Selon un nouveau rapport d'Enterprise Management Associates (EMA), les vulnérabilités inconnues constituent la principale préoccupation des praticiens de la sécurité informatique en matière de sécurité de l'Active Directory. Les vulnérabilités AD connues mais non corrigées suivent de près.
Les risques les plus préoccupants pour la sécurité globale cités par les répondants à l'enquête sont les suivants :
- Failles de sécurité natives de Microsoft
- Attaques d'ingénierie sociale, telles que le phishing
- Les attaquants se déplacent entre AD sur site et Azure AD
Compte tenu de l'attention accrue portée à l'AD dans les médias et par les cabinets d'études, notamment 451 Research et Gartner, il n'est pas surprenant que les vulnérabilités inconnues aient été au cœur des préoccupations des répondants à l'enquête, qui comprenaient des directeurs et des responsables informatiques, des architectes informatiques, des praticiens DevOps et des directeurs de la sécurité.
L'année 2021 a été marquée par un changement radical dans la prise de conscience du fait qu'Active Directory - le principal réservoir d'identités pour 90 % des entreprises dans le monde - est un vecteur d'attaque pour les cybercriminels. L'attaque SolarWinds a été l'un des plus grands coups de semonce. Bien qu'il ait fallu un certain temps aux enquêteurs pour décortiquer cette attaque sophistiquée, le rôle d'Active Directory était évident. (Pour plus de détails sur le rôle d'AD dans l'attaque SolarWinds, lisez l'article de Guido Grillenmeier intitulé "Now Is the Time to Rethink Active Directory Security"). Les vulnérabilités d'AD se sont retrouvées sous les feux de la rampe au fur et à mesure que se produisaient d'autres violations très médiatisées impliquant AD, notamment l'attaque de Colonial Pipeline.
Les conclusions des consultants de Mandiant corroborent l'exploitation fréquente d'AD : dans 90 % des attaques sur lesquelles ils enquêtent, l'AD est impliqué d'une manière ou d'une autre, soit comme point d'entrée initial, soit dans le cadre d'un effort d'escalade des privilèges. Comme l'écrit Paula Musich, directrice de recherche à l'EMA, dans l'introduction du rapport, les praticiens de la sécurité sont confrontés à un large éventail de risques dans la gestion d'AD.
"La configuration d'Active Directory étant en perpétuel changement, les acteurs malveillants trouvent sans cesse de nouveaux moyens d'exploiter les vulnérabilités pour atteindre leurs objectifs illicites".
Des failles bien connues, telles que la vulnérabilité du service Windows Print Spooler découverte en juin 2021, ont servi de catalyseur aux praticiens de l'informatique et de la sécurité pour examiner la sécurité des environnements AD de leurs organisations. Depuis son lancement en mars 2021, plus de 5 000 utilisateurs ont téléchargé Purple KnightDepuis son lancement en mars 2021, plus de 5 000 utilisateurs ont téléchargé le rapport d'évaluation de la sécurité de Semperis, un outil gratuit d'évaluation de la sécurité qui analyse l'environnement AD à la recherche d'indicateurs d'exposition et de compromission et génère un rapport qui fournit un score de sécurité global ainsi que des conseils d'experts pour remédier aux failles. Les organisations ont fait état d'un score initial moyen d'environ 68 %, soit une note à peine satisfaisante.
Lors d'entretiens individuels, de nombreux utilisateurs de Purple Knight ont déclaré avoir été pris de court par les conclusions du rapport.
"Je sais que j'ai Active Directory", a déclaré un RSSI d'une entreprise manufacturière canadienne. "Mais je ne savais pas que j'avais ces problèmes. Et je suis très soucieux de la sécurité. C'était donc une bonne claque dans la tête".
Les inquiétudes concernant la récupération d'AD sont grandes
Outre les inquiétudes liées aux vulnérabilités AD inconnues et non traitées, les personnes interrogées ont également déclaré qu'elles s'inquiétaient de leurs plans de reprise AD, notamment :
- Absence de plan de reprise après une cyberattaque
- L'incapacité à se rétablir rapidement
- Absence de définition des responsabilités en matière de récupération des données administratives
La majorité des personnes interrogées ont déclaré que l'impact d'une attaque qui mettrait hors service leurs contrôleurs de domaine irait de "significatif" à "catastrophique", ce qui alimente les inquiétudes quant à l'inadéquation du plan de réponse. Ce n'est qu'au cours des dernières années que les organisations ont délaissé les plans de continuité des activités destinés à faire face aux catastrophes naturelles ou aux erreurs humaines au profit de plans permettant de répondre de manière adéquate à une cyberattaque malveillante.
Comme l'écrivent Gil Kirkpatrick (architecte en chef de Semperis) et Guido Grillenmeier (technologue en chef) dans leur livre blanc intitulé "Does Your Active Directory Disaster Recovery Plan Cover Cyberattacks" (Votre plan de reprise après sinistre Active Directory couvre-t-il les cyberattaques ?), dans les premiers temps d'AD, les équipes informatiques étaient préparées à récupérer l'AD en cas de divers problèmes, notamment la suppression involontaire d'objets AD, les erreurs de configuration de la stratégie de groupe et les contrôleurs de domaine défaillants. Mais les chances de devoir récupérer après une panne complète d'AD - comme les cyberattaques peuvent en provoquer - étaient "très faibles".
Le paysage des menaces a considérablement évolué depuis les premiers jours d'AD, mais les défis liés à la récupération d'une forêt AD entière n'ont pas changé. Comme le soulignent les auteurs du livre blanc, "il s'agit toujours d'un processus complexe et sujet aux erreurs, qui nécessite une planification et une pratique pour tous les déploiements AD, à l'exception des plus triviaux".
Les résultats du rapport de l'EMA indiquent que les équipes informatiques et de sécurité sont conscientes et préoccupées par les défis que représente la récupération des données informatiques après un cyberdésastre.
Les environnements hybrides rendent plus complexe la sécurisation des services d'identité
Selon le rapport de l'EMA (corroboré par un récent rapport de Gartner), le transfert des charges de travail et des applications vers le cloud sera un processus continu et de longue haleine, laissant les équipes informatiques et de sécurité gérer la sécurité dans un environnement hybride dans un avenir prévisible. Alors que 47 % des personnes interrogées dans le cadre de l'étude de l'EMA ont estimé que leur propre capacité à gérer et à sécuriser AD sur site était "très compétente", seules 37 % des personnes interrogées se sont attribuées cette note pour les environnements d'identité hybrides. Environ un tiers des personnes interrogées ont estimé que leurs compétences en matière de gestion et de sécurisation d'un environnement hybride étaient "adéquates".
La confiance des personnes interrogées dans la récupération des ressources Azure AD (telles que les utilisateurs, les groupes et les rôles) après une cyberattaque n'était pas rassurante : Environ 55 % des participants ont exprimé un niveau de confiance "moyen". La gestion adéquate de la sécurité dans un environnement d'identité hybride pourrait être l'une de ces situations dans lesquelles les praticiens ne savent pas encore ce qu'ils ne savent pas : L'intégration de l'Active Directory sur site avec l'authentification Azure AD nécessite un état d'esprit différent, et le fait de ne pas comprendre certaines des différences clés peut exposer les organisations à des risques de sécurité.
Comment les organisations abordent les problèmes de sécurité AD
Avec la prise de conscience accrue des attaques liées à l'AD, les organisations procèdent à des changements pour renforcer leurs défenses en réponse à des attaques très médiatisées comme celle de SolarWinds. Le rapport de l'EMA révèle que :
- 45% des organisations ont renforcé la collaboration entre les équipes opérationnelles et de sécurité
- 44% se concentrent davantage sur le comblement des lacunes en matière de sécurité AD, sur la détection des attaques et sur la garantie de sauvegardes exemptes de logiciels malveillants.
- 37% ont ajouté des praticiens qualifiés pour remédier aux faiblesses de la sécurité AD
La conclusion selon laquelle les organisations encouragent la collaboration entre les équipes opérationnelles et les équipes de sécurité correspond à celle d'un rapport de 2021 de l'Identity Defined Security Alliance (IDSA), "2021 Trends in Securing Digital Identities", qui indique que 64 % des organisations ont apporté des changements pour mieux aligner les fonctions de sécurité et d'identité au cours des deux dernières années. Les organisations reconnaissent désormais qu'un système d'identité sécurisé est le point de départ de la protection de tous les autres actifs de l'organisation.
Ces changements organisationnels ouvriront la voie pour relever les défis et répondre à l'urgence d'identifier et de traiter les vulnérabilités AD, la principale préoccupation citée par les personnes interrogées dans le rapport de l'EMA. À mesure que les équipes chargées de l'identité et de la sécurité partageront leurs connaissances et collaboreront à l'élaboration de solutions, les entreprises renforceront leurs défenses contre les attaques liées à l'identité. Seulement 3 % des personnes interrogées ont déclaré que leur entreprise continuait à considérer et à gérer AD comme une ressource opérationnelle. Comme le note Musich dans le rapport de l'EMA : "Ces retardataires auront fort à faire pour rattraper les 56 % d'entreprises interrogées qui placent Active Directory au cœur de leur stratégie de sécurité globale."