Commençons par une petite leçon d'histoire... En 2014, une série d'articles appelait au démantèlement et à la mort d'Active Directory (AD) pour diverses raisons. En 2018, des appels ont été lancés en faveur de sa disparition, ou simplement pour que les entreprises prennent leurs serveurs AD, les jettent du haut de la falaise et sautent dans le train des services d'annuaire gérés et de l'identité en tant que service dans le cloud...
Aujourd'hui, si vous écoutez certains fournisseurs d'identité, ils vous expliqueront que l'AD a 20 ans et qu'il doit être mis à la retraite et réduit à des bâtons de colle parce qu'ils peuvent s'occuper de tout. Et qui a besoin de s'occuper des imprimantes partagées et de tous ces détails au bureau ? Ce n'est pas grave, le nuage s'en charge, et tout ce qui manque, ils s'en occuperont, OU ce n'est pas grave.
Hmmm, un retour à la réalité, s'il vous plaît.
Tout d'abord, oui, Active Directory nous accompagne depuis environ 20 ans, et il a évolué, mûri et s'est enrichi de multiples facettes pour pouvoir gérer un grand nombre des complexités modernes que nous lui avons imposées. Il n'est pas parfait, pas plus que tout ce qui existe, mais il est capable de fonctionner dans le cadre d'une solution hybride pour prendre en charge un grand nombre des applications liées au cloud que nous utilisons tous.
Deuxièmement, quiconque pense que des ressources telles que les imprimantes "se débrouilleront toutes seules" doit se faire examiner la tête. En tant que pirate informatique, les imprimantes sont l'un de mes endroits préférés pour traîner, cartographier le paysage, surveiller le bureau, récolter, collecter et exfiltrer des données... elles sont géniales. Personne n'aime les équiper d'antivirus, les patcher ou même les ajouter à des règles de verrouillage du réseau parce qu'elles sont pénibles à gérer... ce qui signifie qu'elles sont comme un siège au premier rang à l'opéra pour quiconque a une mentalité d'attaquant.
Troisièmement, vous devez être hors de vous si vous pensez que ce que vous avez aujourd'hui peut être enlevé et remis à une organisation de gestion de l'identité. Oui, une grande partie de ce qu'ils font est excellente et complète une partie de l'architecture AD. Ils ajoutent une couche et fournissent des mécanismes d'authentification supplémentaires qu'AD ne possède tout simplement pas. Mais il est certain que cela ne va pas gérer tous vos systèmes, architectures, partages, environnements et nuances au sein de votre entreprise.
Ce qui nous amène à la section "Pourquoi"...
Comme indiqué ci-dessus au troisième point, Active Directory est complexe et vaste. Il a plus de tentacules dans votre entreprise que Cthulhu dans un bon jour, ce qui signifie qu'il a des vulnérabilités et des défis à relever. Certains de ces problèmes sont dus à la façon dont AD est configuré, d'autres à la gestion et à son évolution, et d'autres encore au fait que l'administration d'AD (je veux dire la VRAIE administration) est un art noir connu seulement de quelques bonnes personnes... dont la plupart sont devenues folles au fil des ans.
Tout cela fait d'AD une cible de choix pour tout adversaire cherchant à s'introduire dans votre environnement. En consultant rapidement diverses bases de données de vulnérabilités, on s'aperçoit qu'AD en a suffisamment pour qu'il faille un groupe d'amis pour compter les doigts et les orteils qui permettraient d'y pénétrer ou de l'exploiter. Quant au pauvre LDAP, il a suffisamment de problèmes pour consulter un thérapeute presque chaque semaine depuis son apparition (près de 600 façons d'utiliser LDAP pour pénétrer dans les systèmes... et ce n'est pas fini).
Ainsi, félicitations, au centre de votre entreprise se trouve une solution technologique fantastique qui gère tous vos actifs, utilisateurs, systèmes, politiques, profils et droits... mais qui est aussi peu étanche qu'une passoire et aussi vulnérable qu'un poulain d'un jour.
Que faites-vous ? Vous l'entourez d'une pléthore d'acronymes destinés à le protéger et à le servir, mais en tant qu'adversaire, je vais toujours y entrer. En fait, en moyenne, j'y suis déjà. Je suis probablement assis dans cette imprimante, et j'y suis depuis plusieurs mois en train de regarder... et vous ne saviez même pas que j'étais là. Nous avons déjà eu cette discussion, mais je vous le rappelle. Vous ne pouvez pas me tenir à l'écart, aucune chance, rien de ce que vous achetez, rien de ce à quoi vous vous abonnez ou dans quoi vous investissez ne m'empêchera d'atteindre la première base sur votre (ou dans votre) réseau. Le défi est de savoir ce que vous allez faire ensuite.
SI vous avez pour philosophie de "supposer une violation", vous aurez déjà pris en compte certaines considérations. Vous aurez effectué des exercices sur table. Vous connaissez vos problèmes et vos défis. Vous aurez déployé diverses technologies pour vous donner des avis plus proactifs et préventifs, et c'est là que les gens de Semperis entrent en jeu. ET c'est aussi la raison pour laquelle je traîne avec eux et les aide à comprendre un peu plus. (Ils disposent déjà d'une tonne d'informations sur le fonctionnement d'ADversaire... Je ne suis là que pour les choses vraiment sournoises...)
En adoptant une approche proactive, pourquoi ne pas prendre le concept d'outil de surveillance de la santé, de la sécurité et de la sûreté d'AD, le porter à 11 et le mettre gratuitement à la disposition de la communauté ? Oui, c'est quelque chose qui sortira bientôt pour les chercheurs et les geeks.
Si l'on adopte l'approche de l'audit... que diriez-vous de prendre les défis d'AD, de cartographier les vecteurs d'attaque dans le cadre ATT&CK de MITRE, puis de vous aider à comprendre comment nous atténuons ces problèmes ? Oui, cela va bientôt sortir et devrait satisfaire l'audit et la direction.
Dans le pire des cas, si vous êtes touché, pourquoi ne pas mettre en place un processus de récupération pour que vous passiez votre temps à vous remettre sur pied et non à payer des rançons à des identités anonymes sur l'internet ? Oui, on s'en occupe... ça fera plaisir aux geeks ET aux assureurs.
Vous voyez ce que je veux dire. L'équipe ici présente adopte une approche proactive. Elle tend la main à la communauté pour mettre en place un centre de recherche afin de favoriser le partage des connaissances et d'apporter aux conversations un sens de la collaboration qui fait cruellement défaut.
D'où la logique de traîner avec eux, ils se sentent concernés.
Tout pour l'instant
Chris