Webinaire :

Comment détecter
les menaces pour
Active Directory en
temps réel et éviter
une brèche
dévastatrice
Mode d’emploi

Nous vous enverrons Envoyez vos questions à Le webinaire durera

l’enregistrement et les tout moment. Nous environ 40 minutes.
diapositives. répondrons au fil du
webinaire ou à la fin.
3

Pour vous accompagner

Loïc VEIRMAN Anthony MOILLIC
Expert Active Directory Field CISO EMEA&APAC

Spécialisé dans la sécurité des

identités

CEO de MSSEC
4

Agenda
Depuis 2019, les menaces cyber explosent et de nombreuses entreprises
sont régulièrement mises à terre.

Active Directory est le chemin d’attaque privilégié des cybercriminels.

Le manque de contrôle et de visibilité rend Active Directory vulnérable.

L’imbrication toujours plus présente du Cloud avec l’existant On-

Premise n’a pas simplifier le problème, bien au contraire.

La plupart des solutions de sécurité AD présentent des lacunes dont les

adversaires raffolent.
 5

Comment sécuriser Active Directory aujourd’hui ?

AT T É N U AT I O N R E M É D I AT I O N

IDENTIFIER PR OTÉG ER DÉTECTER RÉPONDRE RÉCUPÉRER

Qui a des permissions Comment mettre en Est-ce que l’attaquant Comment contenir un Comment récupérer des
excessive ? œuvre une politique de peut se déplacer sur le incident AD plus modifications AD
mot de passe forte ? réseau sans contrôle ? rapidement inappropriées sans
Qui peut les obtenir qu’humainement temps d'arrêt ?
rapidement ? Comment se prémunir Y-a-t-il un nombre possible ?
contre les changements anormal d’échec de Comment éviter que des
Quels sont les objets AD et GPO ? connexion ? Comment s'est déroulé incidents similaires ne se
non-utilisés et comment exactement l'incident ? reproduisent ?
les nettoyer ? Comment minimiser les Y-a-t-il des changements
risques de sécurité liés non planifiés sur la
Quels comptes ont des aux accès à privilège ? configuration des DCs ?
mots de passe faibles ?
6

Sécurité Active Directory de bout-en-bout

Atténuation Remédiation

IDENTIFIER PR OTÉG ER DÉTECTER RÉPONDRE RÉCUPÉRER

Comprendre ce qui Nettoyer les comptes Détectez les Contenir rapidement Annulez les
existe dans votre AD, périmés et les groupes comportements les menaces grâce à modifications AD non
comment AD est vides.
suspects et les des réponses souhaitées et
configuré, et qui a Appliquez des mots de menaces avancées en automatisées. récupérez des
accès à quoi. passe forts. temps réel. domaines AD entiers.
Simplifiez les
Identifier les risques Éliminer les privilèges
enquêtes sur les Utilisez les leçons
tels que les mots de permanents.
incidents et prenez apprises pour éviter
passe faibles, les
Renforcer les des décisions de que des incidents
privilèges excessifs et
configurations de réponse plus similaires ne se
les configurations DC
sécurité des DC.
non sécurisées. éclairées. reproduisent.
Bloquez les
comportements à
risque.
 7

Ca n’arrive pas qu’aux autres…

Cas pratique : Conti,
BlackMatter,
LockBit 2.0, CrossHair…
Les attaques se multiplient sur nos
infrastructures et le conflit qui opposent la
Russie au monde occidental et à ses alliés, au
travers du drame ukrainien, ne fait qu’en
amplifier la résonnance.

Aujourd’hui, les ransomwares contiennent des

briques de code tout spécialement conçu pour
pénétré Active Directory et le plier à leur
volonté…

Est-ce à dire que nous ne pouvions rien y faire ?

 8 CONFIDENTIAL

Analyse d’une attaque avec Conti

Le schéma présenté
pour Conti est aussi
vrai pour d’autre type
d’attaque
 9

Phase 1 : pénétration de la cible

Risque :

• Campagne de phishing

• Harcèlement MFA

• Exploitation de la
surface d’attaque
depuis internet

Contremesure :

• Sensibilisation des
utilisateurs

• Supervision des accès

externe

• Mise-à-jour régulière
 10

Phase 2 : reconnaissance du S.I.

Risque :
• Identification des
cibles privilégiées
• Identification des
failles non corrigées

Contremesure :
• Mise en œuvre du
Tiering réseau
• Obfuscation des
assets
• Analyse des flux
réseaux (IDS)
 11

Phase 3 : vol d’identifiant

Risque :

• Vol d’un identifiant à

très haut privilège

Contremesure :

• Mise en œuvre du
Tiering d’identité

• Utilisation des silos

Kerberos

• Supervision des
accès à privilège
 12

Phase 4 : maintient de l’accès

Risque :

• Nouvelle
compromission

• Revente d’un accès

fonctionnel

Contremesure :

• Boule de cristal
 13

Phase 5 : rançonné
Risque :

• Chiffrement des
données

Contremesure :

• MFA

• Mot de passe fort

• Logiciels et systèmes
correctement
patchés

• EDR / MDR / tout ce

qui finit en DR…
 14

Phase 6 : « Souriez, vous êtes filmé ! »

Risque :

• Ralentir la
remédiation

• Contraindre à payer

Contremesure :

• Analyse forensic de
la brèche

• Couper les accès

depuis l’extérieur
(entrant ET sortant)

• SOC/SIEM
 15

NIST – Détecter et Répondre

Principe :

• Anticiper les
menaces

• Analyser en temps
réel les opérations
sur Active Directory

• Automatiser les
corrections
préventives
 16

Un mot sur le Tiering d’identité

La communauté Harden

Une communauté d’experts qui ont à cœur de

lutter, à leur manière, contre le cyber-crime.

La meilleure défense, c’est une bonne gestion des

identités ! HardenAD est gratuit et propose à tous
un modèle éprouvé pour mettre en œuvre le
durcissement par vos propres moyens.

https://hardenad.net
DÉMONSTRATION
DÉTECTION ET RÉPONSE
AUX MENACES
StealthDEFEND est une solution de détection et de
réponse aux menaces en temps réel, conçue pour
protéger les informations d'identification et les
données d'une organisation.

Pour Active Directory et les systèmes de fichiers,

StealthDEFEND combine un flux d'audit enrichi et
optimisé de l'activité avec des données
contextuelles pertinentes pour construire
efficacement des profils comportementaux
organisationnels à l'aide d'algorithmes
d'apprentissage automatique non supervisés. Le
résultat est la capacité de détecter et de répondre
aux comportements anormaux et aux attaques
avancées avec une précision et une rapidité sans
précédent.
Architecture
SOURCES DE
DONNÉES

Active Directory MENACES

SIEM

Partages de fichiers en
réseau
CARNETS DE
RÉPONSE
CONTEXTE DES
DONNÉES ALERTES

ENQUÊTES
...
 20 Plate-forme de sécurité des données
GOUVERNANCE ET ADMINISTRATION DES IDENTITÉS
DÉCOUVERTE ET CLASSIFICATION DES (IGA)
DONNÉES Fournir, dé-provisionner et gérer les droits avec précision et
Localiser et classer les données sensibles, rapidité.
où qu'elles se trouvent. GESTION DES ACCÈS PRIVILÉGIÉS (PAM)
Atteindre le zéro privilège permanent avec une
GOUVERNANCE DE L'ACCÈS AUX DONNÉES approche de privilèges éphémères, juste à temps et
(DAG) juste assez.
Aligner les droits d'accès aux données sur les
SÉCURITÉ D’ACTIVE DIRECTORY
principes du moindre privilège pour les données
S'assurer que l'AD est propre, compris,
structurées et non structurées situées dans les
configuré correctement, surveillé de près
nuages privés et publics.
et contrôlé étroitement

SÉCURITÉ DES APPLICATIONS CRITIQUES

POUR L'ENTREPRISE IDENTIFIER | PROTÉGER | DÉTECTER | RÉPONDRE |
GESTION ET SÉCURITÉ DES MOTS DE PASSE
Identifier les risques de sécurité et de conformité,
RÉCUPÉRER
Établissez des mots de passe forts et uniques
C L O U D C L O U D

les mauvaises configurations et les droits d'accès P U B L I C P R I V É

E N D P O I N T
partout où des mots de passe sont utilisés.
inutiles.

CONTRÔLE DE L'INTÉGRITÉ DES FICHIERS GESTION ET SÉCURITÉ DES TERMINAUX

(FIM) Configurez, déployez et contrôlez facilement les
Détecter les changements malveillants, se politiques tout en appliquant le principe du
conformer aux réglementations moindre privilège.
GESTION DE LA CONFIGURATION DE LA
SÉCURITÉ
Atténuer les risques opérationnels et de sécurité par
l'identification proactive des dérives de
configuration.
DES QUESTIONS?
Étapes suivantes

Consultez la fiche technique Téléchargez la version Découvrez notre futur

de Netwrix StealthDefend d’évaluation gratuite portefeuille de produits

netwrix.fr/threat_detect netwrix.fr/threat_detect netwrix.fr/produits

MERCI!