Un Managed Security Service Provider Active Directory (MSSP AD) s’appuie sur des outils conçus pour analyser la configuration et la sécurité d’un annuaire Active Directory et détecter des attaques.
Dans le monde interconnecté d’aujourd’hui, la sécurisation des Systèmes d’Information est devenue une priorité absolue pour les entreprises, quelle que soit leur taille.
Au cœur de cette bataille pour la sécurité, se trouve l’Active Directory (AD). Il s’agit de l’annuaire de Microsoft par lequel la plupart des organisations gèrent les identités des utilisateurs et contrôlent l’accès aux ressources.
Dans un contexte de menaces en constante évolution, garantir un haut niveau de sécurité pour son annuaire Active Directory n’est pas une tâche aisée. Les nouveaux comptes utilisateurs, les modifications de rôles et les changements au sein des équipes IT contribuent à la dynamique complexe de l’AD, rendant sa sécurisation un défi constant.
Quels services sont généralement inclus dans un MSSP AD ?
Un Managed Security Service Provider Active Directory (MSSP AD) s’appuie sur des outils conçus pour analyser la configuration et la sécurité d’un annuaire Active Directory et détecter des attaques.
Ce type d’offre commence souvent par une remédiation initiale en fonction des résultats obtenus par les outils d’analyse. Certains MSSP AD proposent aussi le déploiement d’un modèle de sécurité AD, incluant du Tiering AD et des stratégies de groupe (objets GPO) pour durcir la configuration des machines membres du domaine.
La seconde mission d’un MSSP AD consiste à détecter les attaques ciblant l’Active Directory (Kerberoasting, AS-REP Roasting, DCSYNC, DCSHADOW, Kerberos Pass The Ticket) et alerter sur les écarts de configuration par rapport aux bonnes pratiques de configuration Active Directory. Toute cette supervision de l’annuaire Active Directory est faite en temps réel et permet une remédiation en continu le cas échéant.
Le déploiement et la maintenance d’outils permettant d’analyser la configuration et la sécurité d’un annuaire Active Directory
Un service MSSP AD s’appuie généralement sur des outils comme Crowdstrike Falcon Identity Protection, Microsoft Defender for Identity, PingCasle Enterprise, SentinelOne Singularity Ranger AD, Semperis Purple Knight, Semperis DSP et Tenable Identity Exposure. Ces derniers permettent d’analyser périodiquement ou en continue la configuration de sécurité de votre annuaire Active Directory (selon l’outil utilisé).
Les contrôles réguliers (temps réel pour certains outils) offrent une vision claire de l’état de sécurité de l’AD, permettant d’identifier rapidement les vulnérabilités potentielles et d’y remédier avant qu’elles ne soient exploitées par des acteurs malveillants.
Plus important encore, ces audits permettent d’identifier l’apparition de nouvelles menaces qui peuvent survenir dans le cycle de vie d’un annuaire Active Directory et d’y réagir.
La remédiation initiale et en continue de l’annuaire Active Directory
La configuration de l’annuaire Active Directory est toujours en évolution. La création de nouveaux comptes utilisateurs, la délégation de permissions pour des comptes de services pour une nouvelle application métier, le départ et arrivée de nouveaux administrateurs Active Directory, sont autant de raisons qui rendent un AD dynamique et complexe à sécuriser.
Un annuaire AD bien sécurisé à un instant T peut donc très rapidement devenir vulnérable à T+1. Il est donc important de définir un plan d’action initial pour sécuriser l’annuaire AD. Ce plan doit être actualisé et revu périodiquement.
La souscription à une offre MSSP AD vous permet de la remédiation en temps réel des vulnérabilités Active Directory.
Le déploiement d’un modèle de sécurité AD personnalisé
Il est possible de sécuriser les Active Directory grâce à des modèles de sécurité comme celui de l’ANSSI, celui de Microsoft (Red Forest) ou celui de la communauté Harden (Harden AD). Ce dernier est basé sur un modèle avec 5 tiers AD et plus de quatre-vingt-dix objets GPO de sécurité. Il propose aussi tout un système de délégations des droits et de bonnes pratiques à respecter.
Cependant, rien ne garantit que toutes ces mesures de sécurité vont perdurer dans les mois ou les années suivant le déploiement du modèle.
Parmi les écarts possibles par rapport au modèle, nous pouvons citer l’ajout de comptes dans le groupe des administrateurs du domaine. Ce changement est proscrit à l’exception du compte brise-glace.
Autre exemple : ajouter un compte directement dans le groupe des administrateurs de l’entreprise permet de passer outre les stratégies de restriction de logins / Tiering AD, qui sont au cœur du modèle.
Tous ces écarts peuvent indiquer une tentative d’attaque ou une erreur de configuration qui pourrait potentiellement être exploitée pour compromettre le système d’informations de l’entreprise. La surveillance active de tels écarts est donc essentielle.
Détecter les écarts de configuration avec le modèle de sécurité AD et générer une alerte au niveau de votre SOC : quand un modèle de sécurité AD rencontre le MSSP AD
Grâce à des outils spécialisés et à une expertise approfondie, les fournisseurs de MSSP AD sont en mesure de détecter rapidement ces écarts avec le modèle de sécurité AD. Cette surveillance continue assure que tout écart par rapport aux pratiques sécuritaires établies est rapidement corrigé, renforçant ainsi la posture de sécurité de l’organisation dans le temps.
Cela crée donc une complémentarité très forte entre le modèle de sécurité AD, utilisé pour renforcer significativement le niveau de sécurité à un instant T, et la solution de MSSP AD, pour maintenir ce niveau de sécurité dans le temps.
La capacité à détecter les attaques ciblant l’AD et à générer une alerte au niveau de votre SOC : au-delà de la prévention
Les modèles de sécurité AD comme celui de l’ANSSI ou de la communauté Harden AD par exemple ont été conçus pour protéger les comptes d’administration et prévenir les configurations inappropriées. Cependant, dans un environnement où les attaques peuvent survenir à tout moment et sous de multiples formes, la simple prévention n’est plus suffisante.
La capacité à détecter les attaques ciblant l’annuaire Active Directory comme Kerberoasting, AS-REP Roasting, DCSYNC, DCSHADOW, Kerberos Pass The Ticket en temps réel devient donc un élément crucial de la stratégie de sécurité.
Le MSSP AD s’appuie sur des outils comme Crowdstrike Falcon Protection, Microsoft Defender for Identity, SentinelOne Singularity Ranger AD Protect et Tenable AD.
Ces derniers excellent dans cette capacité de détection, en surveillant notamment les protocoles Kerberos et LDAP, mais aussi les actions suspectes au sein de l’AD à la recherche de signes avant-coureurs d’une attaque.
Par exemple, une augmentation soudaine de suppressions de comptes ou l’ajout inattendu d’un utilisateur à un groupe sensible peut déclencher une alerte, permettant aux équipes de sécurité d’intervenir rapidement. Cette approche proactive complète les mesures de prévention en place, offrant une couche supplémentaire de sécurité indispensable pour protéger les ressources de l’entreprise.
Dans un paysage de sécurité en constante évolution, l’Active Directory représente à la fois un atout précieux et un point de vulnérabilité potentiel pour les entreprises.
Au-delà de la sécurisation de celui-ci, l’enjeu est donc le maintien sur le long terme à un bon niveau de sécurité. L’adoption d’un service MSSP AD est une démarche stratégique permettant d’assurer une gestion et une protection efficaces de votre annuaire Active Directory.
