenant que l'un de ces comptes soit un administrateur.
Et si l'un des milliers de fichiers confidentiels ouverts Ă tous est un prochain rapport financier?
Ignorer l'exigence de saisie obligatoire du mot de passe est un autre raccourci vers l'administration système qui a souvent été utilisé dans le passé, mais aujourd'hui, il est inacceptable et dangereux.
Résolvez ce problème en mettant à jour les mots de passe de ces comptes.
La surveillance de ce widget Ă l'avenir vous aidera Ă Ă©viter les comptes d'utilisateurs sans mot de passe.
Varonis Ă©galise les chances
Dans le passé, le travail de collecte et d'analyse des métriques dans l'article prenait de nombreuses heures et nécessitait une connaissance approfondie de PowerShell: les spécialistes de la sécurité devaient allouer des ressources pour ces tâches chaque semaine ou chaque mois. Mais la collecte et le traitement manuels de ces informations donnent aux attaquants une longueur d'avance pour la pénétration et le vol de données.
Avec
Varonis, vous passerez une journée à déployer le tableau de bord AD et des composants supplémentaires, pour collecter toutes les vulnérabilités considérées et bien d'autres. À l'avenir, pendant le fonctionnement, le tableau de bord sera automatiquement mis à jour à mesure que l'état de l'infrastructure change.
La conduite de cyberattaques est toujours une course entre les attaquants et les défenseurs, le désir d'un attaquant de voler des données avant que les experts en sécurité puissent en bloquer l'accès. La détection précoce des cybercriminels et de leurs actions illégales, combinée à une forte cyberdéfense, est la clé pour garantir la sécurité de vos données.