Active Directory : Qu’est ce que les IoE AD et quelques bonnes pratiques



Dans notre précédent article, nous avions parlé de la structure physique de l’AD et des raisons pour lesquelles les entreprises devraient prendre à cœur la sécurité de l’AD. Avant de nous orienter vers les procédés des hackers en phase de piratage, nous faisons un tour rapidement sur les indicateurs d’expositions et proposons quelques bonnes pratiques intéressantes.

Alors, définissons ce que représentent les indicateurs d’exposition.

Les indicateurs d’exposition permettent de s’assurer que les infrastructures ne puissent pas être exploitées par des attaquants afin d’obtenir des privilèges d’administrateur. Ils représentent donc l’ensemble des vecteurs d’attaques possibles pour un attaquant afin de pouvoir s’insérer dans le système d’une organisation cible.

Il est important pour toute organisation qui se respecte d’identifier ces vecteurs d’exposition et de pouvoir attribuer un niveau de faisabilité de l’exploitation de la vulnérabilité afin que les entreprises puissent s’organiser et identifier leurs priorités vis-à-vis de leurs faiblesses identifiées. Si nous souhaitons faire un lien avec la sécurité fonctionnelle, l’on évoquera l’analyse des risques qui est très importante dans le processus de planification, et plus globalement de gouvernance appliquée dans maintes entreprises de nos jours.

L’identification des IoE est donc une “sorte” de gestion de risques cyber avec premièrement l’identification des vulnérabilités applicables aux actifs de l’organisme, l’appréciation de celles-ci par rapport à une échelle définie de vraisemblance et de gravité afin de pouvoir découler sur un niveau de criticité qui nous permettra de définir le plan d’actions le plus adapté aux réalités du système informatique.

Comment doit-on procéder pour déterminer ces IoE ?

Plusieurs facteurs doivent être considérés pour se faire mais il faut retenir que tout événement du système informatique qui permettrait d’accéder à un actif critique de l’organisme est un IoE. Observons ensemble la nuance à travers l’exemple suivant:

Vous l’avez compris, les IoE ne sont pas intrinsèquement un concept purement AD mais quel lien faisons nous avec l’AD. Il faut dire que nous entendons par IoE AD toute action usant d’une vulnérabilité qui permettrait à un attaquant d’accéder à des ressources critiques de l’architecture AD.

Mais quels sont les différents types d’IoE AD ?

Nous distinguons trois types d’IoE AD que sont:

Il s’agit ici des indicateurs qui garantissent que l’AD réduit au maximum l’ensemble des vecteurs exploitables par les hackers dans la réalisation de montée en privilège. Une montée en privilège consiste en un changement de droit d’accès aux ressources au sein d’un système.

Il s’agit ici de s’assurer que le système ne présente pas de portes dérobées en son sein ou que des techniques de persistance aient été réalisées afin de permettre aux hackers de se rendre comme ils le souhaitent dans le système informatique. Une stratégie de sécurité efficace doit être déployée afin de réduire les risques évoqués.

Pour rappel, une porte dérobée est un accès tenu secret vis-à-vis de l'utilisateur légitime aux données contenues dans un logiciel ou sur un matériel.

Il s’agit ici des indicateurs qui garantissent que l’AD implémente les stratégies de sécurité recommandées afin que les systèmes d’informations puissent être renforcés contre les cyberattaques actuelles.

Toute entreprise qui souhaite gérer efficacement son AD se doit de bien identifier et gérer leus IoE. Il existe des menaces propres à l’AD mais nous les évoquerons dans les articles à venir :-). Orientons nous dès à présent vers quelques bonnes pratiques de l’AD.

Bonnes pratiques AD

Comme évoqué dans l’article précédent, l’AD est un actif vivant autant qu’une entreprise. De ce fait, l’une des meilleures pratiques de sécurité consiste à examiner régulièrement et de manière proactive les configurations de l’AD et sa conformité vis-à-vis des recommandations globales. Des outils et solutions plug and play existent pour la gestion proactive de l’AD dans les organisations. N’hésitez pas à nous faire savoir si vous souhaitez que l’on vous propose ce type de contenu.

En ce qui concerne l’AD, de façon générale, il est important de protéger les comptes de service, limiter le nombre des administrateurs dans le système et réduire les tâches programmées au sein de l’AD. Néanmoins, nous souhaitons vous proposer les 7 bonnes pratiques qui ont été identifiées dans la formation TCSA AD de Tenable que nous avons trouvés particulièrement intéressantes :

Après avoir installé AD, il est essentiel de revoir la configuration de la sécurité et de la mettre à jour en fonction des besoins de l'entreprise. Il y a des outils qui permettent de faire du monitoring de la configuration de l’AD et de présenter les manquements qui y sont présents.

Il est intéressant de passer en revue toutes les autorisations nécessaires pour les données et les applications pour tous les rôles des employés dans l'organisation en appliquant le principe du moindre privilège. Ce principe consiste à restreindre les droits d'accès des utilisateurs, des comptes et des processus informatiques aux seules ressources absolument nécessaires à l'exécution d'activités courantes et légitimes. Cette pratique est très recommandée surtout qu’un système n’est jamais totalement intrusion-proof.

Il est important de passer soigneusement en revue l'ensemble du personnel informatique et de n’accorder les privilèges d'administration et l'accès aux superutilisateurs qu'aux personnes qui en ont absolument besoin pour remplir leur rôle. Ce point rejoint un peu celui évoqué plus haut mais avec une attention particulière sur les comptes sensibles.

Il faut effectuer des rapports sur les tentatives d'accès inhabituelles et signalez tout accès provenant de l'intérieur ou de l'extérieur de l'organisation. Ces rapports pourront rentrer dans le cadre de la mise en place d’une procédure de gestion d’incidents donc d’amélioration continue qui accompagnera les différents états du cycle de vie de l’AD.

La sauvegarde régulière de la configuration et du répertoire AD doit être réalisée. Il faut mettre en place des processus de reprise après sinistre pour permettre une récupération rapide en cas d'atteinte à l'intégrité de l'AD. Ces bases de configuration doivent faire partie intégrante des Plan de Reprises d’Activité au vu de l’importance des données se trouvant au niveau de l’AD.

Il faut une équipe en place compétente afin d’assurer un processus de correction et de maintenance rapide, efficace et efficient pour l’AD et les autres failles détectées sur le système d’information.

La centralisation de l'ensemble des examens, des rapports, des contrôles et de l'administration en un seul endroit est indispensable, et il faut rechercher des outils capables de fournir des interactions systèmes automatisées pour l'émission d'alertes et l'aide à la résolution rapide de problème. Des solutions existantes de centralisation et services managés existent et n’hésitez pas, comme nous l'évoquions souvent, à signifier en commentaire si vous souhaitez que nous fassions typiques sur ce genre de solutions.

En suivant ces bonnes pratiques, vous réduisez assurément l’ensemble des vecteurs d’attaques possibles vers votre environnement AD. Et vous, quelles sont les bonnes pratiques que vous appliquez dans vos entreprises respectives ? Signifiez les en commentaire pour le partage d’expérience.

Maintenant que l’AD est connu, son vocabulaire, sa structure ainsi que ses bonnes pratiques générales de gestion, nous allons dans notre prochain article aborder les différentes étapes de compromission de l’AD d’un point de vue Hacking.

Sources: