La détection d'une cyberattaque en cours est un élément essentiel de toute stratégie de sécurité. Mais il est de plus en plus difficile de repérer les attaquants malveillants qui accèdent aux systèmes d'information par des failles dans le système d'identité, puis se déplacent furtivement dans l'environnement - souvent sans être détectés pendant des semaines ou des mois - avant de déposer des logiciels malveillants. Pour détecter les attaques contre les systèmes d'identité, de nombreuses entreprises s'appuient sur la consolidation des journaux d'événements DC et sur les solutions SIEM. Mais certaines techniques d'attaque ne laissent aucune trace d'activité malveillante.
Dans cette session, Tal Sarid présentera quelques techniques d'attaque qui contournent les solutions de surveillance traditionnelles.
Vous en ressortirez avec des lignes directrices pour vous prémunir contre les cyberattaques qui ne laissent aucune trace :
- Comprendre le fonctionnement des techniques d'attaque courantes qui contournent la journalisation, notamment DCShadow, les modifications de la stratégie de groupe (comme dans le cas du ransomware Ryuk) et les attaques Zerologon.
- Comment protéger proactivement votre Active Directory contre les attaques de type "leave-no-trace" en se concentrant sur le trafic de réplication des DC pour détecter les changements dans les stratégies de groupe et les modifications d'objets spécifiques ?
- Comment annuler des modifications malveillantes apportées à AD ?
- Comment accélérer votre réponse aux changements malveillants une fois qu'ils sont détectés grâce à une analyse forensique ciblée ?