SlideShare une entreprise Scribd logo
1  sur  40
Télécharger pour lire hors ligne
Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020
Les 5 étapes urgentes que chaque
CISO doit mettre en œuvre pour
sécuriser son Active Directory
Luc Delsalle – CTO & co-founder Alsid
29 octobre 2020
Identity Days 2020
Luc Delsalle
Avant de fonder Alsid, Luc a
passé 6 ans à l’ANSSI,
l’agence nationale française
en charge des questions de
cyberdéfense, où il a dirigé
plusieurs opérations de
réponse sur incident
d’échelle internationale
ainsi que de nombreuses
évaluations de sécurité
redteam.
• Pourquoi l’Active Directory est une cible
privilégiée des attaquants
• Séquence d’attaque classique visant une
organisation et son Active Directory
• Les 5 étapes du RSSI pour sécuriser son
Active Directory
• Comment Alsid peut protéger votre
organisation des malwares et attaques
visant l’Active Directory
• Questions / Réponses
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
Pourquoi l’Active Directory est une
cible privilégiée des attaquants
Identity Days 2020
29 octobre 2020
L’Active Directory
Identity Days 2020
• Un élément d’importance vital pour le système
d’information de l’entreprise
• Présent dans la grande majorité des entreprises
• Il a déjà 20 ans …
24 octobre 2020
Les constats
Identity Days 2020
• Les pratiques d’exploitation et de configuration ont généralement peu évoluées
• Retour du terrain:
• - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD
• + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD
• + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD
• Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses.
• … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper,
bloodHound…)
• … et parfois même parfois totalement automatisé (RYUK)
24 octobre 2020
Séquence d’attaque classique visant
une organisation et son Active
Directory
Identity Days 2020
29 octobre 2020
Identity Days 2020
24 octobre 2020
MALWARE
INJECTION
PHISHING RECONN-
AISSANCE
CREDENTIAL
THEFT
EXPLOITATION PRIVILEGE
ESCALATION
PERSISTENCELATERAL
MOVEMENT
First part of the attack:
Target = Workstation
Second part of the attack:
Target = Active Directory
Third part of the attack:
Target = Active Directory + Business data
Targetedexternal
reconnaissance
or
Randomattacks
automatization
Fourth part of the attack:
[A] Data encryption & ransom asked
[B] Data theft & sold on the dark market
[A]
[B]
Active Directory kill chain
Les 5 étapes du RSSI pour sécuriser
son Active Directory
Identity Days 2020
29 octobre 2020
Identity Days 2020
24 octobre 2020
Etape 1:
Connaitre l’état actuel de son Active Directory
et évaluer son niveau de résilience
Identity Days 2020
24 octobre 2020
Ne pas se voiler la face
Tu vois un problème de
config sur notre AD ?
Non, non, tout est
absolument parfait !
• La plupart des designs Active Directory ont été réalisés il y a
plus de 10 ans, à une époque où les cryptovirus et le Tier-
Model Microsoft n’existaient pas vraiment
• La sécurité s’érode avec le temps, une photographie à un
instant T ou un pentest tous les trimestres ne permettent
pas d’évaluer les risques réels liés à Active Directory
• La sécurité Active Directory est en constante évolution
• Même avec des moyens restreints, il y a des « quick-wins »
à réaliser pour renforcer sa résilience Active Directory
Identity Days 2020
24 octobre 2020
Exemples de changement de paradigmes
autour de la sécurité Active Directory
Pass-the-hash
2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash »
2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas
uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire
2011: Benjamin Delpy fournit la première version de Mimikatz
2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1
2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2
Attribut primaryGroupID
2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour
assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs
2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant
sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD)
2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)
Identity Days 2020
24 octobre 2020
Quelques Quick wins
• S’assurer des sauvegardes et du plan de restauration lié au service Active
Directory – Créer un lab dédié qui servira d’intégration
• Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019
• Réduire drastiquement le nombre de comptes membres des groupes à pouvoir
(Domain admins, Enterprise admins, etc.)
• Vider le groupe Schema admins
• Changer deux fois le mot de passe du compte krbtgt
• Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente
de 513 dans l’attribut primaryGroupID
• Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des
machines
• Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de
passe dans l’attribut Description ou autre attribut
Identity Days 2020
24 octobre 2020
Etape 2:
Visualiser et comprendre en temps réel les
mauvaises configurations au sein d’Active
Directory
Identity Days 2020
24 octobre 2020
Connaitre ses faiblesses
" le danger, ce n'est
pas ce que l'on ignore,
c'est ce que l'on tient
pour certain et qui ne
l'est pas "
Marc Twain
Identity Days 2020
24 octobre 2020
Pourquoi les mauvaises configurations AD
sont elles si importantes à surveiller ?
• Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a
que deux moyens d’attaquer un système:
✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue
(0-Day)
✓ Utiliser une mauvaise configuration du système
• La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de
domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est
absolument nécessaire
• Vous devrez utiliser des solutions spécifiques de mise en conformité Active
Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance
et correction des mauvaises configurations
• Quant aux failles 0-Day…
Identity Days 2020
24 octobre 2020
Pourquoi le temps réel est il si important ?
Ransomware example: RYUK
Key points:
✓ AV & EDR can be easily deactivated by the first part of the code
✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance
✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path)
Malicious documents
files (droppers)
distributed as
attachments through
phishing attacks
User is invited to open
the attachment, then
malicious code (1) is
run to download
additional code:
Trickbot or Emotet
Trojan.W97M.POWLOAD
TrojanSpy.Win32.TRICKBOT
Or
TrojanSpy.Win32.EMOTET
Dropper downloads
Trickbot (2) or Emotet
(2) to be used for:
▪ Stealing
credentials
▪ Active Directory
reconnaissance
Performs lateral
movement using Active
Directory:
▪ MS17-010
vulnerability (SMB
exploit)
▪ Networks shares
(compromised
accounts)
▪ PsExec, etc.
When the AD
misconfiguration
(=attack path) is
detected, the last part
of the code (3) is
downloaded and
deployed in the
organization
Upon execution, it
will perform its
encryption routine:
Local and shared
files becomes
encrypted and
ransom notes are
activated
Ransom.Win32.RYUK
Waiting for AD misconfiguration
TRICKBOT
DomainGrabber
AV & EDR deactivation
1 2 3
The DomainGrabber code is a specific
“tool” to perform the Active Directory
reconnaissance
1
2
2
3
Identity Days 2020
24 octobre 2020
Tweet du 2020/05/03 –
mimikatz s’execute avec
TrendMicro sur la machine
Simplement en changeant qq
entrées dans le code avant
compilation
1 seul EDR/AV
sur 60 détecte le
Payload dans le
fichier PDF
Ici SentinelOne
https://bit.ly/3deJGW2
Pourquoi le temps réel est il si important ?
Identity Days 2020
24 octobre 2020
Etape 3:
Implémenter le Tier-Model de Microsoft
Identity Days 2020
24 octobre 2020
Attaquer Active Directory via l’élévation de privilèges
1. Attaque sur les workstations (phishing, browser exploit,
PDF, Java)
2. Une workstation est compromise, l’attaquant utilisera
l’escala de privilèges pour récupérer les hashs de mots
de passe, les tickets Kerberos, les mots de passe des
comptes de service, etc.
3. L’attaquant utilise un compte pour réaliser le
mouvement latéral
4. L’attaquant accédera à un compte privilégié utilisé sur
une workstation ou un serveur membre (par exemple:
Domain Admins)
5. C’est fini…
Identity Days 2020
24 octobre 2020
Le modèles 3 tiers
Identity Days 2020
24 octobre 2020
Etape 4:
Gérer les comptes à pouvoir et deployer LAPS
sur les workstations
Identity Days 2020
24 octobre 2020
RSSI - CISO
J’adore être Superman,
je peux installer de quoi
j’ai besoin pour
travailler – Laisse moi
être Superman !System Admin
Power User
Pourquoi veux tu être
Superman alors que
tu as besoin d’être
uniquement Clark
Kent !
Attention à l’aspect psychologique !
Identity Days 2020
24 octobre 2020
Déployer LAPS, au moins sur les stations de W
Extension de
schéma pour
gérer les
attributs de
LAPS
Définir une GPO de
configuration et
l’appliquer sur les
stations de W (à
minima)
Interface de
gestion pour
retrouver le mot
de passe du
compte local
Administrator
Identity Days 2020
24 octobre 2020
Bénéfices de LAPS
• LAPS permet d’avoir un mot de passe local Administrateur différent sur
chaque station de travail (ou serveur membre)
• Le mot de passe d’administration sera utilisé uniquement par le service
Helpdesk ou IT
• LAPS permet une rotation du mot de passe et de définir une politique de mot
de passe complexe
• LAPS évite donc le mouvement latéral si une station de travail est compromise
et que la base SAM locale est compromise
Identity Days 2020
24 octobre 2020
Etape 5:
Intégrer votre sécurité Active Directory avec
vos briques de sécurité existantes – Le SIEM
Identity Days 2020
24 octobre 2020
En sécurité, l’intelligence collective est possible
• Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est
un plus non-négligeable
• Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface
supplémentaire sans nécessité
• Intégrez votre brique de sécurité Active Directory avec votre SIEM
• La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs
et diminuera vos coûts de stockage côté SIEM
AD
Solution de
Sécurité Active
Directory
SIEM
Comment Alsid peut protéger
votre organisation des malwares et
attaques visant Active Directory
Identity Days 2020
29 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement
Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement
Identity Days 2020
24 octobre 2020
Pour aller plus loin…
www.alsid.com hello@alsid.com
Retrouvez
nous sur
notre stand
virtuel
pendant les
Identity Days
2020 et
posez toutes
vos
questions
Questions / réponses
Identity Days 2020
29 octobre 2020
Identity Days 2020
29 octobre 2020
Merci à tous nos partenaires ! @IdentityDays #identitydays2020

Contenu connexe

Tendances

Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Identity Days
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIntroduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIdentity Days
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsIdentity Days
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Identity Days
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Identity Days
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...Identity Days
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Peter GEELEN ✔
 
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Identity Days
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019]  Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019]  Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 

Tendances (19)

Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIntroduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
 
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019]  Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019]  Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 

Similaire à Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023ChristopheVidal15
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryMicrosoft Technet France
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryMicrosoft Décideurs IT
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Microsoft Technet France
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryEyesOpen Association
 

Similaire à Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory (20)

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideIdentity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 

Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory

  • 1. Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020
  • 2. Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory Luc Delsalle – CTO & co-founder Alsid 29 octobre 2020 Identity Days 2020
  • 3. Luc Delsalle Avant de fonder Alsid, Luc a passé 6 ans à l’ANSSI, l’agence nationale française en charge des questions de cyberdéfense, où il a dirigé plusieurs opérations de réponse sur incident d’échelle internationale ainsi que de nombreuses évaluations de sécurité redteam. • Pourquoi l’Active Directory est une cible privilégiée des attaquants • Séquence d’attaque classique visant une organisation et son Active Directory • Les 5 étapes du RSSI pour sécuriser son Active Directory • Comment Alsid peut protéger votre organisation des malwares et attaques visant l’Active Directory • Questions / Réponses AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
  • 4. Pourquoi l’Active Directory est une cible privilégiée des attaquants Identity Days 2020 29 octobre 2020
  • 5. L’Active Directory Identity Days 2020 • Un élément d’importance vital pour le système d’information de l’entreprise • Présent dans la grande majorité des entreprises • Il a déjà 20 ans … 24 octobre 2020
  • 6. Les constats Identity Days 2020 • Les pratiques d’exploitation et de configuration ont généralement peu évoluées • Retour du terrain: • - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD • + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD • + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD • Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses. • … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper, bloodHound…) • … et parfois même parfois totalement automatisé (RYUK) 24 octobre 2020
  • 7. Séquence d’attaque classique visant une organisation et son Active Directory Identity Days 2020 29 octobre 2020
  • 8. Identity Days 2020 24 octobre 2020 MALWARE INJECTION PHISHING RECONN- AISSANCE CREDENTIAL THEFT EXPLOITATION PRIVILEGE ESCALATION PERSISTENCELATERAL MOVEMENT First part of the attack: Target = Workstation Second part of the attack: Target = Active Directory Third part of the attack: Target = Active Directory + Business data Targetedexternal reconnaissance or Randomattacks automatization Fourth part of the attack: [A] Data encryption & ransom asked [B] Data theft & sold on the dark market [A] [B] Active Directory kill chain
  • 9. Les 5 étapes du RSSI pour sécuriser son Active Directory Identity Days 2020 29 octobre 2020
  • 10. Identity Days 2020 24 octobre 2020 Etape 1: Connaitre l’état actuel de son Active Directory et évaluer son niveau de résilience
  • 11. Identity Days 2020 24 octobre 2020 Ne pas se voiler la face Tu vois un problème de config sur notre AD ? Non, non, tout est absolument parfait ! • La plupart des designs Active Directory ont été réalisés il y a plus de 10 ans, à une époque où les cryptovirus et le Tier- Model Microsoft n’existaient pas vraiment • La sécurité s’érode avec le temps, une photographie à un instant T ou un pentest tous les trimestres ne permettent pas d’évaluer les risques réels liés à Active Directory • La sécurité Active Directory est en constante évolution • Même avec des moyens restreints, il y a des « quick-wins » à réaliser pour renforcer sa résilience Active Directory
  • 12. Identity Days 2020 24 octobre 2020 Exemples de changement de paradigmes autour de la sécurité Active Directory Pass-the-hash 2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash » 2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire 2011: Benjamin Delpy fournit la première version de Mimikatz 2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1 2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2 Attribut primaryGroupID 2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs 2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD) 2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)
  • 13. Identity Days 2020 24 octobre 2020 Quelques Quick wins • S’assurer des sauvegardes et du plan de restauration lié au service Active Directory – Créer un lab dédié qui servira d’intégration • Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019 • Réduire drastiquement le nombre de comptes membres des groupes à pouvoir (Domain admins, Enterprise admins, etc.) • Vider le groupe Schema admins • Changer deux fois le mot de passe du compte krbtgt • Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente de 513 dans l’attribut primaryGroupID • Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des machines • Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de passe dans l’attribut Description ou autre attribut
  • 14. Identity Days 2020 24 octobre 2020 Etape 2: Visualiser et comprendre en temps réel les mauvaises configurations au sein d’Active Directory
  • 15. Identity Days 2020 24 octobre 2020 Connaitre ses faiblesses " le danger, ce n'est pas ce que l'on ignore, c'est ce que l'on tient pour certain et qui ne l'est pas " Marc Twain
  • 16. Identity Days 2020 24 octobre 2020 Pourquoi les mauvaises configurations AD sont elles si importantes à surveiller ? • Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a que deux moyens d’attaquer un système: ✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue (0-Day) ✓ Utiliser une mauvaise configuration du système • La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est absolument nécessaire • Vous devrez utiliser des solutions spécifiques de mise en conformité Active Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance et correction des mauvaises configurations • Quant aux failles 0-Day…
  • 17. Identity Days 2020 24 octobre 2020 Pourquoi le temps réel est il si important ? Ransomware example: RYUK Key points: ✓ AV & EDR can be easily deactivated by the first part of the code ✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance ✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path) Malicious documents files (droppers) distributed as attachments through phishing attacks User is invited to open the attachment, then malicious code (1) is run to download additional code: Trickbot or Emotet Trojan.W97M.POWLOAD TrojanSpy.Win32.TRICKBOT Or TrojanSpy.Win32.EMOTET Dropper downloads Trickbot (2) or Emotet (2) to be used for: ▪ Stealing credentials ▪ Active Directory reconnaissance Performs lateral movement using Active Directory: ▪ MS17-010 vulnerability (SMB exploit) ▪ Networks shares (compromised accounts) ▪ PsExec, etc. When the AD misconfiguration (=attack path) is detected, the last part of the code (3) is downloaded and deployed in the organization Upon execution, it will perform its encryption routine: Local and shared files becomes encrypted and ransom notes are activated Ransom.Win32.RYUK Waiting for AD misconfiguration TRICKBOT DomainGrabber AV & EDR deactivation 1 2 3 The DomainGrabber code is a specific “tool” to perform the Active Directory reconnaissance 1 2 2 3
  • 18. Identity Days 2020 24 octobre 2020 Tweet du 2020/05/03 – mimikatz s’execute avec TrendMicro sur la machine Simplement en changeant qq entrées dans le code avant compilation 1 seul EDR/AV sur 60 détecte le Payload dans le fichier PDF Ici SentinelOne https://bit.ly/3deJGW2 Pourquoi le temps réel est il si important ?
  • 19. Identity Days 2020 24 octobre 2020 Etape 3: Implémenter le Tier-Model de Microsoft
  • 20. Identity Days 2020 24 octobre 2020 Attaquer Active Directory via l’élévation de privilèges 1. Attaque sur les workstations (phishing, browser exploit, PDF, Java) 2. Une workstation est compromise, l’attaquant utilisera l’escala de privilèges pour récupérer les hashs de mots de passe, les tickets Kerberos, les mots de passe des comptes de service, etc. 3. L’attaquant utilise un compte pour réaliser le mouvement latéral 4. L’attaquant accédera à un compte privilégié utilisé sur une workstation ou un serveur membre (par exemple: Domain Admins) 5. C’est fini…
  • 21. Identity Days 2020 24 octobre 2020 Le modèles 3 tiers
  • 22. Identity Days 2020 24 octobre 2020 Etape 4: Gérer les comptes à pouvoir et deployer LAPS sur les workstations
  • 23. Identity Days 2020 24 octobre 2020 RSSI - CISO J’adore être Superman, je peux installer de quoi j’ai besoin pour travailler – Laisse moi être Superman !System Admin Power User Pourquoi veux tu être Superman alors que tu as besoin d’être uniquement Clark Kent ! Attention à l’aspect psychologique !
  • 24. Identity Days 2020 24 octobre 2020 Déployer LAPS, au moins sur les stations de W Extension de schéma pour gérer les attributs de LAPS Définir une GPO de configuration et l’appliquer sur les stations de W (à minima) Interface de gestion pour retrouver le mot de passe du compte local Administrator
  • 25. Identity Days 2020 24 octobre 2020 Bénéfices de LAPS • LAPS permet d’avoir un mot de passe local Administrateur différent sur chaque station de travail (ou serveur membre) • Le mot de passe d’administration sera utilisé uniquement par le service Helpdesk ou IT • LAPS permet une rotation du mot de passe et de définir une politique de mot de passe complexe • LAPS évite donc le mouvement latéral si une station de travail est compromise et que la base SAM locale est compromise
  • 26. Identity Days 2020 24 octobre 2020 Etape 5: Intégrer votre sécurité Active Directory avec vos briques de sécurité existantes – Le SIEM
  • 27. Identity Days 2020 24 octobre 2020 En sécurité, l’intelligence collective est possible • Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est un plus non-négligeable • Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface supplémentaire sans nécessité • Intégrez votre brique de sécurité Active Directory avec votre SIEM • La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs et diminuera vos coûts de stockage côté SIEM AD Solution de Sécurité Active Directory SIEM
  • 28. Comment Alsid peut protéger votre organisation des malwares et attaques visant Active Directory Identity Days 2020 29 octobre 2020
  • 29. Identity Days 2020 24 octobre 2020
  • 30. Identity Days 2020 24 octobre 2020
  • 31. Identity Days 2020 24 octobre 2020
  • 32. Identity Days 2020 24 octobre 2020
  • 33. Identity Days 2020 24 octobre 2020
  • 34. Identity Days 2020 24 octobre 2020
  • 35. Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
  • 36. Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
  • 37. Identity Days 2020 24 octobre 2020 Pour aller plus loin… www.alsid.com hello@alsid.com Retrouvez nous sur notre stand virtuel pendant les Identity Days 2020 et posez toutes vos questions
  • 38. Questions / réponses Identity Days 2020 29 octobre 2020
  • 39. Identity Days 2020 29 octobre 2020
  • 40. Merci à tous nos partenaires ! @IdentityDays #identitydays2020