- Comment les entreprises réagissent-elles aux menaces qui pèsent sur Active Directory ?
- Quel est le pourcentage d'organisations ayant subi une attaque sur Active Directory au cours des deux dernières années ?
- Quel est le pourcentage d'attaques AD réussies ?
- Quelle est la fréquence de réussite des tests de pénétration ?
- Combien d'organisations prévoient d'augmenter leurs investissements dans la protection AD ?
- Pas de fin en vue pour les attaques AD
Une nouvelle étude de l'EMA met en évidence la montée en puissance des attaques contre l'Active Directory
Active Directory fait beaucoup parler de lui ces derniers temps dans les médias économiques et technologiques, mais pas dans le bon sens du terme. L'AD reste une cible de choix pour les cybercriminels : Parmi les exemples récents, citons les attaques liées à l'AD contre Sinclair Broadcast Group, le fabricant d'appareils photo Olympus et une filiale de Nokia.
Un nouveau rapport d'Enterprise Management Associates (EMA), intitulé "The Rise of Active Directory Exploits : Is It Time to Sound the Alarm" - examine l'impact des faiblesses de sécurité AD sur les entreprises et la manière dont elles réagissent. L'une des principales conclusions de cette étude illustre le niveau d'inquiétude suscité par les menaces qui pèsent sur la sécurité de l'Active Directory : 86 % des organisations interrogées ont déclaré qu'elles prévoyaient d'augmenter leurs investissements dans la protection d'AD. La montée en flèche du nombre d'attaques médiatisées contre AD a fait prendre conscience que AD est un vecteur d'attaque.
Lecture associée
Comme l'indique Paula Musich, analyste à l'EMA, dans le rapport, l'attaque d'AD est le moyen de parvenir à ses fins pour les acteurs de la menace. Les attaquants utilisent AD pour pénétrer dans les réseaux des organisations, puis se déplacent dans le système d'information compromis pour accéder à des actifs précieux. Par exemple, dans la récente série d'attaques par ticket d'or, y compris l'attaque Golden SAML lancée contre SolarWinds, les malfaiteurs ont créé de faux identifiants d'utilisateur, imité de vrais utilisateurs et contourné l'authentification à deux facteurs. Dans le cas de SolarWinds, les attaquants ont élevé leurs privilèges en exploitant un accès non autorisé dans les listes de contrôle d'accès AD. Cette approche leur a permis de se déplacer latéralement dans les réseaux des victimes - sous le couvert de ces niveaux d'autorisation élevés volés - pour accéder à des données sensibles et les exfiltrer. De telles attaques incitent les entreprises à redoubler d'efforts pour sécuriser AD.
Bien que les attaques AD aient augmenté à la fois en gravité et en coût l'année dernière, elles ne sont pas nouvelles. Les chercheurs en sécurité ont identifié pour la première fois des exploits de type "golden ticket" en 2017, et les attaquants ciblent AD depuis des années dans l'espoir d'accéder à des ressources d'entreprise de grande valeur. AD est une cible juteuse car il s'agit du principal magasin d'identité utilisé pour authentifier les utilisateurs et accorder l'accès aux données des organisations - y compris les données clients de grande valeur.
Comment les entreprises réagissent aux menaces qui pèsent sur Active Directory
Pour mieux comprendre le nombre croissant d'attaques paralysantes contre l'AD, EMA a interrogé 250 professionnels de l'informatique et dirigeants sur la façon dont leurs organisations répondent à ce risque croissant et sur l'évolution de leurs priorités en matière de sécurité d'AD. M. Musich a présenté les principales conclusions du rapport de l'EMA lors du séminaire en ligne intitulé "The Rise of Active Directory Exploits : Comment les entreprises répondent à une menace de plus en plus virulente". Les principales conclusions ont dressé un tableau alarmant de la manière dont les faiblesses de la sécurité d'AD affectent la posture de sécurité globale des entreprises.
1. 50 % des organisations ont subi une attaque sur Active Directory au cours des deux dernières années.
Compte tenu de l'augmentation de la prévalence des attaques AD, il est surprenant que seulement 50 % des personnes interrogées aient indiqué que leur organisation avait subi une attaque de son système AD au cours de l'année ou des deux dernières années. D'après Microsoft, 95 millions de comptes AD sont ciblés chaque jour par des cyberattaques.
Musich a noté qu'une part importante de ces attaques pourrait être passée inaperçue : 25 % des personnes interrogées ont déclaré que la détection des attaques en direct était le plus grand défi en matière de sécurité AD. Ce manque évident de visibilité et le taux élevé d'attaques AD suggèrent que les organisations pourraient passer à côté d'attaquants furtifs qui ont réussi à brouiller les pistes. (Guido Grillenmeier, technologue en chef chez Semperis, a expliqué comment certaines menaces peuvent échapper aux solutions de journalisation dans "How to Defend Active Directory Attacks That Leave No Trace"). Il est également possible que certains professionnels de la sécurité ne réalisent pas que l'AD joue souvent un rôle dans les attaques de ransomware.
2. Plus de 40 % des attaques contre l'Active Directory ont été couronnées de succès.
Les chasseurs de menaces de Mandiant estiment que 90 % des missions de réponse aux incidents qu'ils mènent avec leurs clients impliquent AD d'une manière ou d'une autre, que AD soit le vecteur d'attaque initial ou le moyen par lequel les attaquants peuvent obtenir une persistance ou des privilèges. Cette constatation rend le taux de réussite élevé des attaques AD particulièrement alarmant.
3. Les testeurs de pénétration ont réussi à exploiter les failles d'Active Directory dans 82 % des cas.
Bien que les équipes chargées des opérations informatiques et de la sécurité soient les principaux groupes chargés d'effectuer des évaluations, leur travail est parfois renforcé par des évaluations menées par des équipes rouges internes ou des équipes de tests d'intrusion. Pour les 29 % d'organisations interrogées qui effectuent des exercices internes d'équipe rouge ou des tests de pénétration contre AD, la tentative d'exploiter les expositions AD est une partie commune du programme. Pour les organisations qui effectuent des tests d'exploitation d'AD, le taux de réussite est étonnamment élevé (82 %).
Compte tenu du niveau d'expertise requis pour trouver les vulnérabilités et comprendre les types d'erreurs qui peuvent conduire à de telles expositions, de nombreuses organisations n'ont pas les ressources nécessaires pour effectuer fréquemment des évaluations AD. De plus, les outils de test de pénétration automatisés offrent des capacités limitées pour maintenir une bonne posture de sécurité AD. Même avec l'expertise disponible, remédier aux expositions et aux vulnérabilités reste un processus lourd en raison de la structure complexe d'AD. Des facteurs tels que le manque de visibilité sur les expositions AD et les exigences de recherche de l'exposition ont posé un défi pour 38% et 37% des personnes interrogées, respectivement.
4. 86 % des entreprises prévoient d'augmenter leurs investissements dans la protection d'Active Directory.
Compte tenu du nombre croissant de gros titres sur les exploits AD, il n'est pas surprenant que les équipes de sécurité placent la sécurité AD en tête de liste des priorités. L'augmentation des attaques AD a incité le plus grand nombre d'organisations à prévoir une augmentation des dépenses de sécurité, mais d'autres problèmes ont également motivé ces décisions. La pandémie a provoqué deux changements majeurs et interdépendants dans l'activité informatique : la nécessité de soutenir des activités à distance ou de travail à domicile à grande échelle et l'accélération des plans de migration vers le nuage.
Pas de fin en vue pour les attaques AD
Bien que Microsoft continue de publier des mises à jour de sécurité pour AD, rien n'empêchera les attaques AD de se produire, comme le montre le nombre croissant d'incidents. Pour protéger leurs organisations des menaces actuelles, les équipes de sécurité doivent accroître leur visibilité sur la surface d'attaque AD et disposer d'un plan testé pour réagir lorsqu'une attaque réelle est détectée.
En outre, les audits restent une méthode essentielle pour identifier et sécuriser les expositions, mais ils ne sont pas le seul outil que les équipes de sécurité peuvent ou doivent utiliser, en particulier en raison de leur nature instantanée. Aujourd'hui, de nouveaux outils permettent de repérer en temps réel les schémas d'activité malveillante, alors que les attaquants cherchent à accéder à des comptes privilégiés et à créer des portes dérobées. Semperis a récemment lancé un outil gratuit d'évaluation de la sécurité AD, Purple Knight est un outil gratuit d'évaluation de la sécurité AD qui interroge l'environnement AD d'une organisation et effectue un ensemble complet de tests contre les vecteurs d'attaque les plus courants et les plus efficaces afin de découvrir les configurations à risque et les vulnérabilités en matière de sécurité. Semperis propose également la plate-forme hybride de détection et de réponse aux menaces AD la plus complète du secteur, Directory Services Protector.
Pour en savoir plus sur la manière dont les organisations modifient leurs priorités pour faire face à la menace croissante des faiblesses de sécurité AD, téléchargez le rapport complet de l'EMA ici.