La réponse aux incidents (RI) est une course contre la montre. Vous engagez votre équipe interne ou externe parce qu’il existe suffisamment de preuves que quelque chose de grave se produit, mais vous restez aveugle à la portée, à l’impact et à la cause profonde. L’ensemble commun d’outils et de pratiques IR offre aux équipes IR la possibilité de découvrir les fichiers malveillants et les connexions réseau sortantes. Cependant, l’aspect identité – à savoir l’identification des comptes d’utilisateurs compromis qui ont été utilisés pour se propager sur votre réseau – reste malheureusement négligé. Cette tâche s’avère être la plus longue pour les équipes IR et est devenue une bataille difficile et difficile qui permet aux attaquants de gagner un temps précieux pendant lequel ils peuvent encore infliger des dégâts.
Dans cet article, nous analysons la cause profonde de l’identité des angles morts IR et fournissons des exemples de scénarios IR dans lesquels ils agissent comme un inhibiteur d’un processus rapide et efficace. Nous présentons ensuite la plateforme de protection unifiée des identités de Silverfort et montrons comment son MFA en temps réel et sa segmentation des identités peuvent surmonter cet angle mort et faire la différence entre un incident contenu et une violation coûteuse.
IR 101 : La connaissance, c’est le pouvoir. Le temps est tout
Le déclenchement d’un processus IR peut prendre des millions de formes. Ils partagent tous une ressemblance dans la mesure où vous pensez – ou êtes même sûr – que quelque chose c’est faux, mais tu ne sais pas exactement quoi, oùet comment. Si vous avez de la chance, votre équipe a repéré la menace alors qu’elle est encore en train de renforcer sa puissance intérieure, mais n’a pas encore atteint son objectif malveillant. Si vous êtes pas Heureusement, vous ne prenez conscience de la présence d’un adversaire qu’une fois que son impact s’est déjà fait sentir : machines cryptées, données manquantes et toute autre forme d’activité malveillante.
D’une manière ou d’une autre, la tâche la plus urgente une fois que l’IR commence à fonctionner est de dissoudre l’obscurité et d’obtenir un aperçu clair des entités compromises au sein de votre environnement. Une fois localisées et validées, des mesures peuvent être prises pour contenir les attaques en mettant les machines en quarantaine, en bloquant le trafic sortant, en supprimant les fichiers malveillants et en réinitialisant les comptes d’utilisateurs.
Il se trouve que cette dernière tâche est loin d’être triviale lorsqu’il s’agit de comptes d’utilisateurs compromis et présente un défi encore non résolu. Comprenons pourquoi.
Écart IR d’identité n° 1 : aucune démarche de Playbook pour détecter les comptes compromis
Contrairement aux fichiers malveillants ou aux connexions réseau sortantes malveillantes, un compte compromis ne fait rien de essentiellement malveillant : il se connecte simplement aux ressources de la même manière qu’un compte normal. S’il s’agit d’un compte administrateur qui accède quotidiennement à plusieurs postes de travail et serveurs – ce qui est le cas dans de nombreuses attaques – son mouvement latéral ne semblera même pas anormal.
Vous souhaitez en savoir plus sur les capacités de réponse aux incidents de la plateforme Silverfort ? Planifiez une démo aujourd’hui!
Le résultat est que la découverte du compte compromis a lieu uniquement après les machines compromises sont localisées et mises en quarantaine, et même dans ce cas, cela implique de vérifier manuellement tous les comptes qui y sont enregistrés. Et encore une fois : dans une course contre la montre, la dépendance à l’égard d’investigations manuelles et sujettes aux erreurs crée un retard critique.
Écart IR d’identité n°2 : aucune mesure de Playbook pour contenir immédiatement l’attaque et empêcher sa propagation
Comme dans la vraie vie, il y a une étape de premiers secours immédiats qui précède un traitement complet. L’équivalent dans le monde IR consiste à contenir l’attaque dans ses limites actuelles et à garantir qu’elle ne se propage pas davantage, avant même d’avoir découvert ses composants actifs. Au niveau du réseau, cela se fait en isolant temporairement les segments qui hébergent potentiellement des activités malveillantes de ceux qui ne sont pas encore compromis. Au niveau du point final, cela se fait en mettant en quarantaine les machines sur lesquelles se trouvent les logiciels malveillants.
Là encore, l’aspect identitaire doit rattraper son retard. Le seul confinement disponible consiste à désactiver le compte utilisateur dans AD ou à réinitialiser son mot de passe. La première option est interdite en raison des perturbations opérationnelles qu’elle introduit, notamment en cas de faux positifs. La deuxième option n’est pas bonne non plus ; si le compte suspect est un compte de service machine à machine, la réinitialisation de son mot de passe est susceptible de perturber les processus critiques qu’il gère, entraînant ainsi des dommages supplémentaires en plus de ceux causés par l’attaque. Si l’adversaire a réussi à compromettre l’infrastructure d’identité elle-même, la réinitialisation du mot de passe sera immédiatement résolue en passant à un autre compte.
Écart IR d’identité n°3 : aucune mesure de stratégie pour réduire les surfaces d’attaque d’identité exposées que les adversaires ciblent dans le cadre de l’attaque
Les faiblesses qui exposent la surface d’attaque d’identité à l’accès malveillant aux informations d’identification, à l’élévation des privilèges et aux mouvements latéraux constituent des angles morts pour la posture et les produits d’hygiène de la pile de sécurité. Cela prive l’équipe IR d’indications critiques de compromission qui auraient pu considérablement accélérer le processus.
Des exemples frappants sont les protocoles d’authentification vulnérables comme NTLM (ou, pire encore, NTLMv1), les mauvaises configurations comme les comptes définis avec une délégation sans contrainte, les administrateurs fantômes, les utilisateurs obsolètes et bien d’autres. Les adversaires se régalent de ces faiblesses alors qu’ils empruntent la voie de la vie hors de la terre. L’incapacité de localiser, de reconfigurer ou de protéger les comptes et les machines présentant ces faiblesses transforme l’IR en un véritable berger, où pendant que l’analyste est occupé à analyser pour voir si le compte A est compromis, les adversaires exploitent déjà le compte B compromis.
Conclusion : aucun outil. Aucun raccourci. Juste une analyse lente et manuelle des journaux pendant que l’attaque est à pleine vitesse
Voilà donc le statu quo : lorsque l’équipe IR doit enfin découvrir qui sont les comptes d’utilisateurs compromis que l’attaquant utilise pour se propager dans votre environnement. C’est un secret dont personne ne parle et c’est la véritable raison pour laquelle les attaques par mouvements latéraux sont si efficaces et difficiles à contenir, même lorsque le processus IR est en cours.
C’est le défi que Silverfort résout.
Protection d’identité unifiée Silverfort pour les opérations IR
La plateforme de protection unifiée des identités de Silverfort s’intègre à l’infrastructure d’identité sur site et dans le cloud (Active Directory, Entra ID, Okta, Ping, etc.). Cette intégration permet à Silverfort d’avoir une visibilité complète sur toute tentative d’authentification et d’accès, une application de l’accès en temps réel pour empêcher tout accès malveillant avec MFA ou blocage d’accès, ainsi qu’une découverte et une protection automatisées des comptes de service.
Voyons comment ces fonctionnalités accélèrent et optimisent le processus IR d’identité :
Détection des comptes compromis avec MFA sans interruption opérationnelle
Silverfort est la seule solution capable d’appliquer la protection MFA sur toutes les authentifications AD, y compris les outils de ligne de commande tels que PsExec et PowerShell. Grâce à cette fonctionnalité, une politique unique exigeant que tous les comptes d’utilisateurs vérifient leur identité avec MFA peut détecter tous les comptes compromis en quelques minutes.
Une fois la politique configurée, le flux est simple :
- L’adversaire tente de poursuivre son accès malveillant et se connecte à une machine avec les informations d’identification du compte compromises.
- Le véritable utilisateur reçoit une invite MFA et nie avoir demandé l’accès à la ressource spécifiée.
Objectif n°1 atteint : il existe désormais des preuves incontestables que ce compte est compromis.
Remarque : Maintenant qu’il existe un compte compromis validé, tout ce que nous devons faire est de filtrer toutes les machines auxquelles ce compte s’est connecté dans l’écran de journal de Silverfort.
Contenir l’attaque avec des politiques MFA et bloquer l’accès
La politique MFA que nous avons décrite ci-dessus sert non seulement à détecter quels comptes sont compromis, mais également à détecter quels comptes sont compromis.o empêcher toute propagation supplémentaire de l’attaque. Cela permet à l’équipe IR de geler l’emprise de l’adversaire là où il se trouve et de garantir que toutes les ressources encore non compromises restent intactes.
La protection en cas de perturbation opérationnelle revisitée : zoom sur les comptes de service
Une attention particulière doit être accordée aux comptes de service, car ils sont fortement exploités par les acteurs malveillants. Ces comptes machine à machine ne sont pas associés à un utilisateur humain et ne peuvent pas être soumis à la protection MFA.
Cependant, Silverfort découvre automatiquement ces comptes et obtient des informations sur leurs comportements répétitifs. Avec cette visibilité, Silverfort permet la configuration de politiques qui bloquent l’accès chaque fois qu’un compte de service s’écarte de son comportement. De cette manière, toute l’activité du compte de service standard n’est pas perturbée, tandis que toute tentative malveillante d’en abuser est bloquée.
Objectif n°2 atteint : l’attaque est contenue et l’équipe IR peut rapidement passer à l’enquête
Éliminer les faiblesses exposées dans la surface d’attaque d’identité
La visibilité de Silverfort sur toutes les authentifications et tentatives d’accès au sein de l’environnement lui permet de découvrir et d’atténuer les faiblesses courantes dont profitent les attaquants. Voici quelques exemples:
- Définition des politiques MFA pour tous les administrateurs fantômes
- Définition de politiques de blocage d’accès pour toutes les authentifications NTLMv1
- Découvrez tous les comptes configurés sans pré-authentification
- Découvrez tous les comptes configurés avec une délégation sans contrainte
Cette réduction de la surface d’attaque aura généralement lieu lors de la phase initiale de « premiers secours ».
Objectif n°3 atteint : les faiblesses d’identité sont atténuées et ne peuvent pas être utilisées à des fins de propagation malveillante.
Conclusion : Il est impératif d’acquérir des capacités IR d’identité – Êtes-vous prêt ?
Les comptes compromis sont un élément clé dans plus de 80 % des cyberattaques, ce qui rend le risque d’être touché presque certain. Les acteurs de la sécurité devraient investir dans des outils IR capables de répondre à cet aspect afin de garantir leur capacité à réagir efficacement lorsqu’une telle attaque se produit.
Pour en savoir plus sur les capacités IR de la plateforme Silverfort, atteindre à l’un de nos experts pour planifier une démo rapide.