Grâce à mon expérience au sein de l'équipe de détection et de réponse de Microsoft (DART), je sais que les opérateurs de ransomware ciblent presque toujours les identités à haut privilège. Une fois que les attaquants ont pris le contrôle, ils utilisent ces identités pour diffuser le ransomware, par exemple par le biais de Group Policy ou de PsExec. Les attaques de ransomwares sont généralement bruyantes et destructrices, et visent à avoir un impact maximal en un minimum de temps. C'est pourquoi il est important non seulement de récupérer les systèmes d'identité après une attaque, mais aussi de s'assurer que l'environnement est à nouveau fiable afin d'éviter les attaques ultérieures.
La réponse aux incidents (RI) s'est traditionnellement concentrée sur la chasse aux menaces et l'analyse médico-légale pour comprendre comment une attaque s'est produite, en identifiant les comptes et les machines compromis, en analysant les logiciels malveillants et en retraçant les activités de l'attaquant. Cependant, lorsque des systèmes d'identité comme Active Directory (AD) et Entra ID sont compromis, l'investigation standard n'est pas suffisante. Pour réduire le risque que les attaquants récupèrent l'accès, le confinement, l'analyse judiciaire spécifique à l'identité et la récupération sécurisée deviennent tout aussi essentiels. C'est là que Identity Forensics & Incident Response (IFIR) se distingue.
Qu'est-ce que l'IFIR ?
IFIR donne la priorité à la résilience des systèmes d'identité en réduisant la surface d'attaque et en éliminant les menaces de sécurité avant, pendant et après une attaque. Notre approche comprend la chasse aux portes dérobées AD et aux mauvaises configurations que les attaquants peuvent exploiter pour s'introduire ou se réintroduire dans un environnement cible : Persistance basée sur ACL, injection de l'historique SID, logiciels malveillants dans SYSVOL, abus de délégation Kerberos, manipulation de la stratégie de groupe, portes dérobées liées à ADCS et PKI, et bien d'autres encore.
À l'ère des ransomwares, les rôles en matière de réponse aux incidents s'élargissent. Matt Zorich, un professionnel de la RI, a expliqué sur Twitter que les activités traditionnelles de Digital Forensics & Incident Response (DFIR) comprennent désormais le confinement et la récupération, soulignant que ces étapes sont tout aussi importantes que l'enquête proprement dite(figure 1). Cette évolution est de plus en plus fréquente dans le secteur. On attend des intervenants en cas d'incident non seulement qu'ils déterminent ce qui s'est passé, mais aussi qu'ils contribuent à l'endiguement et à la récupération.
Lorsque les attaquants s'en prennent aux systèmes d'identité tels qu'Active Directory et Entra ID, l'investigation seule ne suffit pas. Les organisations ont besoin d'un moyen de restaurer leur environnement d'identité en toute confiance, et c'est exactement là que Semperis intervient.
La remise en service des contrôleurs de domaine (DC) après une attaque n'est qu'une partie de l'équation. Le véritable défi consiste à s'assurer que les systèmes d'identité restent sécurisés et résilients afin d'éviter les attaques ultérieures. Notre équipe IFIR est spécialisée non seulement dans l'endiguement et la récupération, mais aussi dans le nettoyage de l'environnement des traces laissées par les attaquants et dans l'identification proactive des configurations faibles dans AD, renforçant ainsi les défenses et réduisant le risque de futures attaques basées sur l'identité(Figure 2).
De nombreuses organisations opèrent dans un modèle d'identité hybride, dans lequel AD sur site est étroitement intégré avec des fournisseurs d'identité basés sur le cloud (IdP) comme Entra ID. Cette configuration permet une authentification et un accès transparents aux applications SaaS telles qu'Office 365, Salesforce et Zoom, mais elle élargit également la surface d'attaque. Un compromis dans AD n'affecte pas seulement les systèmes sur site ; il peut aussi avoir un impact direct sur la sécurité dans le nuage, ce qui rend les capacités IFIR cruciales à déployer le plus tôt possible.
IFIR ne se concentre pas uniquement sur la récupération d'AD. Semperis recherche également dans Entra ID les faiblesses et les mécanismes de persistance que les attaquants pourraient utiliser pour maintenir un contrôle à long terme sur les identités dans le nuage. Les attaquants qui accèdent à AD sur site peuvent étendre leur emprise sur le cloud, ce qui fait de la sécurité des identités hybrides une préoccupation essentielle (figure 3).
La figure 3 illustre la complexité de l'architecture d'identité de l'entreprise, dans laquelle de multiples systèmes tels que les bases de données sur site, les IdP en nuage et les applications SaaS sont interconnectés. Lorsque les attaquants compromettent l'AD, ils peuvent pivoter vers des environnements en nuage, escalader les privilèges ou établir une persistance.
Déploiement d'un site industriel ou d'un site vierge
Un déploiement d'Active Directory sur un site vierge commence par un environnement AD tout neuf. En théorie, cette approche semble idéale après un compromis majeur, car elle élimine toutes les menaces persistantes de l'ancien environnement. Mais dans une entreprise, la reprise sur site vierge est rarement pratique.
Un déploiement "brownfield" restaure et sécurise l'environnement AD existant plutôt que de le reconstruire à partir de zéro. Une reprise complète sur site vierge nécessite de migrer les utilisateurs, de reconfigurer les applications et de s'assurer que tout s'intègre correctement, ce qui représente un effort massif qui peut être coûteux et perturbateur. Une reprise sur site vierge, en revanche, se concentre sur l'élimination des menaces et le renforcement de la sécurité tout en maintenant les activités de l'entreprise.
L'analyse d'identité et la réponse aux incidents jouent un rôle essentiel. Restaurer AD sans identifier et traiter en profondeur les mauvaises configurations, les portes dérobées et les autres failles de sécurité peut rendre les organisations vulnérables à une réinfection.
Bien qu'une reconstruction sur site vierge puisse être nécessaire dans des cas extrêmes, une reprise sur site vierge est souvent le meilleur équilibre entre la sécurité, le coût et la continuité de l'activité. Avec IFIR, les organisations peuvent restaurer et sécuriser AD tout en réduisant le risque de réintroduction d'un compromis en identifiant et en éliminant les mauvaises configurations et les faiblesses avant de remettre les systèmes en production.
Obtenir l'aide des experts de l'IFIR
Lors d'une réponse à un incident, les organisations font souvent appel à des spécialistes de la DFIR pour enquêter sur ce qui s'est passé. Mais l'enquête n'est qu'une partie de l'équation. Le rétablissement et l'endiguement sont tout aussi importants. Rétablir les opérations en toute sécurité et minimiser les chances que les attaquants puissent à nouveau accéder à l'information requiert un ensemble de compétences différent.
L'équipe IFIR de Semperis fait la différence. Nous sommes spécialisés dans la récupération d'Active Directory et d'Entra ID, et veillons à ce que vos systèmes d'identité soient remis en ligne en toute sécurité. Que vous ayez besoin de contenir une menace active, de supprimer des configurations non sécurisées, de développer un plan de reprise après sinistre ou de renforcer votre posture globale de sécurité de l'identité, nous sommes là pour vous aider.
Semperis peut également travailler avec votre équipe DFIR préférée, en fournissant l'expertise spécialisée en récupération d'identité nécessaire pour sécuriser entièrement votre environnement.
Si votre organisation est confrontée à un incident lié à l'identité, contactez notre équipe IFIR pour une récupération sûre et fiable.
En savoir plus sur les services de Semperis IFIR
