Après une dizaine d'années passées dans les technologies de virtualisation, j'ai rejoint Semperis et me suis plongé dans le monde de l'Active Directory. Au cours des trois dernières années, qui ont été marquées par certaines des attaques de logiciels malveillants les plus vicieuses jamais documentées, je pense que je me suis enfin familiarisé avec cette partie du monde de la gestion des identités et des accès (IAM).
Voici quelques conclusions auxquelles je suis parvenu. Tout d'abord, la question des attaques de sécurité n'est pas de savoir si elles se produiront, mais plutôt quand elles se produiront. Si vous voulez contester cette affirmation, consultez votre fil d'actualité. La deuxième conclusion est que dans presque toutes les attaques, Active Directory est soit manipulé, soit crypté, soit détruit. Peu importe que vous soyez une petite administration de comté, un hôpital de taille moyenne ou une grande entreprise, une fois que l'attaquant est entré, c'est là qu'il veut aller. Compte tenu du trésor que représente le fait de "posséder" l'épine dorsale de la sécurité de l'organisation, comment un méchant pourrait-il résister ?
Lecture associée
J'ai dit tout à l'heure que j'étais à jour, ce qui, je dois l'admettre, n'est peut-être pas tout à fait vrai. Le plus grand mystère non résolu pour moi est de savoir ce qui arrive à une entreprise lorsque son Active Directory est compromis. Permettez-moi de préciser ce que j'entends par "compromis". Je veux dire que quelqu'un a obtenu les droits d'administrateur de domaine. Il peut voir tout ce qui se trouve dans la forêt, il peut aller partout, il peut se cacher partout, il peut devenir n'importe qui et faire à peu près n'importe quoi.
Après des dizaines de conversations avec de nombreux experts, il n'y a eu qu'une seule réponse concluante - "Go Nuclear !". - c'est-à-dire effacer tout votre Active Directory et le reconstruire à partir de zéro. C'est à ce moment de la discussion que tout le monde plaisante en disant qu'il s'agit d'un "événement qui change le CV".
Je serai le premier à vous dire que je ne peux pas parler de la quantité de travail nécessaire pour reconstruire votre AD, mais le mot "prohibitif" est souvent utilisé lorsque je m'informe. Je sais que sans la technologie de Semperis, la restauration manuelle d'une forêt Active Directory à partir d'une sauvegarde prend de quelques jours à quelques semaines, en fonction de la complexité, de la bande passante, etc. Alors, qu'est-ce que la reconstruction - des mois ? Des mois ? Des années ? Une organisation peut-elle survivre à cela ?
L'une des réponses possibles est qu'il est rare qu'un attaquant parvienne à dominer un domaine et que la plupart des piratages se produisent à un niveau beaucoup plus bas de la pile de sécurité. (Je n'y crois pas. Après la conférence sur la protection de l'identité hybride de cette année, la conférence HIP de l'année dernière et toutes les autres conférences sur ce sujet auxquelles j'ai assisté, c'est tout simplement trop facile.
À mon avis, s'ils ont obtenu les données financières de votre entreprise, la liste de vos clients ou tout autre élément de valeur, il se peut qu'ils détiennent également les "joyaux de la couronne". Pouvez-vous vivre avec cette éventualité ?
Permettez-moi donc de récapituler et de brosser un tableau malheureusement courant. Vous êtes un fabricant comptant 20 000 employés. Votre Active Directory contrôle les robots de vos usines, l'ensemble de l'informatique, les téléphones VoIP et les badges d'identification. À votre insu, quelqu'un s'est introduit dans votre réseau et se déplace latéralement (et lentement vers le haut) depuis huit mois. Il a maintenant la permission de faire n'importe quoi et a tout cartographié - il appuie sur LE bouton, et tout est crypté.
Que faites-vous ?
Je vais terminer la première partie ici ? J'aimerais beaucoup recevoir vos commentaires. Soit ici, soit par MP.
Pour les techniciens, j'ajouterai un détail et vous dirai de supposer qu'il y a un rootkit intégré dans vos contrôleurs de domaine. Ainsi, le BMR ou la restauration de l'état du système ne seront d'aucune utilité car ils réintroduiront l'attaquant ?