Le FBI a publié le Flash CU-000167-MW pour avertir que le groupe BlackCat/ALPHV ransomware-as-a-service (RaaS) a compromis au moins 60 entités dans le monde. Comme la majorité des cyberattaques, BlackCat/ALPHV s'attaque à Active Directory.
En tête de liste des mesures d'atténuation recommandées par le FBI figure l'examen de l'environnement Active Directory pour détecter les comptes d'utilisateurs non reconnus et d'autres indicateurs de compromission. L'audit et le renforcement des autorisations, ainsi que la mise en œuvre d'un plan de reprise de l'Active Directory sont également des étapes essentielles de la liste.
Votre entreprise dispose-t-elle d'une protection solide pour couvrir les trois étapes du cycle d'attaque d'Active Directory - avant, pendant et après une cyberattaque ? Un bon point de départ : Téléchargez et exécutez l'outil gratuit d'évaluation de la sécurité d'Active Directory Purple Knight pour découvrir les lacunes en matière de sécurité et hiérarchiser les actions correctives. Nous avons également dressé une liste de ressources rapides pour plus d'informations sur certains des exploits communs à ce type de cyberattaque et sur les mesures que vous pouvez prendre pour renforcer votre position en matière de sécurité des identités.
Lecture associée
Découvrir les vulnérabilités d'Active Directory
Trouver et corriger les vulnérabilités d'Active Directory est un véritable défi en raison de la complexité des environnements existants, du nombre considérable de paramètres et de l'expansion du paysage des menaces. Consultez ces ressources proposées par nos experts en sécurité des identités pour commencer à combler les lacunes de sécurité d'Active Directory :
- Pour en savoir plus sur les mouvements latéraux et l'escalade des failles d'authentification et d'autorisation, consultez le document Do You Know Your Active Directory Security Vulnerabilities (Connaissez-vous les failles de sécurité de votre annuaire ?).
- Découvrez comment les attaquants exploitent la stratégie de groupe, comment surveiller Active Directory pour détecter les modifications malveillantes et comment élaborer un plan de reprise proactif dans Comment se défendre contre les attaques d'Active Directory qui ne laissent aucune trace.
- Pour en savoir plus sur le comportement de RaaS tel qu'il est déployé par Darkside, une version antérieure présumée de certains des acteurs malveillants à l'origine des attaques BlackCat, lisez How to Defend Against Ransomware-as-a-Service Groups That Attack Active Directory (Comment se défendre contre les groupes de Ransomware-as-a-Service qui s'attaquent à Active Directory).
- Apprenez à repérer un paramètre serveur dangereux qui pourrait rendre votre Active Directory vulnérable aux attaques dans Unconstrained Delegation in Active Directory Leaves Security Gaps (La délégation sans contrainte dans Active Directory laisse des lacunes en matière de sécurité).
- Voir comment les attaquants utilisent les listes de contrôle d'accès discrétionnaires (DACL) pour masquer l'appartenance à un groupe et échapper à la détection dans Comment les attaquants peuvent utiliser l'appartenance à un groupe primaire d'Active Directory pour échapper à la défense.
Élaborer un plan de reprise efficace et complet de l'Active Directory
La protection proactive d'AD contre les attaques est la première étape de l'amélioration de la posture de sécurité. Mais vous avez également besoin d'un plan de récupération AD testé que vous pouvez déployer en cas d'attaque. Selon Enterprise Management Associates, 50 % des organisations ont subi une attaque contre AD au cours des deux dernières années, et plus de 40 % de ces attaques ont été couronnées de succès. Renforcez vos plans de reprise après sinistre à l'aide de ces lignes directrices :
- Vous trouverez des conseils importants en matière de rétablissement dans le document Les choses à faire et à ne pas faire en matière de rétablissement de la maladie d'Alzheimer.
- Découvrez comment minimiser la surface d'attaque d'Active Directory, élaborer un plan de reprise efficace, surveiller les signes de compromission et annuler les modifications non autorisées dans Votre stratégie de confiance zéro dépend de l'intégrité d'Active Directory.
- Vous souhaitez obtenir des informations plus détaillées sur l'évaluation de votre plan de reprise d'activité Active Directory ? Télécharger Le plan de reprise d'activité de votre Active Directory couvre-t-il les cyberattaques ?
Protégez les clés de votre royaume
Avec l'augmentation des ransomwares et autres cyberattaques, la protection d'Active Directory et d'Azure AD est plus importante que jamais. Vous devez aider les décideurs à comprendre la valeur de la sécurité spécifique à Active Directory ? Le rapport pratique sur le retour sur investissement d'une restauration rapide de l'Active Directory montre à quel point l'enjeu est important. En bref, si vous ne disposez pas de solutions spécifiques pour protéger Active Directory et Azure AD avant, pendant et après une attaque, l'ensemble de votre organisation reste en danger.
Plus de ressources
