Blogue
/
Cyber-résilience

Emmenez-moi à votre contrôleur de domaine : protections et mesures d'atténuation à l'aide d'outils Zero Trust

Michael Adjei
,
Ingénieur système senior
January 8, 2021
23 min. de lecture

Dans partie 1 de cette série de blogs, nous avons examiné comment découverte des méthodes peuvent être utilisées dans un premier compromis. Le seconde a présenté un exemple d'usurpation d'identité à l'aide de techniques de hachage combinées à des outils d'accès à distance pour mouvement latéral. Dans cette dernière partie, nous verrons comment atténuer les mouvements latéraux. Nous avons déjà discuté de l'exemple pratique des deux approches complémentaires qui permettent un mouvement latéral : au niveau de l'application et au niveau du réseau.

3.1

Il devrait être clair que par niveau réseau, nous entendons en fait la communication hôte à hôte sur le réseau, et pas nécessairement des périphériques réseau tels que des commutateurs ou des routeurs. Un hôte peut être une charge de travail, comme un contrôleur de domaine, un serveur de base de données physique, virtuel ou même conteneurisé. Le niveau de l'application fait également référence à ce qui se passe à l'intérieur de l'hôte lui-même. Par exemple, les fichiers binaires sur le disque, les processus en mémoire, les actions de registre, etc.

Lors du mouvement latéral discuté dans le blog précédent, la technique de hachage basée sur Mimikatz a été utilisée dans le système d'exploitation au niveau de l'application en récupérant des informations d'identification hachées à partir de la mémoire de processus Windows LSASS.

3.2

Le jeton d'accès élevé dérivé de cette attaque a ensuite été utilisé pour activer l'accès à distance à l'aide de l'outil PAExec exploitant Windows SCM.

3.3

En analysant cette séquence d'attaque spécifique par rapport aux deux niveaux décrits ci-dessus, le niveau application du système devrait d'abord empêcher l'utilisation de Mimikatz ou, à défaut, de PAExec, sur la base d'un refus par défaut à l'aide d'un liste d'autorisation de candidatures. Sinon, nous devrions détecter le lancement du processus en mémoire, par exemple, en surveillant les DLL chargées ou les appels d'API. Au niveau du réseau, il faudrait appliquer la microsegmentation au niveau de l'hôte pour empêcher tout mouvement entre les systèmes, même s'ils se trouvent sur le même sous-réseau ou VLAN. Le traçage du trafic permettra également de détecter d'éventuelles anomalies, telles que l'exfiltration de données.

L'image ci-dessous montre une analyse statique des fichiers binaires Mimikatz et PAExec et de certaines dépendances du système, telles que les DLL importées.

3.4

Le processus en cours d'exécution en mémoire nous montre l'arbre de processus de cmd qui a été utilisé à la fois pour Mimikatz pass-the-hash et pour la connexion PAExec ultérieure au contrôleur de domaine.

3.5

Les analyses sur le système de destination, en l'occurrence le contrôleur de domaine, indiqueront également le binaire utilisé sur le contrôleur de domaine pour faciliter la gestion à distance et, dans ce cas, les mouvements latéraux.

3.6

Et l'image ci-dessous montre également le service associé.

3.7

Par défaut, il utilise la convention de dénomination standard pour les noms de processus binaires et résultants. Cela peut bien entendu être modifié par un acteur de la menace.

Il est donc important que les approches d'atténuation prennent en compte ces niveaux d'attaque : des protections qui prennent en compte les menaces au niveau des applications et des protections qui examinent la sécurité au niveau du réseau en mettant l'accent sur la communication hôte à hôte. Cela signifie que la sécurité reste inchangée tout en protégeant l'hôte ou la charge de travail (par exemple, le contrôleur de domaine machine en tant que charge de travail et les machines de point de terminaison qui accèdent au contrôleur de domaine).

Appliquant ce concept à deux niveaux au domaine et aux serveurs et clients associés, l'infographie ci-dessous montre certaines des considérations de sécurité importantes à prendre en compte pour se protéger contre les menaces pesant sur les contrôleurs de domaine et autres systèmes de domaine, comme indiqué dans cette série de blogs.

3.8

Un bon point de départ pour obtenir des informations est Les meilleures pratiques de Microsoft pour sécuriser Active Directory, qui détaille les approches de bon sens, telles que l'interdiction de se connecter à des ordinateurs non sécurisés dotés de comptes privilégiés ou de naviguer sur Internet normalement avec un compte hautement privilégié ou même directement depuis les contrôleurs de domaine. Une gestion efficace des privilèges et des listes d'autorisation des applications peuvent également automatiser la restriction de l'utilisation des comptes privilégiés sur l'ensemble du domaine et empêcher l'utilisation d'applications non autorisées.

Par exemple, au niveau de la protection du système, la détection et la réponse des terminaux (EDR), associées à des solutions de gestion des identités et des privilèges basées sur Zero Trust, peuvent aider à faire face aux menaces au niveau des applications sur le système du domaine, telles que le vol d'informations d'identification et la manipulation de la mémoire LSASS, à l'aide d'outils tels que Mimikatz ou Rubeus (même s'ils sont exécutés uniquement en mémoire et ne touchent pas le disque).

L'exemple ci-dessous montre un tel exemple issu d'une solution EDR, CrowdStrike Falçon, détectant une série de comportements malveillants au niveau des applications et du système.

3.9

Au niveau du réseau du système, comme pour le contrôleur de domaine et les autres systèmes de domaine, des solutions de microsegmentation basées sur l'hôte telles que Noyau Illumio peut fournir une sécurité Zero Trust et une microsegmentation. Illumio Edge étend cette protection aux terminaux situés à l'intérieur et à l'extérieur du domaine. Cela est particulièrement vrai dans les cas de vulnérabilités de type « jour zéro » et dans les cas où les menaces ne sont pas détectées par la sécurité des terminaux au niveau des applications et des systèmes.

La plupart des réseaux modernes sont hétérogènes, complexes et étendus, en particulier à l'ère du télétravail. Par conséquent, il n'est pas particulièrement facile de garantir la sécurité sans avoir au préalable une stratégie ciblée. Dans le cas des grands réseaux en particulier, il peut sembler presque impossible de garantir une sécurité efficace en raison du grand nombre de systèmes disparates et complexes dotés de politiques de sécurité variées. Il est donc important de revenir à l'essentiel pour :

  1. Sachez ce que vous avez
  2. Sachez ce qu'ils font
  3. Sécurisez-les

Cela est particulièrement vrai lorsque les charges de travail sont stockées dans le centre de données ou dans le cloud. Le moyen le plus simple et le plus efficace de savoir de quoi vous disposez est d'abord de regrouper les systèmes en fonction d'attributs spécifiques tels que leur emplacement, leur environnement et leur application. Cela facilitera l'identification des systèmes et des groupes d'applications critiques, des services de base utilisés dans tous les groupes et d'autres systèmes et applications moins cruciaux. Naturellement, l'accent sera alors mis principalement sur les actifs les plus critiques, les applications les plus précieuses et les services de base.

3.10

Une sécurité efficace n'existe pas de manière isolée, c'est pourquoi toute approche doit prendre en compte les considérations clés suivantes :

  • Visibilité
  • Intégration
  • Performances à grande échelle
  • Efficacité

Le premier point important est la visibilité. Comme le montre l'exemple ci-dessous tiré de la solution Core d'Illumio pour la protection de la charge de travail Zero Trust, le mappage des dépendances des applications et l'affichage des différents groupes d'applications et de leurs connexions ouvrent la voie à une définition éclairée des politiques et à un provisionnement directement sur les systèmes hôtes tels que les contrôleurs de domaine, les serveurs de base de données et d'autres systèmes de charge de travail critiques du domaine, qu'ils soient physiques, virtuels, conteneurs ou cloud. Cela signifie que la microsegmentation peut être appliquée même dans un environnement de friche industrielle plate avec des systèmes qui couvrent différentes zones géographiques et existent sur différentes plateformes. Cela permet de savoir ce que font vos systèmes sur le réseau. L'exemple ci-dessous montre les groupes d'applications et leurs relations de trafic dans un carte des dépendances des applications.

3.11

Ces informations utiles au niveau du système peuvent également être intégrées dans les investissements de sécurité existants tels que les SIEM, les scanners de vulnérabilité ou les CMDB. Dans l'exemple ci-dessous, les informations provenant de la solution de microsegmentation basée sur l'hôte sont introduites dans une solution SIEM ou d'analyse de sécurité. Cet exemple montre l'intégration avec Splunk SIEM :

3.12

Et dans ce deuxième exemple, avec QRadar :

3.13

Cela signifie que les nouvelles solutions peuvent être combinées aux investissements de sécurité existants pour protéger l'ensemble des systèmes du domaine. Les performances et l'efficacité des solutions de sécurité à grande échelle doivent également être prises en compte afin que la sécurité puisse être améliorée ou réduite, à la fois dans les environnements fixes et agiles, tels que les conteneurs ou les migrations vers le cloud.

Une fois que tous ces éléments sont en place, il est facile de définir des politiques de sécurité cohérentes pour tous les systèmes afin de surveiller, de détecter et de prévenir les comportements anormaux. L'image ci-dessous montre les différents types de politiques de microsegmentation qui peuvent être appliquées en fonction des modèles de trafic en temps réel d'hôte à hôte, c'est-à-dire au niveau du réseau.

3.14

Dans les nouvelles versions de Windows, telles que Windows 10 et Server 2016, l'audit pour l'événement 4768 (un ticket d'authentification Kerberos (TGT) a été demandé et l'événement 4769 - Un ticket de service Kerberos a été demandé, et la corrélation ultérieure peut indiquer le début d'attaques par ticket doré ou argenté. Microsoft a également mis en place de nouvelles protections, telles que Credential Guard, qui vise à empêcher le dumping d'informations d'identification. En cas de cyberincident, il est important qu'un stratégie de réponse aux cyberincidents est déjà en place.

Les protections au niveau de l'application et au niveau du réseau doivent être étayées par un »supposer une violation', afin que, globalement, la chasse active aux menaces soutenue par des analyses, une surveillance continue et une détection soit toujours en vigueur de manière automatisée et structurée.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Approches en matière de cyber-résilience, nouveaux outils Illumio et podcast Hacking Humans
Cyber-résilience

Approches en matière de cyber-résilience, nouveaux outils Illumio et podcast Hacking Humans

La couverture médiatique d'avril d'Illumio montre le travail innovant réalisé par Illumio pour devenir un leader du secteur de la sécurité.

En savoir plus
Comment choisir le meilleur fournisseur de cybersécurité
Cyber-résilience

Comment choisir le meilleur fournisseur de cybersécurité

Découvrez auprès d'un expert en cybersécurité les facteurs essentiels que les équipes doivent prendre en compte lors du choix d'un fournisseur de solutions de cybersécurité.

En savoir plus
Les principales fausses hypothèses en matière de sécurité du cloud qui créent des risques inutiles
Cyber-résilience

Les principales fausses hypothèses en matière de sécurité du cloud qui créent des risques inutiles

Cela fait 15 ans qu'Amazon Web Services a lancé la première plateforme d'infrastructure cloud.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus