Les entreprises sont à la recherche de technologies de pointe pour répondre à leurs besoins croissants. Mais à mesure que votre organisation se développe, sa surface d'attaque s'accroît également. Il est important de comprendre les vulnérabilités potentielles, en particulier celles liées aux actifs d'identité de niveau 0 comme Active Directory. Pour détecter ces risques, de nombreuses entreprises se tournent vers des solutions de gestion des informations et des événements de sécurité (SIEM) ou d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). Mais dans quelle mesure les solutions SIEM et SOAR protègent-elles AD ?
Atténuation des menaces grâce à la surveillance des journaux
La cybersécurité est un processus continu. Avec l'apparition constante de nouvelles attaques, vous devez surveiller en permanence votre environnement pour détecter les menaces qui pèsent sur la confidentialité, l'intégrité et la disponibilité des actifs identitaires et des opérations commerciales de votre organisation. Il est essentiel de détecter les menaces à un stade précoce si l'on veut les arrêter et minimiser leur impact financier ou leur impact sur la réputation.
De nombreuses organisations mettent en œuvre des solutions qui détectent les incidents sur la base des journaux de sécurité. Cependant, la surveillance de l'activité massive des journaux qui peut résulter de cette surveillance peut être une tâche fastidieuse. Les solutions SIEM et SOAR fournissent des réponses automatisées qui allègent cette charge.
Les différences entre SIEM et SOAR
Même si le SIEM et le SOAR se ressemblent à certains égards, il existe plusieurs différences entre ces deux technologies de sécurité.
Qu'est-ce que le SIEM ?
Les entreprises peuvent utiliser le SIEM pour collecter, centraliser et stocker des journaux provenant de diverses sources, en temps réel. Cette approche permet de surveiller les activités suspectes et d'analyser les événements passés. Le SIEM peut collecter des journaux provenant de réseaux, de systèmes, d'infrastructures, d'applications ou d'actifs spécifiques.
Le SIEM peut obtenir des flux de menaces externes et utiliser des analyses avancées pour vous informer des événements malveillants dans votre environnement. Le SIEM décharge les analystes en prenant en charge une grande partie du travail manuel et en effectuant des analyses approfondies, facilitées par la possibilité de centraliser la surveillance, la journalisation et les alertes. Basé sur la corrélation des événements, l'outil offre une visibilité sur les journaux de l'ensemble de l'entreprise, ce qui vous permet d'atténuer les menaces potentielles plus rapidement qu'il n'est possible de le faire en analysant ces journaux séparément. Par exemple, les journaux d'événements d'Active Directory sont hébergés sur chaque contrôleur de domaine, de sorte que pour obtenir une vue globale de l'activité du service, il faut collecter et corréler tous ces journaux. Vous pouvez également créer des alertes et des tableaux de bord personnalisés pour visualiser plus facilement les données et les problèmes.
Qu'est-ce que SOAR ?
SOAR aide les organisations à automatiser la réponse aux incidents, sur la base des alertes générées. Il analyse également les modèles de comportement, fournit des prédictions et unifie les réponses. Ces solutions peuvent être utilisées pour gérer les cas, ainsi que pour automatiser les flux de travail et les playbooks.
SOAR présente à la fois des avantages techniques et des avantages organisationnels. Son automatisation avancée permet aux analystes de la sécurité de gagner du temps, en réduisant le travail manuel et en optimisant les ressources. SOAR peut également contribuer à réduire le temps de réponse aux incidents, ce qui affecte directement la productivité et l'efficacité. Enfin, la fonction de gestion des cas de la solution vous permet d'accéder aux alertes antérieures à des fins de recherche, notamment pour comprendre les schémas spécifiques à l'organisation et les événements passés.
Qu'en est-il des attaques basées sur AD ?
Compte tenu de l'utilisation généralisée d'Active Directory et du contrôle qu'il exerce sur les appareils et les utilisateurs, il n'est pas étonnant que les cybercriminels trouvent sans cesse de nouveaux moyens de compromettre AD et d'accéder aux actifs des entreprises. C'est pourquoi il est essentiel de comprendre les types d'attaques qui ciblent AD, ainsi que la façon dont SIEM et SOAR peuvent (et ne peuvent pas) aider à détecter ces menaces.
La protection et la surveillance d'AD peuvent s'avérer difficiles en raison du nombre croissant de menaces et des techniques et tactiques avancées utilisées par les pirates pour brouiller les pistes. Pour les attaques liées à AD, vous devez principalement surveiller les journaux d'événements des contrôleurs de domaine (DC). Vous pouvez utiliser le SIEM pour détecter les activités suspectes, mais attention : Certaines des attaques liées à AD les plus préjudiciables dissimulent leurs traces, ce qui leur permet de se cacher des solutions SIEM dépourvues de capacités étendues.
- DCShadow : cette fonction de Mimikatz enregistre momentanément un serveur de données malveillant en créant un nouvel objet serveur dans la partition de configuration. Une fois créé, le nouveau DC injecte des mises à jour d'objets ou d'attributs (par exemple, en ajoutant le SID bien connu du compte Domain Admin dans l'attribut sIDHistory pour maintenir la persistance des droits d'administration), puis se supprime immédiatement. Comme le client de l'acteur de la menace est un DC au moment des mises à jour, les modifications ne sont pas consignées dans le journal des événements de sécurité, car il s'agit d'une réplication normale de DC à DC. Comme l'ont indiqué les créateurs de DCShadow, cette attaque peut "rendre aveugle votre SIEM qui vaut un million de dollars".
- Zerologon : Cette vulnérabilité (CVE-2020-1472) permet à un utilisateur non authentifié disposant d'un accès réseau à un contrôleur de domaine d'obtenir les privilèges d'administrateur de domaine et de télécharger les informations d'identification AD. Comme ce magasin d'informations d'identification comprend également le compte KRBTGT pour le domaine, Zerologon est également à l'origine de nombreuses attaques de type "Golden Ticket", qui utilisent ce compte.
- Attaque basée sur la modification de la stratégie de groupe : Cette attaque modifie la stratégie de groupe et exécute des actes destructeurs, tels que la propagation de l'installation d'un ransomware sur les points d'extrémité. Malheureusement, les modifications de la stratégie de groupe ne créent pas d'alertes suspectes.
Limites du SIEM et du SOAR en matière de protection d'AD
La journalisation et la surveillance des journaux jouent un rôle majeur dans la détection des menaces, en aidant à sécuriser et à maintenir les normes de sécurité de votre organisation. Mais comme toutes les attaques Active Directory ne laissent pas de traces dans les journaux, dépendre uniquement d'une solution SIEM ou SOAR pour les détecter peut être un pari risqué. C'est pourquoi les entreprises doivent envisager un produit capable de s'intégrer au SIEM et de surveiller plusieurs sources de données, au lieu de s'appuyer uniquement sur les journaux d'événements liés aux contrôleurs de domaine.
Lorsqu'ils s'attaquent à AD, les cybercriminels mettent en œuvre plusieurs tactiques pour éviter d'être détectés. AD jouant un rôle majeur dans la gestion des accès, il est important de préserver son intégrité et de détecter immédiatement les modifications malveillantes, même celles qui échappent à la journalisation.
Le récent rapport de Gartner sur les meilleures pratiques en matière de gestion des identités et des accès (IAM), intitulé Implement IAM Best Practices on Your Active Directory, indique que les solutions de détection et de réponse aux menaces AD (AD TDR) jouent un rôle important dans la détection et résolution des menaces liées à l'identité (ITDR) et peuvent s'intégrer aux outils SIEM et SOAR pour identifier les menaces que ces outils ne peuvent pas repérer.
Surveillance spécifique à l'AD pour une protection complète
En surveillant et en évaluant plusieurs sources de données, y compris le flux de réplication AD, afin d'identifier les menaces, les entreprises peuvent les repérer rapidement. Lorsqu'elles sont mises en œuvre parallèlement à des solutions SIEM ou SOAR, les solutions de surveillance conçues pour AD offrent la visibilité approfondie dont les entreprises ont besoin.
Des outils tels que Purple Knight et Semperis Directory Services Protector (DSP) se concentrent sur les indicateurs de sécurité Active Directory. Ces indicateurs d'exposition (IOE) ou de compromission (IOC) peuvent révéler des vulnérabilités et des exploits que les solutions SIEM ou SOAR ordinaires ne capturent pas. DSP propose également un retour en arrière automatisé des activités suspectes, de sorte que les attaques peuvent être atténuées même sans intervention humaine.
Les solutions SIEM et SOAR sont des outils utiles. Mais dans le paysage actuel de la sécurité, la meilleure défense est une défense à plusieurs niveaux.