Active Directory (AD) est l’un des logiciels les plus anciens encore utilisés dans l’environnement de production et se trouve aujourd’hui dans la plupart des organisations. Ceci en dépit du fait que ses failles de sécurité historiques n’ont jamais été corrigées. Par exemple, en raison de son incapacité à appliquer des mesures de sécurité autres que la vérification d’une correspondance entre le mot de passe et le nom d’utilisateur, AD (ainsi que les ressources qu’il gère) est dangereusement exposé à l’utilisation d’informations d’identification compromises. De plus, cette exposition ne se limite pas à l’environnement sur site. La pratique courante de synchronisation des mots de passe entre AD et le fournisseur d’identité cloud signifie que toute violation d’AD constitue également un risque potentiel pour l’environnement SaaS.
Dans cet article, nous allons explorer les faiblesses de sécurité inhérentes à AD et examiner leur portée et leur impact potentiel. Nous apprendrons ensuite comment la plate-forme de protection unifiée de l’identité de Silverfort peut résoudre ces faiblesses à leur racine et fournir aux organisations utilisant AD la résilience dont elles ont besoin pour contrecarrer les menaces d’identité et atténuer les risques de comptes d’utilisateurs compromis.
Quel Nuage ? Pourquoi AD continuera à faire partie de l’environnement hybride
Alors que le cloud computing a déclenché un changement tectonique dans l’informatique, il n’a pas complètement remplacé l’environnement sur site, mais vit plutôt avec lui côte à côte. La voie pragmatique que la plupart des organisations ont choisie consiste à maintenir un environnement hybride, où l’accès des utilisateurs aux ressources SaaS et Web est géré par un fournisseur d’identité dédié tandis qu’AD gère toujours les ressources sur site.
Du côté des opérations, cette stratégie est raisonnable car il existe de multiples ressources qui peuvent être migrées vers le cloud ou échangées avec des applications SaaS. Cependant, il est important de savoir que cette approche signifie que les faiblesses de sécurité longtemps ignorées d’AD sont toujours présentes.
Pour en savoir plus sur la façon dont Silverfort résout les faiblesses de votre posture de sécurité d’identité, consultez notre ressource, Silverfort MFA : Protégez l’impossible à protéger.
Talon d’Achille d’AD : impossible de détecter et d’empêcher les tentatives d’accès malveillantes à l’aide d’informations d’identification compromises
Lorsqu’un utilisateur initie une demande d’accès, AD ne sait faire qu’une seule chose : vérifier si le nom d’utilisateur et le mot de passe correspondent. S’ils ne le font pas, AD bloque l’accès ; s’ils le font, l’accès est accordé. Mais que peut faire AD si le nom d’utilisateur et le mot de passe correspondent mais sont utilisés par un adversaire qui les a obtenus ? Malheureusement, la réponse est absolument rien.
Aussi étrange que cela puisse paraître, du point de vue d’AD, il n’y a aucune différence entre un utilisateur légitime fournissant le nom d’utilisateur et le mot de passe corrects et un adversaire malveillant faisant la même chose. Les deux bénéficient du même accès.
Alors pourquoi l’AMF traditionnel ne peut-il pas résoudre ce problème ?
À ce stade, vous vous demandez peut-être pourquoi la MFA ne peut pas simplement être ajoutée au processus d’authentification AD, comme c’est le cas avec les applications SaaS. La réponse, malheureusement, est que ce n’est pas si simple. AD et ses protocoles d’authentification (NTLM et Kerberos) ont été construits et conçus il y a plus de deux décennies, bien avant que MFA n’existe. Par conséquent, contrairement aux protocoles d’authentification modernes utilisés par les applications SaaS, elles ne peuvent pas du tout prendre en charge la MFA. Il n’y a pas non plus de plans de Microsoft pour ouvrir ces protocoles et les réécrire afin qu’ils aient cette capacité.
Cela signifie que nous sommes de retour à la case départ, où un attaquant utilisant des informations d’identification compromises dans un environnement AD peut littéralement se connecter à n’importe quel poste de travail, serveur ou application de son choix, sans aucune mesure de sécurité.
Une brèche AD ouvre la voie à l’adversaire vers vos ressources cloud
Ce que de nombreux acteurs de la sécurité oublient souvent, c’est que les environnements sur site et cloud sont étroitement liés. En fait, de nombreux attaquants cherchant à accéder aux applications SaaS choisissent d’y accéder via une compromission de l’environnement sur site, au lieu de les attaquer directement via un navigateur. Le modèle courant de ce type d’attaque consiste à prendre le contrôle du terminal d’un employé à l’aide de l’ingénierie sociale et, une fois sur place, s’efforcer de compromettre les noms d’utilisateur et les mots de passe pour les utiliser pour un accès malveillant aux applications SaaS. Alternativement, si un serveur de fédération est en place, les adversaires peuvent simplement le compromettre comme ils le feraient avec n’importe quelle autre ressource sur site et obtenir un accès SaaS à partir de là.
D’une manière ou d’une autre, il est important de réaliser que lorsque nous parlons des failles de sécurité d’AD, cela ne signifie pas que seul l’environnement géré par AD est à risque, mais plutôt l’ensemble de l’environnement hybride avec tous ses utilisateurs et ressources.
Silverfort Unified Identity Protection : surmontez les lacunes d’AD grâce à la protection en temps réel
Silverfort a été le pionnier de la première plate-forme spécialement conçue pour se protéger contre les menaces d’identité – en temps réel – en utilisant des informations d’identification compromises pour accéder à des ressources ciblées. Silverfort fournit une surveillance continue, une analyse des risques et une application active des politiques sur chaque demande d’authentification et d’accès entrante faite par n’importe quel utilisateur à n’importe quelle ressource, à la fois sur site et dans le cloud.
De cette façon, Silverfort peut résoudre les failles de sécurité d’AD à leur racine grâce à une intégration avec le flux d’authentification natif d’AD, prenant ainsi le rôle de décider pour AD si un utilisateur peut être entièrement fiable lors de l’accès à une ressource ou non.
Protection AD de Silverfort : une couche de protection contre les menaces intégrée nativement dans le flux d’authentification d’AD
Voici comment cela fonctionne:
- Un utilisateur souhaite accéder à une ressource et initie une demande d’accès à AD.
- AD, au lieu de décider par lui-même d’accorder ou de refuser l’accès en fonction de la correspondance du mot de passe, transmet cette demande d’accès à Silverfort.
- Silverfort reçoit la demande d’accès et l’analyse à l’aide d’un moteur d’IA multicouche tout en évaluant la demande par rapport aux politiques d’accès préconfigurées.
- Si l’analyse révèle une compromission suspectée, Silverfort se connecte à un service MFA pour demander à l’utilisateur de vérifier son identité.
- Le service MFA envoie le message à l’utilisateur et renvoie sa réponse à Silverfort.
- Sur la base de la réponse MFA, Silverfort indique à AD de bloquer ou d’autoriser l’accès.
- AD bloque ou autorise l’accès selon les instructions de Silverfort.
Technologie sans agent et sans proxy, indépendante de tous les protocoles et méthodes d’accès
Comme vous pouvez le voir, cette capacité unique à recevoir chaque tentative d’accès en temps réel d’AD permet à Silverfort d’ajouter l’analyse des risques manquante et les capacités MFA dans le flux d’authentification AD. De plus, comme Silverfort se trouve derrière AD et reçoit 100 % de ses demandes d’authentification, cela élimine le besoin d’installer des agents MFA sur des ressources individuelles ou de placer un proxy devant eux. Cela signifie également que le protocole utilisé ou la prise en charge de MFA ne font aucune différence. Tant qu’une authentification auprès d’AD est effectuée, AD la transmettra à Silverfort et une protection sera en place.
Vous voulez en savoir plus sur Protection AD de Silverfort? Planifiez un appel avec l’un de nos experts.
