Itay Nachum

Le bruit court que les systèmes d'identité - et Active Directory en particulier - sont des cibles de choix pour les cyberattaques. En tant qu'entreprise pionnière en matière de solutions spécialement conçues pour protéger et restaurer Active Directory contre les cyberattaques, nous avons été heureux de constater que de nombreux cabinets d'études ont récemment confirmé l'importance des solutions de cybersécurité spécifiques à Active Directory. Gartner a non seulement désigné la défense des systèmes d'identité comme l'une des 2022 principales tendances en matière de cybersécurité, mais a également créé une catégorie entièrement nouvelle - la détection et résolution des menaces liées à l'identité (ITDR) - et a désigné Semperis comme un exemple de fournisseur de solutions ITDR.

Mais nous savons, grâce à notre travail en première ligne pour aider les organisations à prévenir, remédier et se remettre des cyber-catastrophes, qu'une stratégie de sécurité ITDR efficace ne se limite pas à cocher les cases des cabinets d'études. Lors du Gartner Identity & Access Management Summit qui s'est tenu récemment à Las Vegas, nous avons interrogé les participants sur leurs principaux critères d'évaluation des solutions ITDR.

Principaux enseignements : Les entreprises recherchent des solutions ITDR qui couvrent l'ensemble du cycle de vie des attaques (avant, pendant et après une attaque) etoffrent une protection spécifique pour AD et Azure AD. Comme l'ont souligné Gartner et d'autres cabinets d'analystes, les entreprises ont besoin de solutions de sécurité et de restauration spécifiques à AD pour protéger correctement leurs environnements AD hybrides.

En avant-première de notre prochain rapport complet sur ces résultats, voici les principales fonctionnalités ITDR que les organisations recherchent pour sécuriser et restaurer leurs environnements AD hybrides, ainsi que quelques commentaires de Darren Mar-Elia, vice-président des produits chez Semperis. (La vidéo ci-dessous résume les critères d'évaluation de l'ITDR que nous avons recueillis auprès des participants au Gartner IAM Summit).

Lire la suite

Les cinq principales conclusions de l'ITDR sont détaillées ci-dessous :

  1. Récupération automatisée et sans logiciels malveillants d'AD multi-forêts en une heure ou moins
  2. Détection des attaques qui échappent au SIEM et à d'autres outils traditionnels
  3. Visibilité sur les attaques qui passent d'AD sur site à Azure AD
  4. Capacité à découvrir les mauvaises configurations et les vulnérabilités dans les environnements AD existants
  5. Remédiation automatique aux menaces détectées

1. Récupération automatisée et sans logiciels malveillants d'AD multi-forêts en une heure ou moins

La composante "réponse" de l'ITDR est importante pour les organisations que nous avons interrogées, car la plupart des chefs d'entreprise et leurs équipes de sécurité et d'exploitation informatique reconnaissent qu'aucune entité ne peut éliminer l'éventualité d'une cyberattaque. Les personnes interrogées se sont montrées pessimistes quant à leur capacité à récupérer les données informatiques à la suite d'une cyberattaque : 77 % des organisations ont indiqué qu'en cas de cyberattaque, elles subiraient un impact sévère - ce qui signifie qu'elles disposent d'une solution générale de reprise après sinistre mais pas d'un support spécifique pour AD - ou un impact catastrophique - ce qui signifie qu'elles devraient procéder à une reprise manuelle en utilisant leurs sauvegardes, ce qui prendrait des jours ou des semaines. La perte de chiffre d'affaires, l'atteinte à la réputation et, dans le cas des organismes de soins de santé, la santé et la sécurité des patients, résultant d'une reprise prolongée, peuvent être des événements dévastateurs.

"Les organisations peuvent faire tout ce qu'il faut pour prévenir une attaque de ransomware, mais en fin de compte, il est toujours possible d'être compromis", a déclaré Darren Mar-Elia, vice-président des produits de Semperis. "Et vous avez besoin d'une solution qui peut vous ramener à un bon état connu aussi rapidement que possible."

2. Détection des attaques qui contournent le SIEM et d'autres outils traditionnels

Reflétant la prise de conscience croissante du fait que les cybercriminels conçoivent constamment de nouvelles tactiques, techniques et procédures (TTP) pour attaquer les systèmes d'identité, les répondants à l'enquête ont cité l'incapacité à détecter les attaques qui contournent les outils de surveillance traditionnels comme la principale préoccupation globale en matière de protection des AD. Cette inquiétude est justifiée : De nombreuses attaques qui parviennent à exploiter AD contournent les produits basés sur les journaux ou les événements, tels que les systèmes de gestion des incidents de sécurité (SIEM). Les entreprises ont besoin de solutions qui utilisent des sources de données multiples, y compris le flux de réplication AD, pour détecter les attaques avancées.

3. Visibilité sur les attaques qui passent d'AD sur site à Azure AD

Alors que de plus en plus d'entreprises adoptent des environnements cloud hybrides, la détection des attaques qui passent d'AD sur site à l'AD Azure - ou vice versa, comme dans l'attaque de SolarWinds - est devenue une préoccupation majeure pour de nombreuses entreprises. Renforçant la prédiction de Gartner selon laquelle seulement 3 % des organisations migreront complètement d'Active Directory (AD) sur site vers un service d'identité basé sur le cloud d'ici 2025, 80 % des personnes interrogées dans le cadre de notre enquête ont déclaré qu'elles utilisaient soit Active Directory sur site synchronisé avec Azure AD, soit plusieurs systèmes d'identité différents, y compris AD et/ou Azure AD.

Mais la protection de ces systèmes AD hybrides est une priorité : Les répondants à l'enquête ont indiqué que la capacité la plus importante pour prévenir les attaques dans leurs organisations était la surveillance continue des vulnérabilités AD et Azure AD et des configurations à risque. Seul un tiers des personnes interrogées ont indiqué qu'elles étaient "très confiantes" dans leur capacité à prévenir ou à remédier à une attaque AD sur site, et seulement 27 % ont indiqué le même niveau de confiance concernant Azure AD.

"Je pense que nous verrons de plus en plus d'attaques verticales qui passent d'AD sur site à Azure AD, et chez Semperis, nous nous concentrons sur la visibilité de ces chemins d'attaque hybrides ", a déclaré Mar-Elia.

4. Capacité à découvrir les mauvaises configurations et les vulnérabilités dans les anciens environnements AD.

Il n'est pas surprenant que les répondants à l'enquête accordent autant d'importance à la surveillance continue des vulnérabilités d'AD et d'Azure AD et des configurations à risque. Compte tenu du nombre d'attaques qui exploitent les vulnérabilités d'AD presque quotidiennement, les organisations sont à juste titre préoccupées par l'évaluation de leurs environnements pour détecter les vulnérabilités qui pourraient les exposer à des attaquants.

Les utilisateurs de Purple KnightL'outil gratuit d'évaluation de la sécurité AD de Semperis, est souvent consterné par son score initial de faible niveau de sécurité. Mais le fait de savoir où se trouvent les vulnérabilités et d'appliquer les conseils d'experts en matière de remédiation donne aux utilisateurs une feuille de route pour l'amélioration de la sécurité.

"Purple Knight nous a aidés à prendre des mesures immédiates, telles que la fermeture ou la désactivation de comptes Active Directory qui n'auraient pas dû être désactivés", a déclaré Keith Dreyer, RSSI de Maple Reinders au Canada. "Il nous a ensuite aidés à élaborer un plan de maintenance à long terme.

5. Remédiation automatique aux menaces détectées

Les cyberattaques évoluent souvent à la vitesse de l'éclair une fois que les attaquants déposent le logiciel malveillant, de sorte que la remédiation automatique est essentielle pour empêcher un exploit de conduire à des privilèges élevés et à une éventuelle prise de contrôle du réseau. Lors de la célèbre attaque NotPetya de 2017 contre le géant du transport maritime Maersk, l'ensemble du réseau de l'entreprise a été infecté en quelques minutes.

Les répondants à l'enquête ont indiqué que la remédiation automatisée des changements malveillants pour stopper les attaques à propagation rapide était la capacité de remédiation la plus importante, suivie par le suivi et la corrélation des changements entre AD sur site et Azure AD.

Les solutions ITDR doivent protéger les systèmes d'identité hybrides avant, pendant et après une attaque.

La désignation par Gartner d'une catégorie spécifique de solutions pour la défense des systèmes d'identité témoigne de la montée en puissance d'Active Directory en tant que cible privilégiée des cybercriminels, exploitée dans 9 cyberattaques sur 10. D'après les résultats de notre enquête et les conversations que nous avons eues avec nos clients, nous savons que les organisations sont préoccupées par les défis que représente la protection des environnements d'identité hybrides tout au long du cycle de vie des attaques. Lors de l'évaluation des solutions ITDR, la priorité doit être donnée à la prévention, à la détection, à la remédiation automatique et à la récupération des cyberattaques basées sur AD.

Abonnez-vous à notre blog pour en savoir plus sur la catégorie émergente de la détection et de la réponse aux menaces liées à l'identité et sur la manière dont vous pouvez élaborer une stratégie de défense du système d'identité à plusieurs niveaux.

Plus de ressources