5 façons de protéger Active Directory avec Varonis

Active Directory

Le moyen le plus rapide de s’infiltrer dans un réseau est de passer par Active Directory (AD) – c’est lui qui détient les clés de tout le royaume. Si vous devez accéder à un serveur quel qu’il soit, vous devez en demander la permission à AD.

Varonis surveille Active Directory pour vous protéger d’une multitude de cybermenaces. En rassemblant des connaissances sur AD, l’activité du serveur de fichiers et la télémétrie du périmètre, Varonis peut détecter des menaces dans AD avant qu’elles ne deviennent des violations de données à part entière.

Remarque technique : les termes « Active Directory » et « services d’annuaires » sont souvent utilisés de manière interchangeable : Active Directory est l’implémentation de services d’annuaires de Microsoft , ou de LDAP.

Comment Varonis surveille-t-il Active Directory ?

Varonis réunit et conserve les journaux d’événements de sécurité générés par vos contrôleurs de domaines. Nous analysons les données des journaux AD dans le contexte de l’activité dans les fichiers, l’activité du VPN, les requêtes DNS et les requêtes de proxy pour obtenir une vision claire de ce qui est un comportement normal et anormal. Varonis analyse les modèles comportementaux des utilisateurs dans le temps et compare les modèles comportementaux connus à l’activité en cours – si l’activité AD paraît suspecte ou diffère de ce qui est habituel pour un utilisateur donné (ou un type d’utilisateur), il émet une alerte. Les équipes de sécurité utilisent ces alertes pour détecter les menaces actives tout en utilisant l’interface utilisateur de Varonis pour déterminer comment l’incident a pu se produire.

Comment Varonis détecte le vol de données d’identification

Le vol de données d’identification, c’est-à-dire l’utilisation illicite des informations de connexion d’une personne, est l’une des méthodes les plus couramment utilisées pour s’infiltrer dans un réseau. Il est plus facile de voler un mot de passe que de lancer une attaque par force brute ou de pirater Kerberos. Malgré tous les efforts que vous déploierez pour former vos utilisateurs aux principes de cybersécurité et pour leur apprendre à se protéger, ils resteront toujours le maillon faible. Un jour ou l’autre, n’importe quel utilisateur peut cliquer par accident sur un lien de phishing. Ce qui signifie qu’en plus de la formation dispensée, il est important de surveiller les éventuels vols de données d’identification. Voici quelques modèles de menaces qui isolent des preuves de vol de données d’identification.

Modèle de menace : comportement d’accès anormal : possibilité d’une attaque par credential stuffing à partir d’une source unique

Comment ça marche : Varonis a détecté plusieurs tentatives manquées de connexion à l’aide de noms d’utilisateur ou mots de passe incorrects depuis un appareil unique.

Ce que cela signifie : soit un hacker essaie de trouver un nom d’utilisateur valide en lançant une attaque par force brute, soit il possède une liste de noms d’utilisateurs obtenue lors d’un précédent piratage, et essaie de deviner une combinaison de nom d’utilisateur / mot de passe valide – ce qui en fait une attaque par credential stuffing. La bonne nouvelle, c’est qu’à ce stade le hacker n’a pas accès à votre réseau et que vous avez encore le temps de le fermer par précaution.

Systèmes visés : services d’annuaire

Modèle de menace : comportement anormal : nombre inhabituel d’accès à des appareils

Comment ça marche : Varonis analyse les services d’annuaire en continu à la recherche d’informations de connexion, tout en comparant l’historique des modèles comportementaux aux données en cours. Dans ce cas, le hacker possède les données d’identification d’un utilisateur et sonde le réseau pour déterminer à quels appareils il peut accéder à l’aide de ce compte.

Ce que cela signifie : un hacker peut se servir d’un compte utilisateur pour exploiter ses actifs – sur plusieurs appareils. Vous devez au minimum changer de mot de passe et trouver comment ce compte a été piraté. Vous devez mener l’enquête pour déterminer à quoi d’autre le hacker a eu accès pour vous assurer qu’il n’y a pas eu de vol de données.

Systèmes visés : services d’annuaire

Comment Varonis détecte les augmentations de privilèges

Une fois que les hackers ont accès à votre réseau, ils essaient d’étendre leur accès à des droits Administrateur ou Administrateur de domaine. Ce type d’activité, consistant à tenter d’augmenter ses droits d’accès, est appelé augmentation de privilèges. Les hackers utilisent les droits qu’ils possèdent déjà pour se procurer des privilèges supérieurs. Plusieurs méthodes permettent d’augmenter les droits d’accès et de se déplacer latéralement sur le réseau. Voici quelques modèles de menaces qui détectent les tentatives d’augmentation des privilèges.

Modèle de menace : modification des adhésions : groupes admin

Comment ça marche : Varonis classe les utilisateurs et groupes en quatre compartiments : habilité, service, cadre et utilisateur. Les groupes habilités détiennent des droits d’accès admin à au moins quelques ressources de votre réseau, pour ne pas dire à la plupart. Ce modèle de menace recherche tout membre ajouté ou supprimé dans des groupes (habilités) admin.

Ce que cela signifie : quelqu’un a ajouté ou retiré un utilisateur dans un groupe admin. Un hacker peut ajouter un admin à un groupe pour élever ses droits d’accès – ou supprimer un admin pour refuser un accès, et empêcher ainsi une réponse à une attaque. Si cette modification a été apportée en dehors d’un contrôle de modification, cela peut signifier qu’une attaque par augmentation des privilèges a lieu.

Systèmes visés : services d’annuaire

Modèle de menace : échec d’une augmentation de privilège détectée via une vulnérabilité dans Kerberos

Comment ça marche : Varonis surveille les connexions des utilisateurs du domaine à la recherche de preuves d’une attaque Silver Ticket. Chaque connexion contient des détails analysés par Varonis afin de rechercher toute tentative de contournement de l’authentification Kerberos.

Ce que cela signifie : un hacker a tenté d’exploiter une vulnérabilité de Microsoft dans son implémentation de Kerberos, qui lui permet d’augmenter ses droits au moyen d’un Ticket Granting Service (TGS) falsifié. Pour connaître tous les détails, consultez Microsoft CVE-2014-6324. Corrigez vos contrôleurs de domaine pour remédier à ce CVE et tenez les hackers à l’écart de votre réseau !

Systèmes visés : services d’annuaire

Comment Varonis détecte les déplacements latéraux

En supposant que le hacker soit parvenu à cette étape sans être détecté, il peut commencer son exploration pour trouver des données sensibles à voler. Nous qualifions cette phase de la chaîne du cybercrime de « déplacement latéral » car les hackers se déplacent latéralement sur votre réseau à l’aide des droits d’accès volés. Varonis identifie et surveille vos dépôts de données sensibles pour identifier ce type de manigances. Varonis identifie où se trouvent les données sensibles et classe chaque compte AD en tant que service, cadre, habilité ou utilisateur. En sachant à quel type de données chaque compte a accès, Varonis peut prendre des décisions informées et analyser l’activité en cours de l’utilisateur.

Modèle de menace : comportement anormal : nombre inhabituel de connexions à des appareils personnels

Comment ça marche : à chaque fois que le hacker accède à un nouveau serveur du réseau, il génère un nouvel événement de connexion. Varonis surveille ces événements de connexion pour identifier les comportements anormaux, et le fait qu’un utilisateur se connecte à plusieurs serveurs en un court laps de temps – en particulier à ceux auxquels il n’avait jamais accédé avant – déclenche un signal d’alerte.

Ce que cela signifie : quelqu’un se comporte de manière inhabituelle, il est donc possible qu’un hacker ait pris la main sur ce compte utilisateur. Cela peut vouloir dire qu’il a accédé au réseau – et qu’il est maintenant à la recherche de données à voler.

Systèmes visés : services d’annuaire

Comment Varonis vous protège de l’affaiblissement du chiffrement

Disposer d’un chiffrement fort est essentiel au maintien en sécurité des noms d’utilisateur et mots de passe du réseau, mais malheureusement ce n’est pas une solution infaillible. Les versions les plus récentes d’AD utilisent le chiffrement AES pour protéger les tickets Kerberos, mais les hackers ont trouvé comment faire en sorte qu’AD utilise à la place le chiffrement RC4, bien plus facile à craquer. C’est ce que l’on appelle une attaque par affaiblissement du chiffrement – ou attaque Skeleton Key – et Varonis intègre un modèle de menace permettant de la détecter.

Modèle de menace : attaque par affaiblissement du chiffrement

Comment ça marche : Varonis surveille les connexions à AD, qui contiennent chacune des informations sur le niveau de chiffrement utilisé pour se connecter. Toute augmentation du nombre de connexions à des niveaux de chiffrement plus faibles déclenche une alerte.

Ce que cela signifie : les hackers essaient probablement de diminuer le niveau de chiffrement dans le but de contourner Active Directory. Ils pourraient alors être en mesure d’utiliser une Skeleton Key qui leur permettra, vous l’avez deviné, de s’authentifier en tant que n’importe quel utilisateur.

Systèmes visés : services d’annuaire

Comment Varonis détecte les menaces visant Kerberos

Si vous utilisez AD, vous utilisez Kerberos ; si vous utilisez Kerberos, il est certaines vulnérabilités dont vous devez avoir connaissance. Varonis surveille les activités liées à ces vulnérabilités.

Modèle de menace : attaque « pass-the-ticket » potentielle

Comment ça marche : Varonis analyse les journaux Active Directory à la recherche de preuves d’accès à une ressource contournant le processus Kerberos et une autorisation en bonne et due forme.

Ce que cela signifie : quelqu’un tente de s’infiltrer dans votre réseau – à moins que vos nouveaux stagiaires appartiennent à la Red Team. Un hacker utilise probablement un ticket volé pour accéder à des ressources. Il est possible qu’une attaque Golden Ticket soit en cours, ce qui veut dire que vous allez devoir faire le grand ménage pour contenir cette menace.

Systèmes visés : services d’annuaire

Fort de plusieurs centaines de modèles de menaces intégrés, DatAlert détecte tous les événements anormaux, depuis les attaques golden ticket jusqu’aux comportements de verrouillage anormaux, en passant par l’empoisonnement de cache DNS. Vous pouvez automatiser une opération visant à désactiver un compte compromis, tuer les sessions actives et même avertir votre SIEM (Gestion des événements et informations de sécurité) pour obtenir un travail d’analyse et de corrélation plus approfondi.

Pour se protéger des violations de données, il est impératif que les entreprises comprennent Active Directory, et mettre en place une surveillance active d’Active Directory peut faire toute la différence entre une tentative de vol de données et un vol réel.

Obtenez une démonstration individuelle de Varonis et découvrez en quoi notre approche de la sécurité des données est différente.