Connaissant la facilité avec laquelle un mot de passe utilisateur Active Directory peut être compromis, il est essentiel pour les organisations de mieux sécuriser les identifiants des utilisateurs et de se protéger contre une violation du réseau.
Active Directory - Une source d'identité pour tous les types d'accès
Pour 90% des entreprises, Active Directory continue de servir de référentiel d'identité des utilisateurs, agissant comme la principale source de confiance pour l'identité et l'accès.
Développé par Microsoft pour les réseaux de domaine Windows, Active Directory fournit des services d'authentification pour vérifier que l'utilisateur est bien qui il prétend être. AD fournit également l'authentification et l'autorisation d'accéder aux ressources sur le réseau et le traitement des stratégies de groupe pour appliquer les paramètres de sécurité sur les clients et les serveurs de l'organisation.
Aujourd'hui, alors que les entreprises étendent leur architecture en dehors des périmètres traditionnels, beaucoup plus d'utilisateurs dépendent des connexions RDP et d'une stratégie d'accès VPN pour l'accès à distance. Les VPN s'appuient sur une source d'identité d'entreprise locale - généralement Active Directory - pour authentifier les utilisateurs accédant au réseau d'entreprise.
Pourquoi l'accès est essentiel pour prévenir les attaques
Les attaques de sécurité sur Active Directory ne sont pas une question de « si », mais plutôt de « quand ». Dans la majorité des attaques réussies, Active Directory est utilisé. Pourquoi? Parce qu'il n'y a qu'une poignée d'actifs informatiques vitaux qui permettent aux pirates de se propager après une brèche initiale, et l’un d’entre eux les domine tous: Active Directory.
Plus de 80% des violations liées au piratage impliquaient l'utilisation d'informations d'identification perdues ou volées. Ils servent de point d’entrée dans le réseau d’une organisation et ses actifs informationnels. Un attaquant est impuissant à faire quoi que ce soit dans votre organisation à moins qu'il ne soit capable de compromettre un ensemble d'informations d'identification Active Directory interne.
Ce premier accès est souvent un point de terminaison de bas niveau sans droits d'accès à toute donnée de valeur. Il agit cependant, comme un point d'ancrage initial pour démarrer le mouvement latéral (le processus de saut de machines pour localiser et accéder à un système avec des données de valeur).
En fait, à l'exception des attaques de périmètre (où les méthodes d'attaque comme les injections SQL n'ont pas besoin d'informations d'identification pour accéder aux données), toutes les couches d'accès de votre environnement nécessitent une connexion à un moment donné. Les points de terminaison nécessitent des connexions pour l'accès, les mouvements latéraux de tout type nécessitent une authentification pour accéder à un point de terminaison cible et l'accès aux données elles-mêmes nécessite d'abord une connexion authentifiée.
Pour résumer, pas de connexion, pas d'accès!
La conformité commence également par la sécurisation de l'accès
De nombreux pays demandent également aux entreprises de se soucier de la sécurisation des identités et de la prévention des accès non autorisés. Les réglementations telles que le RGPD, HIPAA et Sarbanes-Oxley tiennent les organisations responsables du contrôle de l'accès aux informations personnelles, clients ou employés. Ce mot unique «accès» représente le processus par lequel une personne utilise un compte pour se connecter activement à un système et ouvrir / lire / copier / télécharger des données sensibles - une action qui commence par la connexion de cette personne.
La connexion est le point le plus convaincant pour surveiller la conformité, ainsi que (à condition que vous ayez la solution de sécurité appropriée en place) pour empêcher tout accès potentiellement inapproprié (violation de conformité).
Gestion des accès pour les environnements Active Directory
Le concept de gestion efficace des accès s'articule autour de cinq fonctions principales - toutes travaillant ensemble pour maintenir un environnement sécurisé:
- Authentification à deux facteurs – La régulation de l'accès des utilisateurs implique une authentification pour vérifier l'identité d'un utilisateur. Mais l'authentification en utilisant uniquement un nom d'utilisateur et un mot de passe fort ne suffit plus. L'authentification à deux facteurs combine quelque chose que vous connaissez (votre mot de passe) avec quelque chose que vous possédez (un jeton ou une application d'authentification).
- Restrictions d'accès – Des restrictions peuvent être ajoutées sur vos utilisateurs : qui peut ouvrir une session, quand, d'où, pendant combien de temps et à quelle fréquence. Il est possible également de limiter des combinaisons spécifiques de types de connexion (telles que les connexions poste de travail et RDP).
- Surveillance des accès – La visibilité sur toutes les connexions au fur et à mesure qu'elles se produisent sert de base à la stratégie de restrictions, d’alertes, de rapports, etc.
- Alerte d'accès – Informer le service informatique - et les utilisateurs eux-mêmes - d'une activité de connexion inappropriée et des tentatives infructueuses permet de prévenir les événements suspects impliquant des identifiants.
- Réponse aux accès – Permet au service informatique d'interagir avec une session suspecte, de verrouiller la session, de déconnecter l'utilisateur ou même de l'empêcher de se connecter ultérieurement.
En réunissant ces ensembles de fonctionnalités, la gestion des accès place une couche de protection au premier plan de votre réseau, garantissant que l'utilisation est appropriée.
Pourquoi la gestion des accès?
Maintenant, vous pourriez vous demander pourquoi Access Management et pas autre chose, comme Next Gen Antivirus ou Endpoint Security. C’est une question valable. Contrairement à la plupart des solutions de sécurité, qui tentent de résider au point des actions malveillantes, Access Management cherche à s'insérer de manière transparente dans le processus, arrêtant l'action de menace avant qu'elle ne se produise.
-
1. Les connexions sont au cœur de toutes les attaques
Comme indiqué précédemment, la nécessité de se connecter est commune à chaque type d'attaque. Qu'il soit accompli à l'aide d'une session à distance, via PowerShell, en exploitant un mappage d'un lecteur ou en se connectant localement à une console, votre réseau nécessite qu'un utilisateur s'authentifie avant de se voir accorder tout type d'accès.
-
2. Les contrôles automatisés arrêtent réellement une attaque
C'est l'un des aspects les plus importants de votre stratégie de sécurité. Presque toutes les solutions de sécurité sur le marché déclarent arrêter les attaques. Soyez prudent - la solution alerte-t-elle simplement le service informatique d'un potentiel de menace (ce qui n'arrête une attaque qu'une fois que le service informatique intervient), ou prend-elle réellement des mesures et arrête l'attaque?
Contrairement aux solutions de sécurité qui obligent un attaquant à effectuer une sorte d'action inappropriée, comme tenter d'accéder à des données sensibles, faire des copies sur une clé USB ou joindre des fichiers à un e-mail, l'identification d'une attaque potentielle avec la gestion des connexions se produit avant que tout accès ne soit réalisé.
Si une connexion tombe en dehors d'un ensemble de restrictions établies, il est possible d’automatiquement bloquer l'accès ou demander à nouveau un deuxième facteur d'authentification. Ou, si l’utilisateur est déjà connecté, le déconnecter immédiatement de force et verrouiller le compte, mettant un terme à l'attaque avant que des actions malveillantes ne soient entreprises.
-
3. Précision pour limiter les faux positifs
La partie redoutée de toute solution de sécurité est le potentiel d'une tempête d'alertes qui se révèlent être des faux positifs. Avec autant d’utilisateurs qui se connectent - et à tout moment de la journée - il est essentiel que le service informatique dispose de solutions sûres du potentiel d’attaque.
À l'aide de contrôles personnalisés, la gestion des connexions est configurée en fonction de l'utilisation normale de l'environnement, déclenchant des alertes uniquement lorsqu'une ouverture de session n'est pas conforme à la stratégie mise en place.
-
4. Intégration transparente avec Active Directory pour les équipes informatiques
La gestion des accès s'intègre au processus de connexion existant pour étendre et non remplacer la sécurité. Les solutions qui fonctionnent avec l'infrastructure Active Directory existante ne frustrent pas les équipes informatiques. Elles sont simples à mettre en œuvre et intuitives à gérer.
-
5. Adoption facile par les utilisateurs finaux
Si la sécurité accable et étouffe la productivité, les utilisateurs ne peuvent pas faire leur travail et la solution ne sera pas adoptée. La gestion des accès offre une sécurité transparente, protégeant les utilisateurs et l'environnement jusqu'au moment où un utilisateur est réellement en conflit avec le protocole de sécurité.
-
6. Mise en œuvre sans formation
Pouvez-vous imaginer si vous deviez former chaque utilisateur à l'utilisation d'une nouvelle solution de sécurité? Une telle idée prendrait énormément de temps. La gestion des accès ne devrait nécessiter aucune formation, ce qui facilite la mise en œuvre dans tout type d'organisation.
-
7. Prend en charge le modèle zero-trust
Avec le principe «ne jamais faire confiance, toujours vérifier», le modèle zero-trust reconnaît la nécessité de voir et de vérifier tout ce qui accède et se passe sur le réseau. Une authentification à deux facteurs personnalisées et des restrictions d'accès granulaires peuvent être créées pour définir spécifiquement des limites, des alertes et des réponses plus strictes pour les personnes présentant un risque plus élevé.
-
8. Rentabilité
Si vous êtes d’accord avec la prémisse «quand» et non «si», vous savez déjà que votre stratégie de sécurité est incomplète et nécessite davantage d’investissements. La sécurité ne doit pas avoir un coût élevé - mais elle doit être efficace par rapport à son coût. La gestion des accès garantit (dans le cas des dépenses de sécurité) la plus grande protection de sécurité avec le moins de dépense.
Les mythes de l'authentification
à deux facteurs et ce que cela signifie pour les entreprises qui ne
l’utilisent pas
Une fois qu'un attaquant se connecte à votre système à l'aide des informations de connexion légitimes d'un employé, votre antivirus, votre anti-intrusion, votre pare-feu et autres technologies ne signaleront rien d'inhabituel. Ces outils pensent que la personne qui accède à votre réseau est exactement qui elle prétend être.
La réalité qui donne à réfléchir pour les entreprises n’utilisant pas l’authentification à deux facteurs (2FA) est que lorsque vos employés tombent dans des escroqueries par hameçonnage ou partagent des mots de passe, vous êtes ouvert aux attaques.
Malgré la menace évidente, il y a quelques années, l'enquête d'IS Decisions auprès des décideurs informatiques a révélé que seulement 38% utilisent 2FA pour renforcer les informations d'identification du réseau. Aujourd'hui, nous continuons à voir d'autres recherches qui montrent que les choses n'ont pas beaucoup changé.
Alors, pourquoi la réticence à adopter 2FA?
Mythe numéro 1:
La 2FA est uniquement destiné aux grandes entreprises
Non. Il existe une idée courante mais fausse selon laquelle une entreprise doit avoir une certaine taille pour bénéficier de la 2FA. L'adoption d'une solution 2FA doit être une initiative de sécurité clé pour toute entreprise, quelle que soit sa taille. Les données que les petites et moyennes entreprises (PME) veulent protéger ne sont pas moins sensibles, la perturbation non moins grave que pour une grande entreprise. Cela n’a pas à être complexe, coûteux ou frustrant!
Mythe numéro 2:
La 2FA est réservé aux utilisateurs privilégiés
Non plus. De nombreuses entreprises continuent de se fier uniquement aux informations d'identification Windows locales, car elles considèrent que la plupart des employés n'ont pas accès à des données critiques, sensibles, protégées ou autrement précieuses. Les obliger à utiliser 2FA pour se connecter semble un peu exagéré. Mais la réalité est que les entreprises de ces employés devraient considérer que les «non privilégiés» - les utilisateurs réguliers faisant leur travail - ont effectivement accès à des données qui peuvent nuire à l'entreprise. Le simple fait d’une infirmière qui vend les données d’un patient célèbre à un journaliste démontre la valeur des données et le préjudice potentiel pour l’organisation qui peut résulter de leur utilisation inappropriée.
De plus, les attaques externes ne démarrent presque jamais avec un compte privilégié ayant accès aux données que vous souhaitez protéger. La tactique numéro un utilisée dans les attaques de piratage est le vol d'informations d'identification. Les cybercriminels exploitent tout compte victime d'escroqueries par hameçonnage pour se déplacer latéralement au sein de l'organisation dans le but d'identifier, d'accéder et d'exfiltrer des données de valeur.
Mythe numéro 3:
La 2FA n'est pas une solution parfaite
Non, mais c'est proche! Comme toute solution de sécurité, l'utilisation de l'authentification à deux facteurs n'est pas parfaite. Récemment, le FBI a émis un avertissement sur les événements où des pirates ont pu contourner la 2FA. Les deux principales vulnérabilités d’authentificateur sont «Channel Jacking», qui implique la prise de contrôle du canal de communication utilisé pour l’authentificateur, et «Real-Time Phishing», qui utilise une machine intermédiaire pour intercepter et rejouer les messages d’authentification. Les experts conviennent que des coûts et des efforts considérables sont nécessaires pour de tels types d'attaques.
La grande majorité des attaquants qui rencontrent la 2FA passeront simplement à leur prochaine victime (plus facile) plutôt que d'essayer de contourner cette sécurité. Vous pouvez également prendre des précautions simples pour éviter certaines vulnérabilités en choisissant des authentificateurs 2FA qui ne reposent pas sur l’authentification SMS. (L'Institut national des normes et de la technologie (NIST) décourage les SMS dans ses dernières directives sur l'identité numérique.)
Malgré son récent avertissement, le FBI soutient que la 2FA est toujours efficace et reste l'une des mesures les plus simples qu'une entreprise puisse prendre pour renforcer la sécurité.
Mythe numéro 4:
La 2FA entrave la productivité des employés
Le défi, comme pour toute nouvelle technologie, est de mettre en œuvre des contrôles d'accès de manière à ce que la productivité des utilisateurs soit le moins gênée. Les employés ne toléreront pas les méthodes trop perturbatrices. Ils trouveront des moyens de contourner les contrôles de sécurité et d'accéder plus facilement aux ressources. Sans cette sensibilité, non seulement cela ralentit l'adoption, mais cela peut aussi l'arrêter brusquement!
Par conséquent, la flexibilité est nécessaire pour toute solution 2FA. Les administrateurs voudront peut-être éviter de demander un code 2FA à l'utilisateur à chaque fois qu'il se connecte. Un excellent moyen de le faire est d'améliorer l'assurance de l'identité avec des contrôles contextuels. Transparents pour l'utilisateur final, ils utilisent les informations d'environnement pour vérifier davantage l'identité revendiquée par tous les utilisateurs, mais n'entravent pas la productivité des employés. Les facteurs contextuels peuvent inclure l'emplacement, la machine, l'heure, le type de session et le nombre de sessions simultanées.
Sécuriser les organisations grâce
à la connexion
Des solutions efficaces de gestion des accès offrent aux entreprises la possibilité de sécuriser de manière transparente les connexions à l'ensemble de leur réseau Windows Active Directory. Cela permet aux entreprises de continuer de travailler comme d'habitude, mais avec l'examen et le contrôle nécessaires pour arrêter automatiquement les activités suspectes au point d'entrée.
En savoir plus sur la façon dont la ville de Keizer utilise UserLock pour améliorer la sécurité d'accès suite à une attaque de ransomware.