Maîtriser les menaces de l’intérieur en veillant à la sécurité d’Active Directory

Microsoft Active Directory est sans doute le système le plus souvent visé par des menaces internes. Utilisé par plus de 90% des grandes sociétés mondiales, il héberge des données confidentielles sensibles. Quid de quelques bonnes pratiques pour mieux le sécuriser.

« La violation de données vient de chez nous, vous êtes sûr ?! »

 

Cela pourrait s’apparenter à un scénario de film hollywoodien pourtant les menaces de l’intérieur ciblant les données d’entreprise sont réelles, effrayantes et elles coûtent cher. Qu’il s’agisse de compromettre les données délibérément ou par négligence, les collaborateurs internes et les sous-traitants se trouvent dans une position privilégiée et une violation de données peut coûter 5 millions de dollars à l’entreprise victime selon une estimation de SANS Institute.

 

Microsoft Active Directory (AD) est peut-être le système le plus souvent visé par des menaces internes. Ce système, utilisé par plus de 90% des grandes sociétés mondiales, héberge des données confidentielles sensibles.  Alex Simons, directeur de la gestion du programme Active Directory chez Microsoft, a récemment estimé que près de 95 millions, soit un cinquième des comptes utilisant AD font l’objet d’attaques tous les jours. Il s’agit généralement d’une combinaison d’attaques internes et externes. AD est une technologie sûre mais comme c’est le cas avec n’importe quelle carte d’accès, la sécurité faillit dès que les droits tombent entre de mauvaises mains. Les équipes IT font leur maximum pour attribuer et maintenir les autorisations dans les règles, mais il peut être compliqué de s’accommoder des limites comme le défaut de résolution automatique des accès, les listes blanches d’autorisations, l’incapacité d’appliquer un modèle précis sur le principe du « least user access » (qui recommande de ne pas utiliser de comptes avec plus de privilèges qu’il ne faut pour exécuter telle tâche) et les facteurs humains comme les changements de postes au sein de l’organisation.

Anatomie d’une menace de l’intérieur

 

Il existe plusieurs scénarios d’attaques de l’intérieur, parmi lesquels :

 

·         l’espionnage économique international,

·         les machinations organisées pour voler des secrets industriels,

·         d’anciens salariés mécontents titulaires de droits de super utilisateur

·         des salariés qui utilisent sans y être autorisés des droits d’accès partagés en confiance par un superviseur,

·         les identifiants et mots de passe du salarié d’un fournisseur usurpés lors d’une attaque de phishing,

·         les détails d’une carte bancaire recopiés et vendus sur le marché noir par des utilisateurs autorisés à y avoir accès.

 

Des utilisateurs décidés à compromettre des données peuvent s’organiser pour augmenter systématiquement leurs accès AD et couvrir leurs traces sans déclencher l’alerte. Un sous-traitant ayant accès au groupe des administrateurs d’une société peut, par exemple, créer un nouveau compte admin. Une fois ce compte ouvert, il s’arrange pour rejoindre un groupe autorisé dépendant du Groupe des admins du domaine pour se procurer des droits indirects d’admin du domaine sans déclencher d’alerte, car les fichiers journaux natifs ne consigneront que les changements apportés directement au Groupe des admins du domaine. Le sous-traitant pourra ensuite désactiver la règle du groupe qui empêche les admins de se connecter aux serveurs SQL où sont stockées les données des cartes bancaires (le paramètre GPO modifié n’est pas audité par les fichiers journaux natifs). Une fois qu’il a ajouté son faux compte au groupe d’admin local, il peut progresser au sein du système, étape par étape, jusqu’à atteindre les données bancaires et personnelles du client, le tout sans déclencher d’alerte.


Comment éviter les menaces de l’intérieur
 

Il n’existe pas de stratégie toute faite de maintien de la sécurité d’Active Directory, mais voici quelques bonnes pratiques que les organisations devraient observer pour se prémunir des menaces ciblant AD de l’intérieur :

 

·         Définir des dates d’expiration pour l’accès temporaire de comptes et de groupes à des groupes sensibles. Au lieu d’accorder des droits permanents aux membres de groupes sensibles, déterminez des droits temporaires avec date/heure de début et de fin fixées automatiquement. Fixez également des dates d’expiration des comptes créés pour le personnel en mission, les sous-traitants, les stagiaires, les visiteurs.

 

·         Empêcher la création de comptes sans autorisation et surveiller les modifications apportées aux paramètres importants et aux groupes en tenant à jour la liste des utilisateurs autorisés à exécuter ces tâches. Si quelqu’un qui ne figure pas sur cette liste tente de créer un compte utilisateur, une alerte par e-mail sera déclenchée. Une action de résolution pourra également être déclenchée, visant à désactiver le compte du créateur et/ou le compte créé.

 

·         Auditer en temps réel toutes les activités suspectes ou les demandes de modification des autorisations, ainsi que les activités ciblant les bases de données et les serveurs de fichiers contenant des données sensibles.

 

·         Mettre en œuvre un processus automatique de déprovisioning des utilisateurs y compris désactivation/suppression de comptes, retrait des comptes de tous les groupes et des listes de distribution auxquels ils sont inscrits, blocage des accès à distance (VPN), et notification automatique des services RH, Sécurité et Surveillance des installations.

 

Délibérément malveillantes ou accidentelles, les menaces de l’intérieur ont vocation à détruire. Les organisations doivent trouver le juste équilibre entre l’autonomie relative accordée aux administrateurs système dans l’exécution des tâches et l’attribution des seules autorisations relatives à ces tâches. Elles ont aussi intérêt à anticiper les scénarios d’exposition aux risques émanant de l’intérieur et à observer les meilleures pratiques pour s’en prémunir afin de préserver la sécurité d’Active Directory et de renforcer le périmètre global de sécurité. 

Serveurs / Microsoft