Les différents éléments que vous avez mis en place grâce aux chapitres précédents vous ont permis d’améliorer le niveau de sécurité global du système d’information. Mais il n’est pas figé dans le temps, il évolue, et les vulnérabilités aussi. Il n’est pas réaliste de se sentir protégé de toutes les attaques, c’est pourquoi il est crucial de savoir surveiller son système d’information pour d’une part le maintenir au niveau de sécurité le plus élevé possible, et d’autre part identifier et contenir de potentielles attaques.
Surveillez l’état du parc informatique
Vous avez mis à jour vos systèmes et applications, évitant ainsi qu’un attaquant puisse exploiter une vulnérabilité sur un composant obsolète, et c’est un premier pas. Il est également nécessaire de surveiller de près votre parc, vos machines.
Vous pouvez utiliser des outils qui analysent en continu et en temps réel :
les versions des systèmes d’exploitation ;
la liste des applications installées sur les systèmes, et leur version ;
la présence et le statut de l’antivirus ou EDR ;
la configuration du pare-feu.
Toutes ces informations vous permettront de détecter des écarts s’ils surviennent. Par exemple, si soudain l’antivirus de l’un des postes est désactivé, ce n’est pas un comportement attendu, et il mérite une attention particulière. De la même manière, si vous découvrez que le port 4444, port par défaut dans de nombreuses attaques, a été autorisé en sortie sur un de vos serveurs, il s’agit très probablement d’un comportement malveillant.
En plus de la surveillance de ce qui est installé et configuré sur les postes, pouvoir détecter ce qu’il s’y passe est également un vrai atout pour anticiper des attaques. Un EDR permet de faire ce travail, et peut le faire de manière très efficace lorsqu’il est bien configuré. Par exemple, si un attaquant tente une attaque de type ransomware (ou rançongiciel), il essaiera de chiffrer un grand nombre de fichiers sur le poste. L’utilisateur devra payer une rançon pour, peut-être, les déchiffrer. Un EDR est tout à fait en mesure de détecter ce type de comportement. Il n’est pas courant qu’un processus modifie des centaines de fichiers en un temps court. Vous pouvez donc décider d’un seuil à partir duquel ce comportement doit être signalé, et potentiellement bloquer le processus à l’origine de ces modifications.
Surveillez les chemins de contrôle
Maintenant que vos machines sont sous contrôle, la même logique doit être appliquée à votre environnement Active Directory. Vous avez nettoyé les utilisateurs, groupes, machines, privilèges qui n’étaient pas nécessaires, et il faudra surveiller que votre nouvel environnement reste sain.
Vous voudrez donc identifier les modifications apportées à l’Active Directory qui pourraient avoir des conséquences d’un point de vue sécurité. Voici quelques exemples :
ajout d’un nouvel administrateur de domaine ;
ajout de délégation non contrainte sur un poste ;
ajout de droits privilégiés pour un utilisateur ;
modification des droits sur une GPO ;
utilisation d’un compte brise-glace ;
etc.
Vous pouvez régulièrement lancer une collecte BloodHound et confronter les résultats, mais ce n’est pas optimal sur le long terme. La version BloodHound Entreprise permet en revanche d’analyser en temps réel et en continu les modifications apportées, et identifie les nouveaux chemins de compromission apportés par ces modifications.
D’autres outils, complémentaires, peuvent vous apporter des éléments de suivi. Je vous ai très rapidement parlé de l’outil PingCastle, et c’est un excellent moyen de mesurer l’état de santé de votre environnement Active Directory. Cet outil vérifiera beaucoup de points de contrôle, en suivant dès que possible les points de contrôle publiés par l’ANSSI. Une note sera alors attribuée au niveau de sécurité de l’Active Directory. En lançant cet outil régulièrement, vous pourrez avoir un suivi des points de contrôle et des écarts qui peuvent survenir, pour les traiter au plus vite. Un exemple de rapport est disponible sur le site internet de PingCastle.
Il existe aussi l’outil ORADAD de l’ANSSI, qui permet de récolter les informations nécessaires sur l’Active Directory, pour vérifier les points de contrôle qu’elle a publiés.
Vous pouvez également vous tourner vers Tenable.AD, qui permet d’avoir une vision en temps réel de la sécurité de votre environnement Active Directory, et qui propose des remédiations pour améliorer le niveau de sécurité en continu.
Avant de passer à la suite, Vincent aimerait vous faire part de ce qu’il constate le plus souvent dans une cyberattaque :
Identifiez les événements d’intérêt
Le journal d’événements Windows est une mine d’informations pour celui qui souhaite surveiller un ou plusieurs postes Windows. Tout, ou presque, peut être récolté et analysé pour identifier des comportements malveillants. La liste des journaux d'événements est dressée et détaillée par Microsoft.
Je suis allé voir les journaux d’événements Windows, il y a des milliers d’événements ! Comment je m’en sors ?
C’est vrai, tout comme dans la phase de reconnaissance, vous pourriez crouler sous le nombre d’événements journalisés par le système d’exploitation et les différentes applications. Mais rassurez-vous, vous pouvez faire le tri et commencer par analyser des journaux et catégories d’événements essentiels. Vous pourrez enrichir votre détection après ça.
Les événements qu’il faut absolument surveiller sont listés par Microsoft dans un appendix, et permettent par exemple de détecter tous les exemples de modifications que je vous ai listés dans la section précédente. Mais ils permettent d’aller plus loin, notamment en surveillant les tentatives de connexion pour détecter les attaques comme le password spraying, ou en détectant la création ou la modification de services ou tâches planifiées, ce qui permet d’identifier des tentatives de mouvement latéral ou de persistance.
S’il y a des événements qui ne sont pas clairs pour vous, sachez que le site Ultimate Windows Security les recense et les décrit en détail. Par exemple, cette page décrit l’événement 4624, correspondant à la connexion réussie d’un compte.
L’outil Sysmon peut également être utilisé pour aller plus loin dans la collecte d’événements Windows. Vous trouverez plus d’informations à son sujet dans ce chapitre du cours Optimisez la sécurité informatique grâce au monitoring.
Microsoft a par ailleurs rédigé un guide d’une centaine de pages intitulé Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory, qui vous permettra d’aller plus loin et plus finement dans votre stratégie d’audit d’événements Windows.
Il n’y a pas que Windows qui journalise des événements. Les équipements et applications déployés sur le parc permettent généralement de récolter ce qu’il se passe. Que vous ayez des pare-feu, des sondes réseau, un EDR ou des équipements de sécurité, tous les événements émis peuvent être bons à prendre pour tenter de mieux détecter une intrusion sur le système.
Comment je m’en sors pour traiter et analyser tous ces événements ? Je ne vais quand même pas me connecter sur toutes les machines et tous les serveurs pour récolter les événements et faire des recherches à la main ?
Non en effet, et c’est bien là le nerf de la guerre pour la défense d’une entreprise. Il est indispensable d’identifier les événements qui vous intéressent, mais ce n’est pas suffisant. Il faut être capable de leur donner de la valeur pour pouvoir agir en conséquence.
Identifier les événements n’est pas évident. Voyons les bonnes pratiques de Clément :
Donnez de la valeur aux événements
Tous les événements que vous avez identifiés doivent maintenant être centralisés pour pouvoir être analysés. Cela peut être fait à l’aide d’un SIEM, ou Security Information and Event Management. C’est un outil qui permet aux équipes de défense de collecter et agréger les données des journaux d’événements. Concrètement, vous faites en sorte que tous les logs qui vous intéressent arrivent dans le SIEM. Cela lui permettra de les analyser, et grâce à la corrélation de ces logs et à la mise en place de règles de détection, le SIEM peut faire sonner des alertes de sécurité qui devront être traitées par les équipes de détection.
Il existe beaucoup de solutions payantes sur le marché, mais il est possible d’utiliser la solution open source ELK (Elasticsearch, Logstash, Kibana) qui répond aux besoins d’un SIEM.
Mais il existe d’autres solutions pour centraliser des logs, tels que le couple Windows Event Forwarder et Windows Event Collector, développés par Microsoft, permettant de centraliser tous les événements Windows. Vous pourrez trouver plus d’informations sur la documentation de Microsoft.
C’est très bien d’avoir tous les événements à un seul endroit, mais ça ne change pas le fait qu’il y a des milliers d’événements. Comment je fais pour détecter un attaquant ?
C’est là qu’interviennent les règles de détection. Ces règles vont être écrites pour détecter des menaces potentielles. Maintenant que vous avez des connaissances sur les techniques d’un attaquant pour énumérer, exploiter et vous déplacer dans un système d’information, vous pourrez créer des règles qui détectent toutes ces techniques afin d’identifier les acteurs malveillants au sein de votre réseau.
Par exemple, une règle de détection de password spraying peut sonner quand vous observez plus de 10 événements de type “Un compte n'a pas réussi à se connecter” (événement 4625) en moins de 10 secondes, sur des comptes différents.
Comme il existe beaucoup de produits de type SIEM sur le marché, un format de signature générique et open source a été développé pour la création de règles dans un SIEM : les règles SIGMA. Elles permettent de faciliter le partage de techniques de détection, puisque c’est une syntaxe commune connue et comprise par toutes les personnes implémentant des règles. Vous pourrez trouver des exemples de règles dans le dépôt GitHub SIGMA-Detection-Rules.
Parfois il manque des éléments pour mener à bien une investigation. Vincent nous donne ses astuces et nous révèle également l’attaque la plus sophistiquée qu’il a rencontrée :
Tous ces outils, ces processus à mettre en place et les équipes de défense peuvent être réunis dans ce qu’on appelle un SOC, ou Security Operation Center. Je vous propose de découvrir cette notion dans la vidéo !
En résumé
Ce dernier chapitre vous a permis de découvrir comment surveiller votre environnement sous différents angles.
Surveiller l’état du parc informatique, que ce soit les mises à jour, les configurations des outils de sécurité ou encore les règles de pare-feu.
Analyser en continu les chemins de contrôle existant au sein de l’Active Directory.
Identifier et utiliser les événements Windows et les journaux applicatifs en les centralisant dans un SIEM, et en en tirant des premières conclusions automatiques, avec l’implémentation de règles de détection.
Comprendre le fonctionnement et le grand intérêt d’un SOC, pierre angulaire de la défense d’un système d’information.
Ce cours vous a permis de détecter et d’exploiter des vulnérabilités dans un environnement Active Directory, en suivant une méthode et en utilisant des outils vous permettant de rester efficace dans cette démarche.
La correction de ces vulnérabilités et les améliorations de sécurité que vous pouvez apporter à vos serveurs, vos postes, votre architecture ou encore vos méthodes d’administration, vous permettent d’élever le niveau global de sécurité de votre environnement.
Enfin, vous avez les clés en main pour garder la maîtrise de votre système d’information, en le surveillant sous tous les angles afin d’anticiper les risques.
Il ne me reste plus qu’à vous souhaiter bon courage, et à très bientôt dans un prochain cours.
