Active Directory est un outil de cybersécurité de premier plan depuis plus de vingt ans. Le problème de la protection d'AD - utilisé par environ 90 % des entreprises du classement Fortune 1000 - contre lesattaques de ransomware est tout simplement qu'il n'a pas été conçu pour le paysage de la sécurité d'aujourd'hui. De nombreuses entreprises ne connaissent même pas la carte complète de leur déploiement, ce qui fait d'AD une cible parfaite pour les acteurs de la menace.
Les organismes de santé, en particulier, sont confrontés à des risques importants. Autrefois considéré comme "hors limites" par les attaquants, ce secteur est de plus en plus ciblé. Que peuvent faire les organismes de santé pour se protéger ?
Qu'est-ce qui fait d'Active Directory une cible aussi attrayante ?
En ce qui concerne l'infrastructure informatique, Active Directory est le fondement de l'ensemble de l'infrastructure informatique. Pensez-y de la manière suivante : Lorsqu'un déploiement AD est compromis, l'attaquant ne se contente pas de détenir les clés du royaume - il dispose désormais d'une carte au trésor lui indiquant où trouver tout ce qui a de la valeur, ainsi que d'une autoroute pour s'y rendre.
"Il y a beaucoup d'informations stockées dans Active Directory", explique Matt Sickles, architecte stratégique chez Sirius Healthcare. "Une carte du réseau, une liste de sites et de services, l'emplacement et les coordonnées de tous les administrateurs, et même un organigramme. Cela permet aux pirates d'utiliser Active Directory pour mener des attaques très sophistiquées".
La prévention commence par l'essentiel
Les cyberattaques sophistiquées comme celle de SolarWinds peuvent faire l'objet d'une couverture médiatique importante, mais ces cas très médiatisés ne sont pas la norme. La plupart des attaquants recherchent des cibles faciles. Ils veulent trouver des cibles qui leur permettront d'obtenir le meilleur rapport effort/rendement possible.
La plupart des attaques impliquent un attaquant qui exploite une faille, par exemple un serveur non corrigé. Des mesures de sécurité de base peuvent grandement contribuer à éliminer ces types de menaces, y compris les ransomwares.
"Étant donné que de nombreux scénarios d'attaque reposent sur la compromission d'informations d'identification élevées, la notion de moindre privilège est importante pour la sécurisation d'Active Directory", explique M. Sickles. "Limitez les autorisations, assurez-vous que vous disposez d'un catalogue de vos stratégies de groupe et surveillez tout changement. Il est également indispensable de s'assurer que chaque compte de service dispose d'un mot de passe fort.
"Les entreprises ont également besoin d'un moyen de trier les alertes de sécurité AD et de gérer ou de contrôler les comptes de service", ajoute-t-il. "Enfin, l'authentification multifactorielle est l'une des meilleures défenses contre les ransomwares."
Pourquoi la sécurité "traditionnelle" n'est pas à la hauteur
En matière de cybersécurité, Active Directory s'avère particulièrement difficile. En raison de la complexité inhérente à AD et de la nature des comptes de service, la détection d'indicateurs de compromission et la protection proactive d'AD contre les menaces peuvent s'avérer difficiles, en particulier si la détection repose sur l'examen des journaux de sécurité.
"Lorsqu'un mot de passe est obtenu pour un compte de service avec des autorisations élevées, cela ressemble souvent à une activité normale", note M. Sickles. "Vous ne saurez généralement pas qu'il est compromis jusqu'à ce qu'il y ait une sorte de livraison de charge utile ou d'attaque directe. De plus, bien qu'il existe des outils fournis par Microsoft pour aider à protéger Active Directory, il n'y a pas de téléchargement unique pour couvrir facilement les problèmes de sécurité de base."
"Il est très difficile d'aborder les complexités de l'Active Directory", poursuit-il. "En tant que fournisseur spécialisé, Semperis dispose d'excellents ensembles d'outils pour cela.
Les criminels s'attaquent de plus en plus aux sauvegardes
Les sauvegardes sont la meilleure défense contre les ransomwares. Malheureusement, les criminels le savent. Par conséquent, de nombreux acteurs du secteur des ransomwares attendent des semaines, voire des mois, pour déclencher leur charge utile. Pire encore, nombre d'entre eux ciblent directement les sauvegardes Active Directory.
Lorsque vous effectuez une sauvegarde classique d'un contrôleur de domaine AD, vous sauvegardez l'ensemble du serveur et tout ce qu'il contient, y compris les logiciels malveillants qui s'y cachent.
"L'un des plus grands risques pour toute organisation est de connecter le SSO d'Active Directory à votre système de sauvegarde", explique M. Sickles. "Vos sauvegardes doivent donc être soit des domaines distincts et complètement isolés, soit des comptes locaux. Toutefois, je recommande vivement de veiller à ce que les sauvegardes soient réellement immuables et de conserver des copies de tous les systèmes critiques, et pas seulement d'Active Directory."
Connaître le déploiement d'Active Directory
De nombreuses organisations considèrent Active Directory comme une évidence. Soit elles n'en comprennent pas l'importance, soit elles n'ont pas de visibilité sur AD. Elles supposent également que leur plan de reprise après sinistre couvre Active Directory, ce qui n'est souvent pas le cas.
"Active Directory est l'un des principaux services de base de l'organisation", fait remarquer M. Sickles. Il est important de disposer d'un filet de sécurité lorsqu'il n'est pas en ligne - un contrôleur de domaine en mode "safe harbor", par exemple. Et il est impératif que les entreprises sachent comment tout s'articule."
Ne vous contentez pas de déployer des solutions de sécurité ; ayez un plan
Les solutions de sécurité ne suffiront jamais à elles seules. Pour que les entreprises se protègent vraiment, elles doivent également examiner les processus organisationnels.
La différence entre une réaction rapide et une réaction lente, entre le fait de réussir à stopper une attaque ou à s'en remettre, et le fait d'être victime d'attaquants, se résume souvent à la qualité de la planification.
"Les entreprises doivent se demander comment elles récupéreront leur Active Directory si elles perdent leur système de sauvegarde", explique M. Sickles. "Pour cela, il faut d'abord s'assurer que le centre d'opérations de sécurité a planifié et mis en pratique les bons cas d'utilisation et les bons scénarios. Ils doivent organiser régulièrement des simulations pour s'assurer que leurs plans et leurs outils fonctionnentréellement."
S'attaquer aux plus grandes menaces AD dans le secteur de la santé
La protection des organismes de santé contre la cybercriminalité passe par l'évaluation proactive des menaces, l'atténuation des cyberattaques et la mise en place d'un plan testé de restauration d'Active Directory. Des outils d'évaluation gratuits tels que Purple Knight peuvent rechercher des indicateurs d'exposition et de compromission et constituent un excellent point de départ pour améliorer votre position en matière de sécurité AD. Les outils et services de sauvegarde et de restauration centrés sur AD, notamment Semperis Directory Services Protector (DSP) et Active Directory Forest Recovery (ADFR), peuvent fournir des sauvegardes AD fiables et même automatiser le processus de correction des modifications suspectes apportées à AD.