SlideShare une entreprise Scribd logo

Quelle approche préventive adopter pour empêcher les mouvements latéraux au sein de votre AD ?

Identity Days
Identity Days

Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données. Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.

Technologie
1  sur  32
Télécharger pour lire hors ligne
24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
QUELLE APPROCHE PREVENTIVE ADOPTER POUR EMPECHER LES MOUVEMENTS LATERAUX AU SEIN DE VOTRE AD ? Matthieu - Masson 24 octobre 2023 - PARIS Identity Days 2023
Matthieu Masson Identity protection specialist EMEA - META PHOTO J’aide les équipes avant- vente généraliste de crowdstrike sur des sujets liés a la sécurité des identités. • Introduction : l’identité, une cible privilégiée • Mécanismes d’authentification d’Active Directory • Exemples d’attaques exploitant ces mécanismes • Quelles sont les approches à adopter face à ce type de menaces? AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023
L’IDENTITE : UNE CIBLE PRIVILEGIEE +583% Augmentation du nombre d’attaques Kerberoasting en 1 an* 25% Of Des attaques démarrent sur des machines non protégées ** 71% Des attaques sont malware free* *2023 Threat Hunting Report Pourquoi l’identité est un vecteur d’attaque privilégié : • Contournement de l’EDR • Attaques plus difficile à détecter • Obtention facile de comptes valides (dark web, social engineering) • Gain de temps : breakout time moyen en baisse constante (79 min) 80% Des brèches exploitent des identifiants compromis
Mécanismes d’authentification de l’Active Directory exploités par les attaquants : Kerberos et NTLM Identity Days 2023 24 octobre 2023 - PARIS
Identity Days 2023 24 octobre 2023 - PARIS Les 3 principales entités de Kerberos •Utilisateur/client •Centre de distribution de clé (KDC) o Service d’authentification (AS) o Ticket granting service (TGS) •Application /Serveur L’ AUTHENTIFICATION KERBEROS
KERBEROS : des jetons à durée limitée Identity Days 2023 24 octobre 2023 - PARIS TGT (Ticket Granting Ticket) ST (Service Ticket) TGT (Ticket granting Ticket) : • Durée de validité : 10H • Durée limite renouvellement : 7 jours • Chiffré avec le hash du compte KRBTGT* (mot de passe complexe) ST (Service ticket) : • Durée de validité : 10H • Durée limite de renouvellement : 7 jours • Chiffré avec le hash du compte qui porte le service (SPN)* (mot de passe complexe et renouvelé automatiquement tous les 30 jours) KRBTGT : Il s’agit d’un compte built-in présent dans tout annuaire Active Directory, situé au niveau du chaque domaine et porté par les contrôleurs de domaines. le hash du mot de passe du compte krbtgt est utilisé pour chiffré et signer les tickets Kerberos. Service Principal name (SPN) : Un Service Principal Name (SPN) est un attribut de l’active directory dans lequel est renseigné un identifiant unique permettant d’instancier un service. (ie http/www.websvr1.mycompany.com, sap/supplychain1.mycompany.com)
Identity Days 2023 24 octobre 2023 - PARIS RAPPEL SUR LES TYPES DE CHIFFREMENT KERBEROS • DES_CBC_CRC • DES_CBC_MD5 • RC4_HMAC_MD5 • AES128_HMAC_SHA1 • AES256_HMAC_SHA1 Support OS : jusqu’à Windows Server 2008 seulement Obsolète Support OS : Windows 2000 server et ultérieur Peut être encore utilisé mais considéré comme faible / exploité dans le cadre des attaques Kerberoasting/ASREP Roast. Support OS : Windows Vista et ultérieur
Identity Days 2023 24 octobre 2023 - PARIS • la préauthentification • La délégation kerberos non contrainte • Les utilisateurs ayant des service principal name (SPN) définis • « Account is sensitive and cannot be delegated » LES CONFIGURATIONS KERBEROS A SURVEILLER
Identity Days 2023 24 octobre 2023 - PARIS 1. Un utilisateur s’authentifie avec ses identifiants sur sa machine (nom de domaine, d’utilisateur et mot de passe …). 2. La machine client envoie un message “Negociate” contenant, entre autres, le nom du domaine, les fonctions supportées par le client et le nom de la machine. [2] 3. Le serveur cible génère alors un message “Challenge” composé notamment du “défi”, qui est un nombre aléatoire et l’envoie à l’ordinateur client. [3] 4. La machine client répond par un message “Authenticate” et envoie, entre autres, la « réponse », qui est le challenge chiffré par le hash NT* du mot de passe du client. [4] 5. Le serveur envoie au Contrôleur de Domaine (DC)* le nom d’utilisateur, le défi et la réponse via un message “NETLOGON_NETWORK_INFO”. [5] 6. Le DC récupère le hash du mot de passe de l’utilisateur à partir de sa base de données puis chiffre le “défi” et le compare avec “la réponse”. S’ils sont identiques, l’authentification est approuvée et l’utilisateur peut accéder à la ressource. Le DC envoie alors un message “NETLOGON_VALIDATION_SAM_INFO4” au serveur. [6] 2 versions : NTLMv1 (1993) & NTLMv2 (1998) NTLM « New Technology Lan Manager » : protocole créé en 1993 pour remplacer le protocole Lan Manager devenu trop vulnérable. L’AUTHENTIFICATION NTLM
Identity Days 2023 24 octobre 2023 - PARIS Principale différence entre les deux versions NTLM : l’algorithme utilisé pour chiffrer le challenge • DES pour Net-NTLMv1 : pas résistant aux attaques par brute force du fait notamment sa faible complexité et de la petite taille de la clé utilisé (56 bits). • HMAC-MD5 pour Net-NTLMv2 : plus résistant aux attaques par brute force que DES, car la clé est plus grande (128 bits) mais reste vulnérable NTLM est sensible aux attaques suivantes : Ø Offline cracking password (challenge chiffré par le hash du password du client) Ø Pass the hash Ø NTLM relay DIFFERENCE NTLM V1 VS NTLM V2
Exemples d’attaques exploitant ces mécanismes Identity Days 2023 24 octobre 2023 - PARIS
Les techniques de « credential dumping » Identity Days 2023 24 octobre 2023 - PARIS Les techniques MITRE ATT&CK pour obtenir des identifiants : • T1003.001 LSASS Memory • T1003.002 Security Account Manager • T1003.003 NTDS • T1003.004 LSA Secrets • T1003.005 Cached Domain Credentials • T1003.006 DCSync • Group Policy Preferences (GPP) in SYSVOL • Credential Manager Store
AS-REP ROAST Identity Days 2023 24 octobre 2023 - PARIS • Si cette préauthentification est désactivée (en cochant l'attribut DONT_REQ_PREAUTH dans un compte d'utilisateur), il est possible d'envoyer un message KRB_AS_REQ sans spécifier son mot de passe. • Le KDC répondra par un message KRB_AS_REP, qui contiendra des informations chiffrées avec la clé de l'utilisateur. Ce message peut donc être utilisé pour déchiffrer le mot de passe de l'utilisateur. NB : Par defaut la réponse se fera en utilisant AES, mais il est tout a fait possible de forcer l’usage de l’algorithme de chiffrement RC4, ce qui rendra le brute force offline beaucoup plus rapide. • Comportement par défaut : la préauthentification est requise i.e pour obtenir un TGT, le client doit fournir l’authenticator (timestamp chiffré avec le hash NTLM de son mot de passe) lors de sa demande KRB_AS_REQ qui sera déchiffré et et dont l’horodatage sera analysé par le KDC. Si l’horodatage correspond au sien à 5min près, le KDC sait que le bon mot de passe a été utilisé et qu'une attaque par rejeu est très improbable. L’attaque AS-REP ROAST exploite une configuration propre à Kerberos (la préauthentification) et permet d’obtenir un mot de passe en clair et de le réutiliser pour se déplacer latéralement.
Kerberoasting Identity Days 2023 24 octobre 2023 - PARIS $23= RC4 Lorsqu'un ticket de service est demandé, le contrôleur de domaine sélectionne le type de chiffrement du ticket en fonction de l'attribut msDS-SupportedEncryptionTypes du compte associé au SPN demandé. il peut s'agir d'un objet computer ou d'un compte de service utilisé pour héberger la ressource sur le réseau. Si l'attribut n'a pas de valeur définie, le contrôleur de domaine cryptera le ticket avec RC4 pour assurer la compatibilité. msDS-SupportedEncryptionTypes : § Compte machine : (RC4_HMAC_MD5 | AES128_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96) § Compte utilisateur : not Defined RC4 Il suffira simplement d’extraire le contenu du hash chiffré avec RC4 pour être brute forcé offline. Pour rappel RC4_HMAC est considéré comme faible. Les utilisateurs du domaine peuvent demander des tickets de service kerberos pour toute entité ayant un Service Principal Names (SPN), qui est normalement associé à des comptes d'ordinateur (par exemple, CIFS, HOST et HTTP, etc.). Un attaquant peut abuser de cette possibilité en demandant un ticket de service pour un compte utilisateur spécifique dont le SPN est défini, et en brute forçant le ticket off line.
Pass the Hash Identity Days 2023 24 octobre 2023 - PARIS • Principe du SSO : l'utilisateur entre son mot de passe une fois. Le hachage NTLM est calculé, puis conservé en mémoire pour le reste de la session afin de pouvoir le réutiliser pour les demandes d'authentification ultérieures vers d’autres ressources du réseau. • Inconvénient : les attaquants peuvent extraire ce hash de mot de passe stocké en mémoire avec les outils appropriés. NT Hash d’un autre compte utilisateur qui a été extrait et réutilisé pour l’impersonifier. L’attaque PTH exploite le principe du SSO de Windows et permet d’extraire et d’utiliser les hash de mot de passe d’utilisateurs stockés en mémoire (pas besoin du mot de passe en clair). NT Hash en mémoire
Pass the ticket Identity Days 2023 24 octobre 2023 - PARIS • Il est possible d’extraire en mémoire un TGT ou ST, cependant le TGT apportera plus de flexibilité par rapport à l’utilisation du ST qui sera limité au service associé. • Les tickets ayant « @krbtgt » sont des TGTs • Apres avoir extrait le ticket qui nous intéresse, il est possible de le « Passer » et donc d’impersonifier le propriétaire de ce ticket et donc de bénéficier de ses privilèges et accès (Service Ticket) Export TGT/ST Tickets extraient sous forme de fichier, ici TGT L’attaque Pass the Ticket s’appuie sur le SSO Windows et permet d’extraire un ticket Kerberos (TGT)
Quelles approches adopter face à ce type de menaces? Identity Days 2023 24 octobre 2023 - PARIS
Approche préconisée Identity Days 2023 Evaluer les risques et monitorer l’hygiène de l’AD en continu Détecter les menaces et avoir un outil d’investigation facile à utiliser Prévenir les attaques et stopper les mouvements latéraux en temps réel grâce à un accès conditionnel granulaire et des réponses automatisées Approche unifiée de la sécurité des identités et des endpoints pour gagner en efficacité opérationnelle et améliorer sa protection 24 octobre 2023 - PARIS
Evaluer les risques Identity Days 2023 24 octobre 2023 - PARIS • Score de risque par domaine/tenant • Ensemble des risques détectés par sévérité • Evaluation du risque en temps réel • Visualisation des entités impliquées pour chaque risque • Classification automatiques des comptes • Chemin d’attaques menant à l’obtention de privilèges
Identity Days 2023 24 octobre 2023 - PARIS Score de risque de l’entité Caractéristiques de l’utilisateur : • Privileges • Groupes membres • Password policy • Service principal name • Email etc... Endpoints & destination utilisés Risque(s) de l’entité Evaluer les risques Activité : • Localisation inhabituelle • Localisation habituelle • Services consommés
Identity Days 2023 24 octobre 2023 - PARIS Compte sensible au kerberoasting • Classifié comme compte de service. • Dispose de privilèges domain Admin. • Score de risque élevé du fait de ses privilèges • SPN listé pour remédiation/vérification si nécessaires. • Politique de mot de passe faible. (faible complexité probable) • Changement de mot de passe peu fréquent Evaluer les risques
Identity Days 2023 24 octobre 2023 - PARIS Monitorer l’hygiène en continu Points de contrôle : • Compte privilégiés • Mot de passe compromis • Compte inactif • Compte de services • Compte partagé sur plusieurs machines.. • Compte avec SPN • Compte sans préauthentification • Password not required
Identity Days 2023 24 octobre 2023 - PARIS Monitorer l’hygiène en continu • Obtenir facilement de la visibilité sur des activités/événements spécifiques comme l’utilisation de protocoles obsolètes ou non chiffrés Utilisation NTLM V1 Utilisation LDAP non chiffré
Identity Days 2023 24 octobre 2023 - PARIS Détecter les menaces • Détecter en temps réel des attaques basées sur l'identité ciblant les domaines AD (Mimikatz, Nopac, PetitPotam, DC Sync, etc.) • Identifier des anomalies comportementales (utilisation abusive d'informations d'identification valides) • Avoir une chronologie complète des techniques regroupées dans un incident unique
Identity Days 2023 24 octobre 2023 - PARIS Détecter les menaces La détection d’un Pass the Hash : Détection donnant du contexte : • Source/destination • User (groupes membres, score de risque • Outil utilisé (si connu) • Un contexte enrichi par différentes sources : EDR, Identity, Cloud…
Identity Days 2023 24 octobre 2023 - PARIS Investiguer sur les menaces Activité après attaque Activité avant attaque Attaque PTH Analyse de la télémétrie : • Donne du contexte pour l’investigation. • Informe sur l’activité avant et après l’attaque. • Réduit le temps de recherche et aide à la résolution.
Identity Days 2023 24 octobre 2023 - PARIS ©2021 CROWDSTRIKE, INC. ALL RIGHTS RESERVED Prévenir les attaques grâce à l’accès conditionnel Un accès conditionnel en temps reel pour tous les utilisateurs internes et toutes les applications/outils legacy On Prem Une large palette de réponses automatisées : blocage de l’accès, reset de mot de passe, challenge MFA et ajout à watch list Intégration avec toutes les principales solutions MFA (Okta, One Login, Azure AD, Cyberark, RSA, Duo…) Des règles d’accès conditionnel très granulaires (plus d’une 50 aine de critères) pour limiter la friction
Identity Days 2023 24 octobre 2023 - PARIS Règle d’accès conditionnel pour bloquer l’attaquant ayant usurpé l’identité d’un compte privilégié en exigeant du MFA lors d’un accès vers un serveur critique. • La règle définie bloque l’attaquant dans sa tentative d’accès au contrôleur de domaine en imposant du MFA pour valider l’accès. • La non validation du MFA a levé également une alerte. Fréquence de vérification ajustable pour limiter le MFA fatigue Bloquer les accès vers les serveurs critiques
Identity Days 2023 24 octobre 2023 - PARIS Règle d’accès conditionnel en cas de suspicion de mouvement latéral • Dès la première détection d’un mouvement latéral de type Pass the Hash ou Pass the Ticket. L’attaquant sera ajouté à la « watchlist ». • La seconde règle impose l’usage du MFA pour tout compte présent dans la « watchlist » peu importe la source ou la destination et le type d’accès. • La combinaison des deux règles bloque la capacité de l’attaquant à se déplacer librement au sein de l’environnement Stopper les mouvements latéraux
Identity Days 2023 24 octobre 2023 - PARIS Une approche unifiée de la securité des endpoints et des identités L'utilisateur et le terminal compromis sont tous deux ajoutés à une liste de surveillance IDP en vue d'un traitement supplémentaire (déclenchement d'un défi MFA ou restriction de l'accès aux applications sensibles, par exemple). Un workflow permettant de combiner la détection EDR et celle d’une solution protégeant les identités : L’approche combinée permet d’être plus efficace dans la réponse automatisée : • Permettant à la fois de contenir l’attaquant localement et de le bloquer dans son usage d’identités compromises.
Identity Days 2023 24 octobre 2023 - PARIS Conclusion Exploration et corrélation des menaces ciblant les identités et les endpoints au sein d’une seule console de sécurité Mise en oeuvre d’un accès conditionnel granulaire basé sur une large palette de critères Evaluation des risques en temps réel et monitoring de l’hygiène en continu Approche unifiée de la sécurité des identités et des endpoints Mise en oeuvre d’une remédiation automatisée pour entraver les mouvements latéraux et réduire le volume d’incidents Auto-classification et évaluation des privileges de toutes les identités Détection des mouvements latéraux en temps réel

Recommandé

Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 

Recommandé

Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Presentation new1
Presentation new1Presentation new1
Presentation new1Bienvenu Nob
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge HartmannTelecomValley
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
Kerberoasting.pptx
Kerberoasting.pptxKerberoasting.pptx
Kerberoasting.pptxSamSung693711
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008Arnaud Lesueur
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Hébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudHébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudMouadNahri
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxZokomElie
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium ParisAlexis Moussine-Pouchkine
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdfBellaj Badr
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à Quelle approche préventive adopter pour empêcher les mouvements latéraux au sein de votre AD ?

2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge HartmannTelecomValley
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...AZUG FR
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008Arnaud Lesueur
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Hébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudHébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudMouadNahri
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxZokomElie
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdfBellaj Badr
 

Similaire à Quelle approche préventive adopter pour empêcher les mouvements latéraux au sein de votre AD ? (20)

2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Kerberoasting.pptx
Kerberoasting.pptxKerberoasting.pptx
Kerberoasting.pptx
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Hébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudHébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloud
 
RADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptxRADIUS ET TACACS+.pptx
RADIUS ET TACACS+.pptx
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdf
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 

Quelle approche préventive adopter pour empêcher les mouvements latéraux au sein de votre AD ?

  • 1. 24 octobre 2023 - PARIS 5ème édition @IdentityDays #identitydays2023
  • 2. QUELLE APPROCHE PREVENTIVE ADOPTER POUR EMPECHER LES MOUVEMENTS LATERAUX AU SEIN DE VOTRE AD ? Matthieu - Masson 24 octobre 2023 - PARIS Identity Days 2023
  • 3. Matthieu Masson Identity protection specialist EMEA - META PHOTO J’aide les équipes avant- vente généraliste de crowdstrike sur des sujets liés a la sécurité des identités. • Introduction : l’identité, une cible privilégiée • Mécanismes d’authentification d’Active Directory • Exemples d’attaques exploitant ces mécanismes • Quelles sont les approches à adopter face à ce type de menaces? AGENDA DE LA CONFÉRENCE 24 octobre 2023 - PARIS Identity Days 2023
  • 4. L’IDENTITE : UNE CIBLE PRIVILEGIEE +583% Augmentation du nombre d’attaques Kerberoasting en 1 an* 25% Of Des attaques démarrent sur des machines non protégées ** 71% Des attaques sont malware free* *2023 Threat Hunting Report Pourquoi l’identité est un vecteur d’attaque privilégié : • Contournement de l’EDR • Attaques plus difficile à détecter • Obtention facile de comptes valides (dark web, social engineering) • Gain de temps : breakout time moyen en baisse constante (79 min) 80% Des brèches exploitent des identifiants compromis
  • 5. Mécanismes d’authentification de l’Active Directory exploités par les attaquants : Kerberos et NTLM Identity Days 2023 24 octobre 2023 - PARIS
  • 6. Identity Days 2023 24 octobre 2023 - PARIS Les 3 principales entités de Kerberos •Utilisateur/client •Centre de distribution de clé (KDC) o Service d’authentification (AS) o Ticket granting service (TGS) •Application /Serveur L’ AUTHENTIFICATION KERBEROS
  • 7. KERBEROS : des jetons à durée limitée Identity Days 2023 24 octobre 2023 - PARIS TGT (Ticket Granting Ticket) ST (Service Ticket) TGT (Ticket granting Ticket) : • Durée de validité : 10H • Durée limite renouvellement : 7 jours • Chiffré avec le hash du compte KRBTGT* (mot de passe complexe) ST (Service ticket) : • Durée de validité : 10H • Durée limite de renouvellement : 7 jours • Chiffré avec le hash du compte qui porte le service (SPN)* (mot de passe complexe et renouvelé automatiquement tous les 30 jours) KRBTGT : Il s’agit d’un compte built-in présent dans tout annuaire Active Directory, situé au niveau du chaque domaine et porté par les contrôleurs de domaines. le hash du mot de passe du compte krbtgt est utilisé pour chiffré et signer les tickets Kerberos. Service Principal name (SPN) : Un Service Principal Name (SPN) est un attribut de l’active directory dans lequel est renseigné un identifiant unique permettant d’instancier un service. (ie http/www.websvr1.mycompany.com, sap/supplychain1.mycompany.com)
  • 8. Identity Days 2023 24 octobre 2023 - PARIS RAPPEL SUR LES TYPES DE CHIFFREMENT KERBEROS • DES_CBC_CRC • DES_CBC_MD5 • RC4_HMAC_MD5 • AES128_HMAC_SHA1 • AES256_HMAC_SHA1 Support OS : jusqu’à Windows Server 2008 seulement Obsolète Support OS : Windows 2000 server et ultérieur Peut être encore utilisé mais considéré comme faible / exploité dans le cadre des attaques Kerberoasting/ASREP Roast. Support OS : Windows Vista et ultérieur
  • 9. Identity Days 2023 24 octobre 2023 - PARIS • la préauthentification • La délégation kerberos non contrainte • Les utilisateurs ayant des service principal name (SPN) définis • « Account is sensitive and cannot be delegated » LES CONFIGURATIONS KERBEROS A SURVEILLER
  • 10. Identity Days 2023 24 octobre 2023 - PARIS 1. Un utilisateur s’authentifie avec ses identifiants sur sa machine (nom de domaine, d’utilisateur et mot de passe …). 2. La machine client envoie un message “Negociate” contenant, entre autres, le nom du domaine, les fonctions supportées par le client et le nom de la machine. [2] 3. Le serveur cible génère alors un message “Challenge” composé notamment du “défi”, qui est un nombre aléatoire et l’envoie à l’ordinateur client. [3] 4. La machine client répond par un message “Authenticate” et envoie, entre autres, la « réponse », qui est le challenge chiffré par le hash NT* du mot de passe du client. [4] 5. Le serveur envoie au Contrôleur de Domaine (DC)* le nom d’utilisateur, le défi et la réponse via un message “NETLOGON_NETWORK_INFO”. [5] 6. Le DC récupère le hash du mot de passe de l’utilisateur à partir de sa base de données puis chiffre le “défi” et le compare avec “la réponse”. S’ils sont identiques, l’authentification est approuvée et l’utilisateur peut accéder à la ressource. Le DC envoie alors un message “NETLOGON_VALIDATION_SAM_INFO4” au serveur. [6] 2 versions : NTLMv1 (1993) & NTLMv2 (1998) NTLM « New Technology Lan Manager » : protocole créé en 1993 pour remplacer le protocole Lan Manager devenu trop vulnérable. L’AUTHENTIFICATION NTLM
  • 11. Identity Days 2023 24 octobre 2023 - PARIS Principale différence entre les deux versions NTLM : l’algorithme utilisé pour chiffrer le challenge • DES pour Net-NTLMv1 : pas résistant aux attaques par brute force du fait notamment sa faible complexité et de la petite taille de la clé utilisé (56 bits). • HMAC-MD5 pour Net-NTLMv2 : plus résistant aux attaques par brute force que DES, car la clé est plus grande (128 bits) mais reste vulnérable NTLM est sensible aux attaques suivantes : Ø Offline cracking password (challenge chiffré par le hash du password du client) Ø Pass the hash Ø NTLM relay DIFFERENCE NTLM V1 VS NTLM V2
  • 12. Exemples d’attaques exploitant ces mécanismes Identity Days 2023 24 octobre 2023 - PARIS
  • 13. Les techniques de « credential dumping » Identity Days 2023 24 octobre 2023 - PARIS Les techniques MITRE ATT&CK pour obtenir des identifiants : • T1003.001 LSASS Memory • T1003.002 Security Account Manager • T1003.003 NTDS • T1003.004 LSA Secrets • T1003.005 Cached Domain Credentials • T1003.006 DCSync • Group Policy Preferences (GPP) in SYSVOL • Credential Manager Store
  • 14. AS-REP ROAST Identity Days 2023 24 octobre 2023 - PARIS • Si cette préauthentification est désactivée (en cochant l'attribut DONT_REQ_PREAUTH dans un compte d'utilisateur), il est possible d'envoyer un message KRB_AS_REQ sans spécifier son mot de passe. • Le KDC répondra par un message KRB_AS_REP, qui contiendra des informations chiffrées avec la clé de l'utilisateur. Ce message peut donc être utilisé pour déchiffrer le mot de passe de l'utilisateur. NB : Par defaut la réponse se fera en utilisant AES, mais il est tout a fait possible de forcer l’usage de l’algorithme de chiffrement RC4, ce qui rendra le brute force offline beaucoup plus rapide. • Comportement par défaut : la préauthentification est requise i.e pour obtenir un TGT, le client doit fournir l’authenticator (timestamp chiffré avec le hash NTLM de son mot de passe) lors de sa demande KRB_AS_REQ qui sera déchiffré et et dont l’horodatage sera analysé par le KDC. Si l’horodatage correspond au sien à 5min près, le KDC sait que le bon mot de passe a été utilisé et qu'une attaque par rejeu est très improbable. L’attaque AS-REP ROAST exploite une configuration propre à Kerberos (la préauthentification) et permet d’obtenir un mot de passe en clair et de le réutiliser pour se déplacer latéralement.
  • 15. Kerberoasting Identity Days 2023 24 octobre 2023 - PARIS $23= RC4 Lorsqu'un ticket de service est demandé, le contrôleur de domaine sélectionne le type de chiffrement du ticket en fonction de l'attribut msDS-SupportedEncryptionTypes du compte associé au SPN demandé. il peut s'agir d'un objet computer ou d'un compte de service utilisé pour héberger la ressource sur le réseau. Si l'attribut n'a pas de valeur définie, le contrôleur de domaine cryptera le ticket avec RC4 pour assurer la compatibilité. msDS-SupportedEncryptionTypes : § Compte machine : (RC4_HMAC_MD5 | AES128_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96) § Compte utilisateur : not Defined RC4 Il suffira simplement d’extraire le contenu du hash chiffré avec RC4 pour être brute forcé offline. Pour rappel RC4_HMAC est considéré comme faible. Les utilisateurs du domaine peuvent demander des tickets de service kerberos pour toute entité ayant un Service Principal Names (SPN), qui est normalement associé à des comptes d'ordinateur (par exemple, CIFS, HOST et HTTP, etc.). Un attaquant peut abuser de cette possibilité en demandant un ticket de service pour un compte utilisateur spécifique dont le SPN est défini, et en brute forçant le ticket off line.
  • 16. Pass the Hash Identity Days 2023 24 octobre 2023 - PARIS • Principe du SSO : l'utilisateur entre son mot de passe une fois. Le hachage NTLM est calculé, puis conservé en mémoire pour le reste de la session afin de pouvoir le réutiliser pour les demandes d'authentification ultérieures vers d’autres ressources du réseau. • Inconvénient : les attaquants peuvent extraire ce hash de mot de passe stocké en mémoire avec les outils appropriés. NT Hash d’un autre compte utilisateur qui a été extrait et réutilisé pour l’impersonifier. L’attaque PTH exploite le principe du SSO de Windows et permet d’extraire et d’utiliser les hash de mot de passe d’utilisateurs stockés en mémoire (pas besoin du mot de passe en clair). NT Hash en mémoire
  • 17. Pass the ticket Identity Days 2023 24 octobre 2023 - PARIS • Il est possible d’extraire en mémoire un TGT ou ST, cependant le TGT apportera plus de flexibilité par rapport à l’utilisation du ST qui sera limité au service associé. • Les tickets ayant « @krbtgt » sont des TGTs • Apres avoir extrait le ticket qui nous intéresse, il est possible de le « Passer » et donc d’impersonifier le propriétaire de ce ticket et donc de bénéficier de ses privilèges et accès (Service Ticket) Export TGT/ST Tickets extraient sous forme de fichier, ici TGT L’attaque Pass the Ticket s’appuie sur le SSO Windows et permet d’extraire un ticket Kerberos (TGT)
  • 18. Quelles approches adopter face à ce type de menaces? Identity Days 2023 24 octobre 2023 - PARIS
  • 19. Approche préconisée Identity Days 2023 Evaluer les risques et monitorer l’hygiène de l’AD en continu Détecter les menaces et avoir un outil d’investigation facile à utiliser Prévenir les attaques et stopper les mouvements latéraux en temps réel grâce à un accès conditionnel granulaire et des réponses automatisées Approche unifiée de la sécurité des identités et des endpoints pour gagner en efficacité opérationnelle et améliorer sa protection 24 octobre 2023 - PARIS
  • 20. Evaluer les risques Identity Days 2023 24 octobre 2023 - PARIS • Score de risque par domaine/tenant • Ensemble des risques détectés par sévérité • Evaluation du risque en temps réel • Visualisation des entités impliquées pour chaque risque • Classification automatiques des comptes • Chemin d’attaques menant à l’obtention de privilèges
  • 21. Identity Days 2023 24 octobre 2023 - PARIS Score de risque de l’entité Caractéristiques de l’utilisateur : • Privileges • Groupes membres • Password policy • Service principal name • Email etc... Endpoints & destination utilisés Risque(s) de l’entité Evaluer les risques Activité : • Localisation inhabituelle • Localisation habituelle • Services consommés
  • 22. Identity Days 2023 24 octobre 2023 - PARIS Compte sensible au kerberoasting • Classifié comme compte de service. • Dispose de privilèges domain Admin. • Score de risque élevé du fait de ses privilèges • SPN listé pour remédiation/vérification si nécessaires. • Politique de mot de passe faible. (faible complexité probable) • Changement de mot de passe peu fréquent Evaluer les risques
  • 23. Identity Days 2023 24 octobre 2023 - PARIS Monitorer l’hygiène en continu Points de contrôle : • Compte privilégiés • Mot de passe compromis • Compte inactif • Compte de services • Compte partagé sur plusieurs machines.. • Compte avec SPN • Compte sans préauthentification • Password not required
  • 24. Identity Days 2023 24 octobre 2023 - PARIS Monitorer l’hygiène en continu • Obtenir facilement de la visibilité sur des activités/événements spécifiques comme l’utilisation de protocoles obsolètes ou non chiffrés Utilisation NTLM V1 Utilisation LDAP non chiffré
  • 25. Identity Days 2023 24 octobre 2023 - PARIS Détecter les menaces • Détecter en temps réel des attaques basées sur l'identité ciblant les domaines AD (Mimikatz, Nopac, PetitPotam, DC Sync, etc.) • Identifier des anomalies comportementales (utilisation abusive d'informations d'identification valides) • Avoir une chronologie complète des techniques regroupées dans un incident unique
  • 26. Identity Days 2023 24 octobre 2023 - PARIS Détecter les menaces La détection d’un Pass the Hash : Détection donnant du contexte : • Source/destination • User (groupes membres, score de risque • Outil utilisé (si connu) • Un contexte enrichi par différentes sources : EDR, Identity, Cloud…
  • 27. Identity Days 2023 24 octobre 2023 - PARIS Investiguer sur les menaces Activité après attaque Activité avant attaque Attaque PTH Analyse de la télémétrie : • Donne du contexte pour l’investigation. • Informe sur l’activité avant et après l’attaque. • Réduit le temps de recherche et aide à la résolution.
  • 28. Identity Days 2023 24 octobre 2023 - PARIS ©2021 CROWDSTRIKE, INC. ALL RIGHTS RESERVED Prévenir les attaques grâce à l’accès conditionnel Un accès conditionnel en temps reel pour tous les utilisateurs internes et toutes les applications/outils legacy On Prem Une large palette de réponses automatisées : blocage de l’accès, reset de mot de passe, challenge MFA et ajout à watch list Intégration avec toutes les principales solutions MFA (Okta, One Login, Azure AD, Cyberark, RSA, Duo…) Des règles d’accès conditionnel très granulaires (plus d’une 50 aine de critères) pour limiter la friction
  • 29. Identity Days 2023 24 octobre 2023 - PARIS Règle d’accès conditionnel pour bloquer l’attaquant ayant usurpé l’identité d’un compte privilégié en exigeant du MFA lors d’un accès vers un serveur critique. • La règle définie bloque l’attaquant dans sa tentative d’accès au contrôleur de domaine en imposant du MFA pour valider l’accès. • La non validation du MFA a levé également une alerte. Fréquence de vérification ajustable pour limiter le MFA fatigue Bloquer les accès vers les serveurs critiques
  • 30. Identity Days 2023 24 octobre 2023 - PARIS Règle d’accès conditionnel en cas de suspicion de mouvement latéral • Dès la première détection d’un mouvement latéral de type Pass the Hash ou Pass the Ticket. L’attaquant sera ajouté à la « watchlist ». • La seconde règle impose l’usage du MFA pour tout compte présent dans la « watchlist » peu importe la source ou la destination et le type d’accès. • La combinaison des deux règles bloque la capacité de l’attaquant à se déplacer librement au sein de l’environnement Stopper les mouvements latéraux
  • 31. Identity Days 2023 24 octobre 2023 - PARIS Une approche unifiée de la securité des endpoints et des identités L'utilisateur et le terminal compromis sont tous deux ajoutés à une liste de surveillance IDP en vue d'un traitement supplémentaire (déclenchement d'un défi MFA ou restriction de l'accès aux applications sensibles, par exemple). Un workflow permettant de combiner la détection EDR et celle d’une solution protégeant les identités : L’approche combinée permet d’être plus efficace dans la réponse automatisée : • Permettant à la fois de contenir l’attaquant localement et de le bloquer dans son usage d’identités compromises.
  • 32. Identity Days 2023 24 octobre 2023 - PARIS Conclusion Exploration et corrélation des menaces ciblant les identités et les endpoints au sein d’une seule console de sécurité Mise en oeuvre d’un accès conditionnel granulaire basé sur une large palette de critères Evaluation des risques en temps réel et monitoring de l’hygiène en continu Approche unifiée de la sécurité des identités et des endpoints Mise en oeuvre d’une remédiation automatisée pour entraver les mouvements latéraux et réduire le volume d’incidents Auto-classification et évaluation des privileges de toutes les identités Détection des mouvements latéraux en temps réel