Serveur d'impression

Protection avancée contre les menaces et Analyse avancée des menaces Azure – Vérification de la virtualisation – Serveur d’impression

Par Titanfall , le 12 novembre 2019 - 8 minutes de lecture

Revue: Protection avancée contre les menaces Azure et analyse avancée des menaces

Paul Schnackenburg se penche sur Azure Advanced Threat Protection et son cousin, Advanced Threat Analytics, qui protège contre les attaques basées sur l'identité dans les organisations qui s'exécutent sur les services de domaine Active Directory.

Si votre entreprise fonctionne avec les services de domaine Active Directory (AD DS), vous devez vous assurer que vous êtes protégé contre les attaques basées sur l'identité. Et rien de mieux que Azure Advanced Threat Protection (AATP) ou son cousin, Advanced Threat Analytics (ATA). Dans cet article, nous examinerons comment ils fonctionnent et ce qu’ils peuvent apporter à la table pour sécuriser votre entreprise.

Rencontrer la famille
ATA a commencé comme une acquisition que Microsoft a faite en 2014 de la société Aorato. ATA est une solution sur site que vous déployez et gérez qui surveille vos contrôleurs de domaine (DC), leurs journaux des événements et leur trafic réseau, en détectant les anomalies et les attaques connues. Il crée des profils sur le comportement des comptes d'utilisateurs et des périphériques dans le temps et utilise l'apprentissage par machine pour signaler un comportement inhabituel. Le problème avec ATA est que le déploiement et la maintenance en cours sont un peu lourds (qui veut configurer et gérer des serveurs dans le monde nuageux d'aujourd'hui?) Et que les mises à jour n'arrivent que tous les 3 à 6 mois. Si vous possédez une licence Microsoft 365 E3 ou EMS E3, ATA fait partie du package.

En revanche, AATP est la prochaine version de ATA. Il s’agit d’un service cloud dans lequel vous déployez simplement des agents sur site et où le côté serveur est hébergé par Microsoft dans Azure et vous utilisez une console Web pour accéder à vos alertes. Les mises à jour arrivent toutes les deux semaines. L'AATP fait partie des licences Microsoft 365 E5 ou EMS E5 et est également disponible en tant que licence autonome.

Les deux produits excellent pour détecter et identifier les attaquants de votre réseau lors de la reconnaissance, élever les privilèges et se déplacer latéralement pour attaquer vos contrôleurs de domaine afin d'atteindre l'objectif ultime: la domination du domaine.


Notification d'activité suspecte
[Click on image for larger view.]
Figure 1. Notification d'activité suspecte

Tuer la chaîne et vecteurs d'attaque
La façon dont les pirates informatiques attaquent les entreprises aujourd'hui est souvent décrite comme une chaîne de destruction. Si vous parlez à des professionnels de la sécurité, ils ne sont pas friands de cette métaphore, car elle est un peu trop séquentielle, alors que les attaquants ont tendance à se déplacer comme un graphe. Néanmoins, c’est un bon outil pour aider les non-informaticiens à comprendre qu’un «piratage» n’est pas une simple étape, c’est une série d’étapes et que si vous pouvez interrompre les pirates tout au long de ces étapes, vous pouvez les contrecarrer. Passons brièvement en revue les phases d'une chaîne de destruction.

Si vous regardez la plupart des piratages de haut niveau qui font l'actualité, presque tous ont commencé avec une forme de compromis d'identité. Ceci peut être réalisé avec un email de phishing ou une attaque par pulvérisation de mot de passe (et de nombreuses autres méthodes bien sûr). Ce dernier essaie simplement d'utiliser des mots de passe communs contre tous vos comptes d'utilisateur, quelques-uns à la fois, afin que les protections ne détectent pas nécessairement l'attaque. Si vous n'interdit pas les mots de passe incorrects, combien d'utilisateurs dans une entreprise peuvent utiliser "Mot de passe1"? L'attaquant n'a besoin que d'un coup pour prendre pied.

Une fois dedans, un attaquant commencera la phase de reconnaissance pour déterminer le type d'accès de l'utilisateur compromis, des groupes dont il est membre et si les informations d'identification de tout autre utilisateur (tickets Kerberos ou hachages NTLM) sont disponibles sur le PC compromis. Ils utiliseront probablement aussi DNS pour cartographier le réseau et comprendre où se trouvent les serveurs.

Ils essaieront ensuite de compromettre d'autres informations d'identification pour élever leur privilège (en utilisant peut-être un outil tel que BloodHound pour trouver le chemin d'accès le plus court aux informations d'identification d'administrateur) afin d'accéder à davantage de systèmes. C'est ce qu'on appelle le mouvement latéral. Ils finiront par trouver et compromettre les informations d'identification d'un administrateur de domaine et passeront à la phase de domination du domaine. Une dernière phase potentielle (en fonction des motivations de l'attaquant) est l'exfiltration, dans laquelle des données sensibles sont copiées de votre réseau vers les systèmes de l'attaquant.

Le temps moyen (sur la base des nombreuses missions de réponse aux incidents de Microsoft) pour parvenir à la domination du domaine est de 48 heures. La plupart des réseaux d'entreprise n'ont aucune idée de cette activité (tout se trouve dans les journaux d'événements et le trafic réseau, mais personne ne la trouvera si vous ne disposez pas d'un bon outil pour analyser et "relier les points") et cela prend en moyenne six mois. pour se rendre compte qu'ils ont été compromis.

C’est là que l’AATP et l’ATA entrent en scène. Pendant la phase de reconnaissance, ils détectent la reconnaissance LDAP, l'énumération du compte, l'énumération des utilisateurs et des adresses IP, ainsi que l'énumération des noms d'hôte / serveur. Au cours de la phase de compromis, les tentatives de force brutale et les connexions VPN suspectes seront signalées, tandis que la phase de mouvement latéral indiquera Pass-the-Ticket, Pass-the-Hash et Overpass-the-Hash. Ces attaques sont des exemples d'utilisation d'identifiants pour emprunter l'identité de d'autres utilisateurs pour passer à d'autres systèmes de l'environnement. Celles-ci fonctionnent sur un réseau Windows, car toutes les informations d'identification de tout utilisateur connecté à un système (depuis le redémarrage) sont stockées en mémoire afin de faciliter la connexion unique, de sorte que vous n'avez pas à fournir votre nom d'utilisateur et votre nom d'utilisateur. mot de passe chaque fois que vous accédez à un autre fichier ou serveur SharePoint, par exemple. Mimikatz est un outil populaire pour cette phase.

Enfin, lors de la phase de domination du domaine, des activités telles que les attaques par ticket d’or, DCShadow, DCSync et Skeleton Key, entre autres, sont portées à votre attention.


Notification d'activité suspecte
[Click on image for larger view.]
Figure 2. AATP et la chaîne de destruction (source: Microsoft)

Déploiement
La configuration d'AATP est simple: créez un client hébergé (précédemment appelé espace de travail), configurez-le avec un compte utilisateur AD (vous devez disposer d'un accès en lecture au répertoire), téléchargez et installez le capteur (agent) en mode autonome, serveurs de domaine (pour les environnements de très haute sécurité) ou directement sur vos contrôleurs de domaine.

ATA nécessite plus de travail et de planification (et de dimensionnement), et je recommande d'exécuter l'outil de dimensionnement pour avoir une idée du type de capacité système dont vous aurez besoin.

Améliorations récentes

L’AATP, en particulier, fait l’objet d’une amélioration constante et les ajouts récents incluent

intégration plus poussée avec d'autres produits de sécurité Microsoft
, notamment

MCAS (Microsoft Cloud App Security)
, qui se concentre également sur l'identité, mais au lieu de comptes AD, il suit l'utilisation du cloud et les identités dans les services SaaS avec l'intégration avec

Protection de l'identité Azure AD
. Cela permet de résoudre un autre problème croissant, à savoir l'identité hybride dans le cloud et sur site, en tant que vecteur permettant aux attaquants de pénétrer dans un compte cloud, puis de passer à sur site. Le MCAS


Informations de contexte de compte d'utilisateur
[Click on image for larger view.]
Figure 3. Informations de contexte de compte d'utilisateur

Le score de priorité des enquêtes est relativement nouveau et permet aux analystes de la sécurité très occupés de se concentrer sur les incidents les plus importants et les utilisateurs à risque en premier. L'AATP s'intègre également à Secure Score pour vous aider à mesurer les améliorations apportées à votre posture de sécurité à mesure que vous implémentez un renforcement du renforcement de votre environnement. La nouvelle posture d’Identity Security est très intéressante et vous aide à identifier les systèmes et les services de votre environnement qui reposent sur LDAP simple bind, la délégation sans contrainte NTLM v1 et Kerberos, qui sont tous courants dans les entreprises dotées de systèmes hérités et qui attirent tous les attaquants vulnérable.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.