SlideShare uma empresa Scribd logo

Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Luc Delsalle pour ALSID lors de la seconde édition des Identity Days.

Tecnologia
1 de 40
Baixar para ler offline
Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020
Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory Luc Delsalle – CTO & co-founder Alsid 29 octobre 2020 Identity Days 2020
Luc Delsalle Avant de fonder Alsid, Luc a passé 6 ans à l’ANSSI, l’agence nationale française en charge des questions de cyberdéfense, où il a dirigé plusieurs opérations de réponse sur incident d’échelle internationale ainsi que de nombreuses évaluations de sécurité redteam. • Pourquoi l’Active Directory est une cible privilégiée des attaquants • Séquence d’attaque classique visant une organisation et son Active Directory • Les 5 étapes du RSSI pour sécuriser son Active Directory • Comment Alsid peut protéger votre organisation des malwares et attaques visant l’Active Directory • Questions / Réponses AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
Pourquoi l’Active Directory est une cible privilégiée des attaquants Identity Days 2020 29 octobre 2020
L’Active Directory Identity Days 2020 • Un élément d’importance vital pour le système d’information de l’entreprise • Présent dans la grande majorité des entreprises • Il a déjà 20 ans … 24 octobre 2020
Les constats Identity Days 2020 • Les pratiques d’exploitation et de configuration ont généralement peu évoluées • Retour du terrain: • - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD • + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD • + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD • Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses. • … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper, bloodHound…) • … et parfois même parfois totalement automatisé (RYUK) 24 octobre 2020
Séquence d’attaque classique visant une organisation et son Active Directory Identity Days 2020 29 octobre 2020
Identity Days 2020 24 octobre 2020 MALWARE INJECTION PHISHING RECONN- AISSANCE CREDENTIAL THEFT EXPLOITATION PRIVILEGE ESCALATION PERSISTENCELATERAL MOVEMENT First part of the attack: Target = Workstation Second part of the attack: Target = Active Directory Third part of the attack: Target = Active Directory + Business data Targetedexternal reconnaissance or Randomattacks automatization Fourth part of the attack: [A] Data encryption & ransom asked [B] Data theft & sold on the dark market [A] [B] Active Directory kill chain
Les 5 étapes du RSSI pour sécuriser son Active Directory Identity Days 2020 29 octobre 2020
Identity Days 2020 24 octobre 2020 Etape 1: Connaitre l’état actuel de son Active Directory et évaluer son niveau de résilience
Identity Days 2020 24 octobre 2020 Ne pas se voiler la face Tu vois un problème de config sur notre AD ? Non, non, tout est absolument parfait ! • La plupart des designs Active Directory ont été réalisés il y a plus de 10 ans, à une époque où les cryptovirus et le Tier- Model Microsoft n’existaient pas vraiment • La sécurité s’érode avec le temps, une photographie à un instant T ou un pentest tous les trimestres ne permettent pas d’évaluer les risques réels liés à Active Directory • La sécurité Active Directory est en constante évolution • Même avec des moyens restreints, il y a des « quick-wins » à réaliser pour renforcer sa résilience Active Directory
Identity Days 2020 24 octobre 2020 Exemples de changement de paradigmes autour de la sécurité Active Directory Pass-the-hash 2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash » 2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire 2011: Benjamin Delpy fournit la première version de Mimikatz 2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1 2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2 Attribut primaryGroupID 2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs 2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD) 2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)
Identity Days 2020 24 octobre 2020 Quelques Quick wins • S’assurer des sauvegardes et du plan de restauration lié au service Active Directory – Créer un lab dédié qui servira d’intégration • Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019 • Réduire drastiquement le nombre de comptes membres des groupes à pouvoir (Domain admins, Enterprise admins, etc.) • Vider le groupe Schema admins • Changer deux fois le mot de passe du compte krbtgt • Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente de 513 dans l’attribut primaryGroupID • Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des machines • Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de passe dans l’attribut Description ou autre attribut
Identity Days 2020 24 octobre 2020 Etape 2: Visualiser et comprendre en temps réel les mauvaises configurations au sein d’Active Directory
Identity Days 2020 24 octobre 2020 Connaitre ses faiblesses " le danger, ce n'est pas ce que l'on ignore, c'est ce que l'on tient pour certain et qui ne l'est pas " Marc Twain
Identity Days 2020 24 octobre 2020 Pourquoi les mauvaises configurations AD sont elles si importantes à surveiller ? • Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a que deux moyens d’attaquer un système: ✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue (0-Day) ✓ Utiliser une mauvaise configuration du système • La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est absolument nécessaire • Vous devrez utiliser des solutions spécifiques de mise en conformité Active Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance et correction des mauvaises configurations • Quant aux failles 0-Day…
Identity Days 2020 24 octobre 2020 Pourquoi le temps réel est il si important ? Ransomware example: RYUK Key points: ✓ AV & EDR can be easily deactivated by the first part of the code ✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance ✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path) Malicious documents files (droppers) distributed as attachments through phishing attacks User is invited to open the attachment, then malicious code (1) is run to download additional code: Trickbot or Emotet Trojan.W97M.POWLOAD TrojanSpy.Win32.TRICKBOT Or TrojanSpy.Win32.EMOTET Dropper downloads Trickbot (2) or Emotet (2) to be used for: ▪ Stealing credentials ▪ Active Directory reconnaissance Performs lateral movement using Active Directory: ▪ MS17-010 vulnerability (SMB exploit) ▪ Networks shares (compromised accounts) ▪ PsExec, etc. When the AD misconfiguration (=attack path) is detected, the last part of the code (3) is downloaded and deployed in the organization Upon execution, it will perform its encryption routine: Local and shared files becomes encrypted and ransom notes are activated Ransom.Win32.RYUK Waiting for AD misconfiguration TRICKBOT DomainGrabber AV & EDR deactivation 1 2 3 The DomainGrabber code is a specific “tool” to perform the Active Directory reconnaissance 1 2 2 3
Identity Days 2020 24 octobre 2020 Tweet du 2020/05/03 – mimikatz s’execute avec TrendMicro sur la machine Simplement en changeant qq entrées dans le code avant compilation 1 seul EDR/AV sur 60 détecte le Payload dans le fichier PDF Ici SentinelOne https://bit.ly/3deJGW2 Pourquoi le temps réel est il si important ?
Identity Days 2020 24 octobre 2020 Etape 3: Implémenter le Tier-Model de Microsoft
Identity Days 2020 24 octobre 2020 Attaquer Active Directory via l’élévation de privilèges 1. Attaque sur les workstations (phishing, browser exploit, PDF, Java) 2. Une workstation est compromise, l’attaquant utilisera l’escala de privilèges pour récupérer les hashs de mots de passe, les tickets Kerberos, les mots de passe des comptes de service, etc. 3. L’attaquant utilise un compte pour réaliser le mouvement latéral 4. L’attaquant accédera à un compte privilégié utilisé sur une workstation ou un serveur membre (par exemple: Domain Admins) 5. C’est fini…
Identity Days 2020 24 octobre 2020 Le modèles 3 tiers
Identity Days 2020 24 octobre 2020 Etape 4: Gérer les comptes à pouvoir et deployer LAPS sur les workstations
Identity Days 2020 24 octobre 2020 RSSI - CISO J’adore être Superman, je peux installer de quoi j’ai besoin pour travailler – Laisse moi être Superman !System Admin Power User Pourquoi veux tu être Superman alors que tu as besoin d’être uniquement Clark Kent ! Attention à l’aspect psychologique !
Identity Days 2020 24 octobre 2020 Déployer LAPS, au moins sur les stations de W Extension de schéma pour gérer les attributs de LAPS Définir une GPO de configuration et l’appliquer sur les stations de W (à minima) Interface de gestion pour retrouver le mot de passe du compte local Administrator
Identity Days 2020 24 octobre 2020 Bénéfices de LAPS • LAPS permet d’avoir un mot de passe local Administrateur différent sur chaque station de travail (ou serveur membre) • Le mot de passe d’administration sera utilisé uniquement par le service Helpdesk ou IT • LAPS permet une rotation du mot de passe et de définir une politique de mot de passe complexe • LAPS évite donc le mouvement latéral si une station de travail est compromise et que la base SAM locale est compromise
Identity Days 2020 24 octobre 2020 Etape 5: Intégrer votre sécurité Active Directory avec vos briques de sécurité existantes – Le SIEM
Identity Days 2020 24 octobre 2020 En sécurité, l’intelligence collective est possible • Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est un plus non-négligeable • Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface supplémentaire sans nécessité • Intégrez votre brique de sécurité Active Directory avec votre SIEM • La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs et diminuera vos coûts de stockage côté SIEM AD Solution de Sécurité Active Directory SIEM
Comment Alsid peut protéger votre organisation des malwares et attaques visant Active Directory Identity Days 2020 29 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020
Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
Identity Days 2020 24 octobre 2020 Pour aller plus loin… www.alsid.com hello@alsid.com Retrouvez nous sur notre stand virtuel pendant les Identity Days 2020 et posez toutes vos questions
Questions / réponses Identity Days 2020 29 octobre 2020
Identity Days 2020 29 octobre 2020
Merci à tous nos partenaires ! @IdentityDays #identitydays2020

Recomendados

Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
IAM Performance Measurement and the Virtuous Circle of Process Maturity
IAM Performance Measurement and the Virtuous Circle of Process MaturityIAM Performance Measurement and the Virtuous Circle of Process Maturity
IAM Performance Measurement and the Virtuous Circle of Process Maturity
David Doret
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days
 
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days
 

Recomendados

Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days 2020 - SailPoint - Machine Learning et Intelligence Artificiell...
Identity Days
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
IAM Performance Measurement and the Virtuous Circle of Process Maturity
IAM Performance Measurement and the Virtuous Circle of Process MaturityIAM Performance Measurement and the Virtuous Circle of Process Maturity
IAM Performance Measurement and the Virtuous Circle of Process Maturity
David Doret
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entre...
Identity Days
 
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Identity Days
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days
 
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIntroduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Identity Days
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Identity Days
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Identity Days
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Peter GEELEN ✔
 
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Identity Days
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
Worteks
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
Identity Days
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Identity Days
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 

Mais conteúdo relacionado

Mais procurados

Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Identity Days
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Identity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Mais procurados (19)

Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann DuchenneIntroduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
 
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 

Semelhante a Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory

En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
ChristopheVidal15
 

Semelhante a Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory (20)

Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
Conférence Cyberattaques PrestaShop–1 an de harcèlement : FoP Day 2023
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 

Mais de Identity Days

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 

Mais de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 

Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory

  • 1. Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020
  • 2. Les 5 étapes urgentes que chaque CISO doit mettre en œuvre pour sécuriser son Active Directory Luc Delsalle – CTO & co-founder Alsid 29 octobre 2020 Identity Days 2020
  • 3. Luc Delsalle Avant de fonder Alsid, Luc a passé 6 ans à l’ANSSI, l’agence nationale française en charge des questions de cyberdéfense, où il a dirigé plusieurs opérations de réponse sur incident d’échelle internationale ainsi que de nombreuses évaluations de sécurité redteam. • Pourquoi l’Active Directory est une cible privilégiée des attaquants • Séquence d’attaque classique visant une organisation et son Active Directory • Les 5 étapes du RSSI pour sécuriser son Active Directory • Comment Alsid peut protéger votre organisation des malwares et attaques visant l’Active Directory • Questions / Réponses AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
  • 4. Pourquoi l’Active Directory est une cible privilégiée des attaquants Identity Days 2020 29 octobre 2020
  • 5. L’Active Directory Identity Days 2020 • Un élément d’importance vital pour le système d’information de l’entreprise • Présent dans la grande majorité des entreprises • Il a déjà 20 ans … 24 octobre 2020
  • 6. Les constats Identity Days 2020 • Les pratiques d’exploitation et de configuration ont généralement peu évoluées • Retour du terrain: • - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD • + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD • + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD • Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses. • … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper, bloodHound…) • … et parfois même parfois totalement automatisé (RYUK) 24 octobre 2020
  • 7. Séquence d’attaque classique visant une organisation et son Active Directory Identity Days 2020 29 octobre 2020
  • 8. Identity Days 2020 24 octobre 2020 MALWARE INJECTION PHISHING RECONN- AISSANCE CREDENTIAL THEFT EXPLOITATION PRIVILEGE ESCALATION PERSISTENCELATERAL MOVEMENT First part of the attack: Target = Workstation Second part of the attack: Target = Active Directory Third part of the attack: Target = Active Directory + Business data Targetedexternal reconnaissance or Randomattacks automatization Fourth part of the attack: [A] Data encryption & ransom asked [B] Data theft & sold on the dark market [A] [B] Active Directory kill chain
  • 9. Les 5 étapes du RSSI pour sécuriser son Active Directory Identity Days 2020 29 octobre 2020
  • 10. Identity Days 2020 24 octobre 2020 Etape 1: Connaitre l’état actuel de son Active Directory et évaluer son niveau de résilience
  • 11. Identity Days 2020 24 octobre 2020 Ne pas se voiler la face Tu vois un problème de config sur notre AD ? Non, non, tout est absolument parfait ! • La plupart des designs Active Directory ont été réalisés il y a plus de 10 ans, à une époque où les cryptovirus et le Tier- Model Microsoft n’existaient pas vraiment • La sécurité s’érode avec le temps, une photographie à un instant T ou un pentest tous les trimestres ne permettent pas d’évaluer les risques réels liés à Active Directory • La sécurité Active Directory est en constante évolution • Même avec des moyens restreints, il y a des « quick-wins » à réaliser pour renforcer sa résilience Active Directory
  • 12. Identity Days 2020 24 octobre 2020 Exemples de changement de paradigmes autour de la sécurité Active Directory Pass-the-hash 2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash » 2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire 2011: Benjamin Delpy fournit la première version de Mimikatz 2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1 2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2 Attribut primaryGroupID 2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs 2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD) 2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)
  • 13. Identity Days 2020 24 octobre 2020 Quelques Quick wins • S’assurer des sauvegardes et du plan de restauration lié au service Active Directory – Créer un lab dédié qui servira d’intégration • Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019 • Réduire drastiquement le nombre de comptes membres des groupes à pouvoir (Domain admins, Enterprise admins, etc.) • Vider le groupe Schema admins • Changer deux fois le mot de passe du compte krbtgt • Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente de 513 dans l’attribut primaryGroupID • Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des machines • Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de passe dans l’attribut Description ou autre attribut
  • 14. Identity Days 2020 24 octobre 2020 Etape 2: Visualiser et comprendre en temps réel les mauvaises configurations au sein d’Active Directory
  • 15. Identity Days 2020 24 octobre 2020 Connaitre ses faiblesses " le danger, ce n'est pas ce que l'on ignore, c'est ce que l'on tient pour certain et qui ne l'est pas " Marc Twain
  • 16. Identity Days 2020 24 octobre 2020 Pourquoi les mauvaises configurations AD sont elles si importantes à surveiller ? • Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a que deux moyens d’attaquer un système: ✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue (0-Day) ✓ Utiliser une mauvaise configuration du système • La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est absolument nécessaire • Vous devrez utiliser des solutions spécifiques de mise en conformité Active Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance et correction des mauvaises configurations • Quant aux failles 0-Day…
  • 17. Identity Days 2020 24 octobre 2020 Pourquoi le temps réel est il si important ? Ransomware example: RYUK Key points: ✓ AV & EDR can be easily deactivated by the first part of the code ✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance ✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path) Malicious documents files (droppers) distributed as attachments through phishing attacks User is invited to open the attachment, then malicious code (1) is run to download additional code: Trickbot or Emotet Trojan.W97M.POWLOAD TrojanSpy.Win32.TRICKBOT Or TrojanSpy.Win32.EMOTET Dropper downloads Trickbot (2) or Emotet (2) to be used for: ▪ Stealing credentials ▪ Active Directory reconnaissance Performs lateral movement using Active Directory: ▪ MS17-010 vulnerability (SMB exploit) ▪ Networks shares (compromised accounts) ▪ PsExec, etc. When the AD misconfiguration (=attack path) is detected, the last part of the code (3) is downloaded and deployed in the organization Upon execution, it will perform its encryption routine: Local and shared files becomes encrypted and ransom notes are activated Ransom.Win32.RYUK Waiting for AD misconfiguration TRICKBOT DomainGrabber AV & EDR deactivation 1 2 3 The DomainGrabber code is a specific “tool” to perform the Active Directory reconnaissance 1 2 2 3
  • 18. Identity Days 2020 24 octobre 2020 Tweet du 2020/05/03 – mimikatz s’execute avec TrendMicro sur la machine Simplement en changeant qq entrées dans le code avant compilation 1 seul EDR/AV sur 60 détecte le Payload dans le fichier PDF Ici SentinelOne https://bit.ly/3deJGW2 Pourquoi le temps réel est il si important ?
  • 19. Identity Days 2020 24 octobre 2020 Etape 3: Implémenter le Tier-Model de Microsoft
  • 20. Identity Days 2020 24 octobre 2020 Attaquer Active Directory via l’élévation de privilèges 1. Attaque sur les workstations (phishing, browser exploit, PDF, Java) 2. Une workstation est compromise, l’attaquant utilisera l’escala de privilèges pour récupérer les hashs de mots de passe, les tickets Kerberos, les mots de passe des comptes de service, etc. 3. L’attaquant utilise un compte pour réaliser le mouvement latéral 4. L’attaquant accédera à un compte privilégié utilisé sur une workstation ou un serveur membre (par exemple: Domain Admins) 5. C’est fini…
  • 21. Identity Days 2020 24 octobre 2020 Le modèles 3 tiers
  • 22. Identity Days 2020 24 octobre 2020 Etape 4: Gérer les comptes à pouvoir et deployer LAPS sur les workstations
  • 23. Identity Days 2020 24 octobre 2020 RSSI - CISO J’adore être Superman, je peux installer de quoi j’ai besoin pour travailler – Laisse moi être Superman !System Admin Power User Pourquoi veux tu être Superman alors que tu as besoin d’être uniquement Clark Kent ! Attention à l’aspect psychologique !
  • 24. Identity Days 2020 24 octobre 2020 Déployer LAPS, au moins sur les stations de W Extension de schéma pour gérer les attributs de LAPS Définir une GPO de configuration et l’appliquer sur les stations de W (à minima) Interface de gestion pour retrouver le mot de passe du compte local Administrator
  • 25. Identity Days 2020 24 octobre 2020 Bénéfices de LAPS • LAPS permet d’avoir un mot de passe local Administrateur différent sur chaque station de travail (ou serveur membre) • Le mot de passe d’administration sera utilisé uniquement par le service Helpdesk ou IT • LAPS permet une rotation du mot de passe et de définir une politique de mot de passe complexe • LAPS évite donc le mouvement latéral si une station de travail est compromise et que la base SAM locale est compromise
  • 26. Identity Days 2020 24 octobre 2020 Etape 5: Intégrer votre sécurité Active Directory avec vos briques de sécurité existantes – Le SIEM
  • 27. Identity Days 2020 24 octobre 2020 En sécurité, l’intelligence collective est possible • Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est un plus non-négligeable • Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface supplémentaire sans nécessité • Intégrez votre brique de sécurité Active Directory avec votre SIEM • La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs et diminuera vos coûts de stockage côté SIEM AD Solution de Sécurité Active Directory SIEM
  • 28. Comment Alsid peut protéger votre organisation des malwares et attaques visant Active Directory Identity Days 2020 29 octobre 2020
  • 29. Identity Days 2020 24 octobre 2020
  • 30. Identity Days 2020 24 octobre 2020
  • 31. Identity Days 2020 24 octobre 2020
  • 32. Identity Days 2020 24 octobre 2020
  • 33. Identity Days 2020 24 octobre 2020
  • 34. Identity Days 2020 24 octobre 2020
  • 35. Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
  • 36. Identity Days 2020 24 octobre 2020 Preview: Alsid for AD DETECT Q1 2021 Exemples d’écrans, soumis à changement
  • 37. Identity Days 2020 24 octobre 2020 Pour aller plus loin… www.alsid.com hello@alsid.com Retrouvez nous sur notre stand virtuel pendant les Identity Days 2020 et posez toutes vos questions
  • 38. Questions / réponses Identity Days 2020 29 octobre 2020
  • 39. Identity Days 2020 29 octobre 2020
  • 40. Merci à tous nos partenaires ! @IdentityDays #identitydays2020