Mesures de sécurité d'Active Directory pour les administrations locales et d'État et l'enseignement aux États-Unis

[Note de la rédaction : cet article est une contribution du PDG et fondateur de TAG, Ed Amoroso].

Le soutien à la cybersécurité englobe un large éventail d'obligations, allant de la documentation sur la conformité à la formation des utilisateurs. Mais l'aspect le plus difficile - et le plus essentiel - de la sécurité de Microsoft Active Directory (AD) concerne la détection des attaques, avant, pendant et après leur déclenchement. Sans cette capacité, les équipes de tous les secteurs - y compris l'administration publique et l'éducation (aka SLED) - présenteront de sérieuses lacunes opérationnelles en matière de sécurité.

L'équipe de recherche et de conseil de TAG suit régulièrement les questions soulevées par les clients de notre équipe de sécurité d'entreprise. Il ne fait aucun doute que les défis liés à la sécurisation d'Active Directory figurent parmi les problèmes les plus importants soulevés par les équipes dirigées par le responsable de la sécurité de l'information (CISO). Cela ne devrait pas surprendre les praticiens qui examinent les attaques courantes, dont beaucoup utilisent l'AD comme ressource essentielle de compromission.

AD constitue l'épine dorsale de la gestion des identités et des accès (IAM) pour la plupart des entreprises, ce qui en fait une cible de choix pour les attaques. Comme AD contrôle les autorisations et l'accès aux systèmes, applications et données critiques, toute compromission peut entraîner des failles de sécurité, notamment une escalade des privilèges, un vol de données ou même un ransomware. Il est donc essentiel de renforcer la sécurité d'AD pour protéger les opérations de l'entreprise, en particulier à mesure que les organisations évoluent vers des réseaux hybrides.

En outre, les attaquants exploitent souvent les mauvaises configurations d'AD, les vulnérabilités non corrigées ou les informations d'identification volées, ce qui leur permet de se déplacer latéralement et de prendre le contrôle des ressources. Étant donné le rôle que joue AD dans l'accès des utilisateurs, il est essentiel d'assurer la sécurité pour maintenir une position sûre. Chez TAG, nous avons appris que les stratégies de sécurité modernes doivent donner la priorité au renforcement de l'AD, à la surveillance continue et à la détection rapide pour empêcher les accès non autorisés.

Qu'est-ce que la détection des attaques AD ?

La détection des attaques AD consiste à surveiller et à identifier les signes d'activités malveillantes ciblant AD. Il s'agit notamment de détecter les comportements anormaux, les élévations de privilèges ou les tentatives d'exploitation des vulnérabilités de l'AD. Les solutions de détection des attaques s'appuient sur la surveillance en temps réel, l'intelligence artificielle et l'analyse comportementale pour repérer les indicateurs de compromission (IOC) tels que les modifications non autorisées des stratégies de groupe, les connexions anormales ou les attributions de privilèges inattendues.

Ces méthodes de détection sont cruciales pour atténuer les attaques à un stade précoce, en particulier compte tenu de la persistance des menaces avancées telles que les ransomwares, pour lesquels l'AD est souvent une cible de grande valeur. Une détection efficace des attaques AD permet aux équipes de sécurité de répondre rapidement aux violations potentielles, limitant ainsi les dommages et préservant la sécurité des actifs critiques au sein d'une organisation. TAG classe désormais la sécurité AD dans sa propre catégorie de solutions afin de mettre l'accent sur ces points.

Les cybermenaces actuelles pour le secteur de l'État, des collectivités locales et de l'éducation

Si tous les secteurs considèrent la sécurité informatique comme une préoccupation essentielle, nous avons observé qu'un secteur critique, à savoir l'État, les collectivités locales et l'éducation, est confronté à un ensemble de défis particulièrement difficiles à relever. Il convient de mentionner que notre équipe d'analystes chez TAG entretient des relations étroites dans ce secteur grâce à des postes de professeurs et à d'autres nominations dans divers établissements d'État et d'enseignement.

Ce que nous constatons dans ce secteur, c'est un nombre croissant de cybermenaces, dues à des ressources souvent limitées et à une infrastructure vieillissante. Les ransomwares restent une menace importante, les attaquants exploitant les vulnérabilités de l'AD pour obtenir un accès et exiger un paiement en échange du décryptage des données. Les administrations publiques, les collectivités locales et les établissements d'enseignement sont aussi fréquemment la cible d'hameçonnages visant à voler des informations d'identification, ce qui peut compromettre l'AD et permettre aux attaquants de se déplacer latéralement sur les réseaux.

Une gestion insuffisante des correctifs et des politiques de mots de passe faibles exposent également les institutions SLED à un large éventail d'attaques. Avec l'essor des modèles de travail hybrides et des initiatives de transformation numérique, les environnements de l'État, des gouvernements locaux et de l'éducation étendent leur utilisation de la technologie, y compris dans les salles de classe, ce qui les rend encore plus susceptibles d'être attaqués. Compte tenu de ces vulnérabilités, une approche proactive de la sécurité d'Active Directory est essentielle pour maintenir la résilience de ces services critiques.

Soutien des agences fédérales américaines à la sécurité informatique dans les administrations publiques locales et d'État et dans le secteur de l'éducation

Bien qu'aucune agence fédérale ou organisme de réglementation américain n'impose exclusivement la sécurité des DA, de nombreuses réglementations et cadres dans le secteur public, y compris dans les environnements de l'État, des collectivités locales et de l'éducation, mettent l'accent sur des pratiques de cybersécurité qui couvrent intrinsèquement la sécurité des DA. Cela implique que les équipes de sécurité du secteur SLED doivent prendre l'initiative de tirer parti des réglementations clés pour renforcer la cybersécurité des DA. Il s'agit notamment des cadres suivants :

1. (Politique de sécurité des services d'information de la justice pénale (CJIS). Gérée par le FBI, cette politique décrit les contrôles de sécurité pour les systèmes traitant des informations de justice pénale. Étant donné qu'AD est souvent utilisé dans ces systèmes pour le contrôle d'accès, la sécurisation d'AD est essentielle pour la conformité.
2. Loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). Dans les environnements de soins de santé publics (par exemple, les hôpitaux d'État ou de comté), l'HIPAA impose des mesures de sécurité strictes pour le traitement des informations de santé protégées (PHI). Dans ces environnements, la sécurisation de l'AD est essentielle pour gérer l'accès aux PHI.
3. NIST 800-53 et NIST Cybersecurity Framework. Ces cadres, largement adoptés par les agences gouvernementales, fournissent des contrôles de sécurité qui ont un impact sur les environnements AD, tels que l'IAM, la réponse aux incidents et la surveillance continue.
4. Loi fédérale sur la gestion de la sécurité de l'information (FISMA). Bien qu'elle s'applique principalement aux agences fédérales, la FISMA a un effet en aval sur les gouvernements étatiques et locaux qui reçoivent des fonds fédéraux. Elle exige des mesures de sécurité adéquates pour les systèmes d'information, ce qui rend la sécurité des AD essentielle pour la conformité.
5. Réglementations spécifiques aux États. Certains États, comme la Californie (via le California Consumer Privacy Act [CCPA]) et New York (via le SHIELD Act), ont leurs propres réglementations en matière de cybersécurité qui affectent les environnements SLED. La sécurité des DA devient souvent un élément clé de la conformité dans le cadre de ces mandats de cybersécurité plus larges.

En résumé, bien qu'il n'y ait pas d'exigence explicite et directe en matière de sécurité AD dans les environnements SLED (du moins à notre connaissance chez TAG), la conformité aux réglementations fédérales, étatiques et sectorielles plus larges en matière de cybersécurité l'exige indirectement en raison du rôle central que joue AD dans la gestion des identités et de l'accès des utilisateurs.

Utilisation de Semperis pour la sécurité AD dans le secteur SLED

Pour l'État, les collectivités locales et l'éducation, des solutions avancées de sécurité Active Directory sont disponibles pour protéger, détecter et récupérer les attaques liées à AD.

La société de cybersécurité Semperis, fondéeen 2014 par une équipe d'experts en cybersécurité dirigée par Mickey Bresman, Guy Teverovsky et Matan Liberman, se concentre spécifiquement sur la cybersécurité axée sur l'identité, avec des solutions pour sécuriser Active Directory. Semperis a développé un ensemble d'outils de classe mondiale, dont Directory Services Protector ( DSP), conçu pour assurer une surveillance continue et une protection en temps réel des environnements AD.

La plateforme de résilience des identités de Semperis offre une détection automatisée des menaces, une surveillance en temps réel et des capacités de réponse qui aident à atténuer les risques tels que l'abus de privilèges, les ransomwares et l'exploitation d'AD. La plateforme garantit que toute modification non autorisée apportée à AD est identifiée et signalée immédiatement aux équipes SLED.

En plus de la détection et de la surveillance, Semperis donne également aux administrations publiques et aux établissements d'enseignement la possibilité d'utiliser des outils de reprise après sinistre pour restaurer rapidement les environnements AD compromis, ce qui est une priorité évidente dans ce secteur. Compte tenu des ressources informatiques limitées qui sont si courantes dans de nombreux environnements SLED, l'automatisation et la facilité d'utilisation de Semperis sont cruciales pour garantir que les équipes de sécurité puissent garder le contrôle et se remettre des incidents avec un temps d'arrêt minimal.

Plan d'action pour les responsables de la cybersécurité dans le cadre du programme SLED

TAG conseille aux RSSI des institutions SLED de donner la priorité à une approche de sécurité à plusieurs niveaux qui met l'accent sur la sécurité d'AD. Cela commence par des audits et des évaluations réguliers afin d'identifier et de corriger les vulnérabilités dans AD, telles que les mauvaises configurations ou les politiques obsolètes. La mise en œuvre de solutions de surveillance continue telles que Semperis pour détecter les activités anormales en temps réel est cruciale pour maintenir une défense proactive.

Les RSSI de l'État, des collectivités locales et de l'éducation doivent également s'assurer que leurs équipes sont formées et préparées à répondre aux violations liées à l'AD. La meilleure façon d'y parvenir est de déployer une plateforme de sécurité AD de classe mondiale, et notre recommandation est que Semperis réponde à cette exigence. Les lecteurs sont invités à contacter les analystes de recherche et de conseil de TAG pour obtenir de l'aide dans leur sélection de source, ou vous pouvez contacter Semperis directement.

Vous avez besoin d'aide pour améliorer la sécurité informatique dans votre agence gouvernementale locale ou nationale ou dans votre école ? Contactez notre équipe d'experts AD.

À propos de TAG : Reconnu par Fast Company, TAG est une société de recherche et de conseil de nouvelle génération qui utilise une plateforme SaaS alimentée par l'IA pour fournir des informations, des conseils et des recommandations à la demande aux équipes d'entreprises, aux agences gouvernementales et aux fournisseurs commerciaux dans les domaines de la cybersécurité, de l'intelligence artificielle et de la science du climat.

Plus de ressources

• Amélioration de la sécurité des AD pour un district scolaire du Missouri avec Purple Knight
• Comment les écoles peuvent-elles se défendre contre les ransomwares ?
• Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory