Académique Documents
Professionnel Documents
Culture Documents
Comment détecter
les menaces pour
Active Directory en
temps réel et éviter
une brèche
dévastatrice
Mode d’emploi
CEO de MSSEC
4
Agenda
Depuis 2019, les menaces cyber explosent et de nombreuses entreprises
sont régulièrement mises à terre.
Qui a des permissions Comment mettre en Est-ce que l’attaquant Comment contenir un Comment récupérer des
excessive ? œuvre une politique de peut se déplacer sur le incident AD plus modifications AD
mot de passe forte ? réseau sans contrôle ? rapidement inappropriées sans
Qui peut les obtenir qu’humainement temps d'arrêt ?
rapidement ? Comment se prémunir Y-a-t-il un nombre possible ?
contre les changements anormal d’échec de Comment éviter que des
Quels sont les objets AD et GPO ? connexion ? Comment s'est déroulé incidents similaires ne se
non-utilisés et comment exactement l'incident ? reproduisent ?
les nettoyer ? Comment minimiser les Y-a-t-il des changements
risques de sécurité liés non planifiés sur la
Quels comptes ont des aux accès à privilège ? configuration des DCs ?
mots de passe faibles ?
6
Comprendre ce qui Nettoyer les comptes Détectez les Contenir rapidement Annulez les
existe dans votre AD, périmés et les groupes comportements les menaces grâce à modifications AD non
comment AD est vides.
suspects et les des réponses souhaitées et
configuré, et qui a Appliquez des mots de menaces avancées en automatisées. récupérez des
accès à quoi. passe forts. temps réel. domaines AD entiers.
Simplifiez les
Identifier les risques Éliminer les privilèges
enquêtes sur les Utilisez les leçons
tels que les mots de permanents.
incidents et prenez apprises pour éviter
passe faibles, les
Renforcer les des décisions de que des incidents
privilèges excessifs et
configurations de réponse plus similaires ne se
les configurations DC
sécurité des DC.
non sécurisées. éclairées. reproduisent.
Bloquez les
comportements à
risque.
7
Le schéma présenté
pour Conti est aussi
vrai pour d’autre type
d’attaque
9
• Campagne de phishing
• Harcèlement MFA
• Exploitation de la
surface d’attaque
depuis internet
Contremesure :
• Sensibilisation des
utilisateurs
• Mise-à-jour régulière
10
Contremesure :
• Mise en œuvre du
Tiering réseau
• Obfuscation des
assets
• Analyse des flux
réseaux (IDS)
11
Contremesure :
• Mise en œuvre du
Tiering d’identité
• Supervision des
accès à privilège
12
Risque :
• Nouvelle
compromission
Contremesure :
• Boule de cristal
13
Phase 5 : rançonné
Risque :
• Chiffrement des
données
Contremesure :
• MFA
• Logiciels et systèmes
correctement
patchés
• Ralentir la
remédiation
• Contraindre à payer
Contremesure :
• Analyse forensic de
la brèche
• SOC/SIEM
15
Principe :
• Anticiper les
menaces
• Analyser en temps
réel les opérations
sur Active Directory
• Automatiser les
corrections
préventives
16
https://hardenad.net
DÉMONSTRATION
DÉTECTION ET RÉPONSE
AUX MENACES
StealthDEFEND est une solution de détection et de
réponse aux menaces en temps réel, conçue pour
protéger les informations d'identification et les
données d'une organisation.
SIEM
Partages de fichiers en
réseau
CARNETS DE
RÉPONSE
CONTEXTE DES
DONNÉES ALERTES
ENQUÊTES
...
20 Plate-forme de sécurité des données
GOUVERNANCE ET ADMINISTRATION DES IDENTITÉS
DÉCOUVERTE ET CLASSIFICATION DES (IGA)
DONNÉES Fournir, dé-provisionner et gérer les droits avec précision et
Localiser et classer les données sensibles, rapidité.
où qu'elles se trouvent. GESTION DES ACCÈS PRIVILÉGIÉS (PAM)
Atteindre le zéro privilège permanent avec une
GOUVERNANCE DE L'ACCÈS AUX DONNÉES approche de privilèges éphémères, juste à temps et
(DAG) juste assez.
Aligner les droits d'accès aux données sur les
SÉCURITÉ D’ACTIVE DIRECTORY
principes du moindre privilège pour les données
S'assurer que l'AD est propre, compris,
structurées et non structurées situées dans les
configuré correctement, surveillé de près
nuages privés et publics.
et contrôlé étroitement