R9B
COMBATTRE LA TACTIQUE FAVORITE DES ATTAQUANTS
PREMIER VICE-PRÉSIDENT TECHNOLOGIES ÉMERGENTES Conférencier ERIC R. STRIDE PREMIER VICE-PRÉSIDENT TECHNOLOGIES ÉMERGENTES ERIC.STRIDE@ROOT9B . COM @ERICSTRIDE SUR TWITTER
81 % DES VIOLATIONS DE SÉCURITÉ ONT EXPLOITÉ DES INFORMATIONS D’OUVERTURE DE SESSION FAIBLES OU VOLÉES – VERIZON, 2017
Une brèche dans les défenses PHASES D’UNE CYBERATTAQUE DÉFENSES Collecte de renseignements •Recherche de renseignements généraux •Analyses du réseau Restreindre les renseignements disponibles en ligne Coupe-feu Système de détection d’intrusion Correctifs et logiciel de gestion des correctifs Éducation des utilisateurs Évaluations des vulnérabilités et essais d’intrusion Exploitation initiale •Attaque initiale •Établissement d’une tête de pont Produits antivirus Solutions anti-programme malveillant Système de détection d’intrusion géré par l’hôte Commandement et contrôle •Mise en place d’un accès permanent •Reconnaissance de l’entreprise Peu de produits couvrent complètement cet aspect. Les mesures défensives ont tendance à être prises durant l’intervention en cas d’incident, APRÈS que la violation a eu lieu Gestion d’identités privilégiées (PIM) et gestion de comptes privilégiés (PAM) (partiellement) Augmentation des privilèges d’accès •Mouvement latéral •Augmentation des privilèges d’accès Exfiltration de données •Acquisition et chiffrement des données •Vol de données Solution de prévention des pertes de données Système de détection d’intrusion
HAMEÇONNAGE ET DÉVOIEMENT Outils d’attaque des informations d’ouverture de session HAMEÇONNAGE ET DÉVOIEMENT Tromper l’utilisateur pour qu’il donne ses informations d’ouverture de session OUTILS DE TYPE INCOGNITO ET MIMIKAZ Voler : Les jetons de délégation ou Le code de hachage ou le mot de passe
Nous avons condamné les utilisateurs à l’échec. MOTS DE PASSE Nous avons condamné les utilisateurs à l’échec. ÉBAUCHE des recommandations du NIST Changement périodique des mots de passe Complexité et longueur des mots de passe Vérification par rapport à des listes noires
AD L’objectif du pirate informatique… nous lui avons trop facilité la tâche.
Administrateur de domaine Principe de privilège minimal Groupes imbriqués Ségrégation des rôles Administrateurs de domaine, administrateurs de serveur Administrateurs de poste de travail
Réduire les privilèges et leur complexité Retirer des privilèges aux administrateurs Refuser l’accès à cet ordinateur à partir du réseau Refuser l’ouverture de session pour le traitement par lots Refuser l’ouverture de session à titre de compte de service Refuser l’ouverture de session au moyen des Services Bureau à distance Désactiver/limiter la mise en cache des informations d’ouverture de session Mettre en place des hôtes d’administration sécurisés (« serveurs tremplins »)
Mais j’ai mis en place une solution de gestion des accès privilégiés (PAM) et de gestion des identités privilégiées (PIM)… N'est-ce pas suffisant?
Types de comptes et PIM/PAM Administrateur par rapport à non-administrateur Domaine par rapport à local Comptes locaux Désactiver l’authentification à distance des comptes locaux Utiliser des outils afin de produire des mots de passe aléatoires pour les administrateurs locaux – LKE, LAPS et SHIPS Stratégie de groupe Préférences pour la gestion des mots de passe = MAUVAISE IDÉE
Authentification multifacteur Mais nous avons implémenté l’authentification multifacteur, en quoi cela nous concerne-t-il? Les comptes protégés par l’authentification multifacteur utilisent encore des jetons/codes de hachage/mots de passe
PROBLÈMES courants Systèmes déployés avec les réglages par défaut Il y a trop d’administrateurs Les comptes administrateur ont trop d’autorisations Comptes de service avec trop d’autorisations Mots de passe trop courts pour les comptes de service Les comptes locaux ne sont pas gérés correctement Trop de programmes/services sont exécutés sur les contrôleurs de domaine Les contrôleurs de domaine n’ont pas les tout derniers correctifs D’autres systèmes n’ont pas les tout derniers correctifs
QUE POUVONS-NOUS FAIRE? Mettre en œuvre l’authentification multifacteur Mettre en œuvre une solution PIM/PAM Vérifier les autorisations des administrateurs Vérifier l’utilisation des comptes administrateur Créer des groupes d’autorisation à granularité plus fine Retirer les privilèges non requis Vérifier les mots de passe par rapport à des listes noires Appliquer les correctifs à tous les systèmes Mettre en place des hôtes tremplins Vérifier la réutilisation de mots de passe N’attendez pas les problèmes, soyez proactifs
Objectif Ralentir la progression de l’attaquant, limiter les dommages qu’il peut causer, et faciliter la détection de ces deux aspects. Méthode Comprendre comment l’attaquant procédera et mettre en place des vérifications et des évaluations régulières afin de cerner les risques et prendre les mesures requises pour les atténuer.
R9B