Sécuriser Active Directory contre les ransomwares dans le secteur public

Les ransomwares ne sont pas uniquement un problème pour le secteur privé. Les organisations gouvernementales et du secteur public font face aux mêmes acteurs malveillants, souvent avec des budgets plus serrés et des infrastructures plus anciennes. Une sécurité robuste d'Active Directory (AD), en commençant par l'authentification multifacteur, mais en allant au-delà, est le point de départ pour les équipes informatiques gouvernementales.

Depuis 2020, des attaques par ransomware ont touché des organisations gouvernementales aux États-Unis et au Royaume-Uni, notamment des gouvernements d'États et des collectivités locales. Au Royaume-Uni, des attaques très médiatisées ont paralysé Royal Mail et la British Library pendant des mois.

À première vue, le secteur public semble être une cible improbable. De nombreuses organisations publiques sont peu susceptibles, ou carrément interdites par la réglementation, de payer des rançons.

• Disruption : Une explication est que des groupes criminels spécialisés dans les ransomwares se sont rapprochés d'acteurs étatiques cherchant à provoquer des perturbations pour elles-mêmes.

• Contraintes budgétaires : Les attaquants ont tendance à exploiter les secteurs présentant des failles connues. Le secteur public est un secteur où les budgets de cybersécurité sont généralement limités, ce qui pourrait laisser supposer aux attaquants une plus grande probabilité de lacunes ou de négligences en matière de sécurité.

• Systèmes obsolètes : À cela s'ajoute la dépendance bien documentée du secteur public à des technologies plus anciennes, présentant des vulnérabilités de sécurité largement connues.

Les hypothèses passées sur les motivations des attaquants ne tiennent plus. Pour les groupes de ransomwares, le secteur public est devenu une cible régulière et attractive. Aucune organisation n'est à l'abri.

Cibler des organisations du secteur public ne diffère pas du mode opératoire utilisé dans d'autres secteurs.

La première étape consiste à chercher un point de compromission, souvent un identifiant de compte faible. Une fois la compromission réalisée, les attaquants disposent d'un point d'appui à partir duquel ils tentent de se déplacer invisiblement derrière les défenses de l'organisation.

Sur les réseaux sur site, l'une des premières cibles internes sera les contrôleurs de domaine (DC) Active Directory de l'organisation. AD est le socle de l'identité et des accès réseau. Compromettre un contrôleur de domaine permet aux attaquants de voir et de contrôler presque tout ce qui se trouve sur ce réseau.

Cela peut être difficile à détecter ou à stopper. AD ne dispose pas de surveillance intégrée, ce qui signifie que les équipes de sécurité ne réalisent qu'une compromission a eu lieu que lorsqu'il est trop tard pour agir.

Plusieurs groupes de ransomwares très médiatisés sont connus pour cibler AD, mais il en va de même pour n'importe quel acteur de ransomware. AD est toujours une cible une fois qu'une tête de pont a été établie.

Défendre AD exige des organisations de faire deux choses :

• Protéger les identifiants vulnérables utilisés pour établir une première emprise sur le réseau, et

• Construire une défense interne plus profonde autour d'AD lui-même.

Dans les environnements sur site, cela peut représenter un défi.

La défense standard contre le vol d'identifiants est la MFA. Mais déployer la MFA dans un environnement AD sur site nécessite souvent un middleware complexe ou une migration d'AD vers des fournisseurs d'identité (IdP) tiers. Même lorsqu'elle est déployée avec succès, cette approche ne protège pas AD lui-même si les attaquants parviennent à contourner la MFA.

UserLock résout ces deux problèmes sans exiger une migration d'AD ni un fournisseur d'identité cloud. Il fonctionne sur site, sur un seul serveur, et applique la MFA et les contrôles d'accès directement par-dessus les stratégies AD existantes.

UserLock applique la MFA, la surveillance des utilisateurs et le contrôle des privilèges par-dessus les stratégies AD existantes.

Il est important de noter que la MFA de UserLock peut être appliquée par session et par type de connexion.

Appliquer la MFA aux invites UAC contribue à se protéger contre les déplacements latéraux. Si un attaquant compromet un compte et tente d'utiliser des outils de collecte d'identifiants pour se déplacer dans le réseau, il devra s'authentifier à chaque étape, y compris pour les comptes administrateurs.

Cependant, la MFA ne suffit pas à elle seule, c'est pourquoi UserLock met également en œuvre une seconde couche : des contrôles d'accès basés sur la session et le contexte.

Les contrôles d'accès limitent la surface d'attaque à disposition des acteurs de ransomware lorsqu'un compte est compromis.

En plus de limiter le risque lié aux sessions simultanées (plusieurs connexions ouvertes par un même utilisateur), les utilisateurs peuvent être restreints par poste de travail, appareil, plage IP, unité d'organisation (UO), département, pays ou plage horaire.

UserLock peut également restreindre les types de connexion accessibles à un compte utilisateur, par exemple : poste de travail, terminal, Wi-Fi, VPN, IIS et SaaS.

La surveillance des schémas d'accès inhabituels est au cœur de la défense AD. Active Directory ne dispose d'aucune surveillance intégrée des comptes, ce qui signifie que les équipes informatiques doivent mettre en place leurs propres contrôles.

UserLock répond à ce besoin en permettant aux administrateurs de surveiller les accès des utilisateurs via des alertes. Si un utilisateur tente d'accéder à une ressource non autorisée, les administrateurs sont immédiatement alertés de cet accès inhabituel.

Pour éviter la surcharge d'alertes, les administrateurs peuvent personnaliser ces alertes selon différents critères : type de connexion, utilisateur, groupe, unité d'organisation (UO), plage horaire ou plage IP, ainsi que le résultat (connexion bloquée ou MFA rejetée).