Les récentes vulnérabilités qui ont touché un grand nombre d'entreprises dans le monde mettent en évidence le manque de ressources consacrées à la sécurité des environnements AD. Avec 425 millions d'utilisateurs actifs d'Azure AD (AAD) à la fin de 2020, il est plus crucial que jamais de garantir la sécurité d'AD.
AD dans le Cloud : une cible attrayante pour les cybercriminels
Que ce soit en déploiement sur site ou dans le Cloud, Active Directory représente une valeur inestimable pour les acteurs malveillants cherchant à se déplacer dans les réseaux. En pénétrant l'annuaire AD de leurs victimes, les attaquants ont accès à des clés et à des identités exploitables, leur permettant de compromettre des systèmes de plus en plus critiques.
Il existe une différence essentielle entre un annuaire AD classique sur site et AAD (Azure AD) : le premier présente un plus grand nombre de points d'infection potentiels.
Dans les modèles hybrides, AAD hérite des vulnérabilités d'AD sur site en termes de sécurité. Les annuaires AD renferment non seulement des informations d'identification précieuses, mais ils constituent également un point d'entrée relativement plus simple pour un attaquant motivé.
AD est une solution d'authentification unique (Single-Sign-On ou SSO) sur site qui a été initialement conçue avec certaines fonctionnalités de sécurité pour offrir une expérience utilisateur transparente.
La sécurité n'a jamais été une partie intégrante de la conception d'AD et a dû être ajoutée par ceux qui l'ont implémentée. Bien que des politiques strictes puissent théoriquement être mises en œuvre pour limiter les écarts par rapport à une ligne de base et sécuriser les environnements AD sur site, leur mise en place est complexe et leur gestion est difficile.
Les entreprises qui envisagent de maintenir leur environnement AD sur site doivent respecter au moins quatre principes afin de ne pas ouvrir la voie aux attaquants :
Supprimer les autorisations exploitables : les groupes tels que les administrateurs de domaines sont ciblés par les cybercriminels, car ils détiennent les "clés du royaume". Selon le principe du moindre privilège, les entreprises doivent gérer la délégation de l'administration d'AD et limiter le nombre d'utilisateurs ayant des droits d'accès étendus.
Déployer une solution de gestion des accès à privilèges (#PAM) pour contrôler les informations d'identification des comptes utilisateurs à privilèges et des comptes de service.
Établir un calendrier d'audit strict et régulier : tous les changements doivent être consignés et pris en compte, et des alertes doivent être définies en cas d'élévation des privilèges.
Préparer un plan de reprise : en cas de défaillance de la défense, un plan d'intervention bien élaboré est essentiel. Il représente des économies potentielles de centaines de milliers d'euros pour les victimes.
Bien qu'il soit légèrement plus facile à gérer du point de vue de la sécurité, AAD n'est pas intrinsèquement plus sûr. La gestion de la sécurité d'AAD n'est pas automatisée et peut être longue et fastidieuse, en particulier pour les petites entreprises qui ne disposent pas toujours des ressources nécessaires pour respecter le processus de configuration approprié.
Les nouveaux utilisateurs sont souvent configurés sur site pour être productifs dès le premier jour, puis ils se voient attribuer un compte AAD leur donnant accès à Office 365. Il est essentiel que ces étapes soient effectuées de manière adéquate et sécurisée, car la gestion d'AAD et d'O365 peut être complexe et risquée.
Sécurité d'AD et d'AAD : une stratégie de sécurité globale
Les politiques et les pratiques de sécurité d'AD et d'AAD varient considérablement d'une entreprise à l'autre. Une bonne stratégie dépend donc de la taille et des ressources disponibles. La première étape consiste toujours à effectuer une évaluation initiale afin de déterminer la surface à protéger.
Ensuite, l'exécution d'un test d'intrusion mettra en évidence les vulnérabilités et les problèmes de sécurité majeurs susceptibles d'être exploités par un attaquant. Une fois identifiés, ils pourront être atténués de manière appropriée.
Il est également important de développer un plan de gestion continue des nouvelles vulnérabilités à mesure qu'elles sont détectées par les fournisseurs. L'application de correctifs peut entraîner des interruptions de service, un paramètre qui doit être pris en compte et planifié afin de réduire les pertes opérationnelles.
Enfin, la sécurité d'AD et d'AAD doit être régulièrement réévaluée et auditée, que ce soit par un autre test d'intrusion ou une analyse des vulnérabilités.
Ce qu'il faut surtout éliminer, ou du moins limiter, ce sont les risques d'erreurs. AD et AAD sont des environnements par nature complexes, et les violations ont tendance à se produire en raison de failles de sécurité et de mauvaises configurations, plutôt que suite à une attaque particulièrement sophistiquée.
En limitant les autorisations aux seuls utilisateurs concernés et en veillant à ce qu'elles ne puissent pas être modifiées, que ce soit par accident ou par un cybercriminel, il est possible de sécuriser tous les systèmes qui dépendent d'AD et d'AAD.
Commenti