CyberArk : se protéger des attaques sur les domaines AD et Kerberos
Notre partenaire éditeur CyberArk annonce de nouvelles fonctions de détection et de confinement des menaces en temps réel. Les pirates informatiques qui parviennent à s’immiscer dans l’infrastructure Microsoft Active Directory pouvant en effet prendre le contrôle d’une entreprise, ces fonctionnalités permettent aux organisations de mieux se prémunir contre les cyberattaques visant Active Directory.
Les attaques telles que le “Golden Ticket” ou encore le “Pass-the-hash” pourraient être détectées et contrées via cette nouvelle fonction de détection orientée AD / Kerberos.
La nouvelle version v3.0 de CyberArk Privileged Threat Analytics offre des fonctions d’analyse ciblée et filtre le trafic réseau pour mieux détecter les signes précoces d’une attaque, tels que le vol d’identifiants, les déplacements latéraux et l’augmentation de privilèges. Ces fonctions permettent aux équipes en charge de la résolution des incidents de visualiser une menace et d’éradiquer des attaques en cours, comme par exemple des attaques du protocole d’authentification Kerberos comme le “Golden Ticket”, capable de prendre le contrôle total d’un réseau et de bouleverser les activités d’une entreprise. CyberArk Privileged Threat Analytics fait partie intégrante de la solution de sécurisation des comptes à privilèges CyberArk Privileged Account Security Solution et assure une sécurité optimale d’Active Directory.
L’infrastructure Active Directory inclut des contrôleurs de domaines, des comptes administrateurs de domaines, des serveurs critiques et des stations de travail. Selon Forrester Research, « Microsoft Active Directory est devenu au fil du temps le référentiel d’entreprise le plus largement utilisé pour les identités numériques. De par cette importance croissante, Active Directory est aujourd’hui une cible privilégiée des pirates informatiques, qui attaquent à présent l’infrastructure Active Directory pour obtenir des privilèges et subtiliser des données ». Selon les observations de terrain faites par CyberArk, une fois infiltrés dans le réseau, il faudra à certains pirates informatiques moins de 12 minutes pour voler des identifiants privilégiés et prendre possession d’un contrôleur de domaine dans lequel se trouvent les services qui constituent Active Directory.
La résolution des incidents ne repose pas uniquement sur la détection À l’heure actuelle, il n’est plus suffisant d’être en mesure de détecter une attaque. La solution de sécurité CyberArk Privileged Account Security Solution va au-delà de la simple détection des menaces en proposant également des outils de protection et de confinement proactifs, afin de restreindre les déplacements d’un pirate informatique et de réduire l’impact d’une attaque. CyberArk Privileged Threat Analytics optimise la résolution des incidents grâce à deux nouvelles fonctions clés :
- Détection des attaques Kerberos : Un protocole additionnel collecte et analyse le trafic réseau en vue de déceler les indicateurs d’une attaque Kerberos en cours. Dorénavant, la solution collectera des ensembles de données bien spécifiques depuis plusieurs sources telles que CyberArk Digital Vault, les solutions SIEM et les TAP/commutateurs réseau. Ensuite, le moteur d’analyse appliquera une combinaison complexe de nouveaux algorithmes statistiques et déterministes, permettant ainsi aux organisations d’analyser uniquement les “bonnes” données (celles associées au compte à privilèges piraté) afin de détecter et de contrer les attaques les plus avancées.
- Confinement automatisé des menaces : En plus de pouvoir identifier une attaque potentielle, CyberArk Privileged Threat Analytics peut aider les organisations à contrer et à confiner cette attaque de façon entièrement automatisée. CyberArk a développé une plateforme unique capable de protéger un réseau et de détecter les menaces de façon proactive. En désactivant immédiatement des identifiants susceptibles d’avoir été piratés, la solution perturbera l’attaque en cours et bloquera les agissements de l’assaillant, sans pour autant perturber les activités de l’entreprise.
Un pirate informatique dispose de plusieurs options pour exploiter à son avantage un système d’authentification Kerberos. Les attaques Kerberos les plus répandues incluent la manipulation de certificats PAC ainsi que les techniques baptisées Overpass-the-Hash et Golden Ticket. Un pirate ayant réussi à subtiliser les identifiants d’un administrateur de domaines sera capable de réaliser des attaques Kerberos dévastatrices. C’est la raison pour laquelle la stratégie de sécurité de chaque entreprise doit absolument intégrer une protection proactive des identifiants administratifs et doit pouvoir empêcher les pirates informatiques d’y accéder. CyberArk Privileged Threat Analytics permet aux organisations d’identifier des attaques qui étaient autrefois indétectables, de restreindre le champ d’action des assaillants, d’accroître les performances de leurs équipes de sécurité et de bénéficier d’un retour sur investissement rapide.
Disponibilité : CyberArk Privileged Threat Analytics v3.0 est d’ores et déjà disponible. Les clients peuvent commander la solution directement auprès de CyberArk, mais aussi auprès des nombreux revendeurs mondiaux de la marque. L’ensemble des utilisateurs actuels de la solution CyberArk Privileged Threat Analytics pourront bénéficier gratuitement d’une mise à niveau de la v3.0.
Sources & ressources :
- 12 minutes pour voler des données : CyberArk lance la détection en temps réel et le confinement automatique des cyberattaques visant Active Directory
- CyberArk announces real-time detection, automatic containment of cyber attacks targeting active directory
- GSMag
Yann
Consultant Sécurité