12 minutes pour voler des données

12 minutes pour voler des données

 

CyberArk lance la détection en temps réel et le confinement automatique des cyberattaques visant Active Directory 
 
Ces optimisations en matière de monitoring réseau et d'analyse ciblée renforceront l'efficacité des équipes en charge de la résolution des incidents afin qu'elles se concentrent sur des données spécifiques pour stopper des attaques en cours.
 
CyberArk annonce de nouvelles fonctions de détection et de confinement des menaces en temps réel. Les pirates informatiques qui parviennent à s'immiscer dans l'infrastructure Microsoft Active Directory pouvant en effet prendre le contrôle d'une entreprise, ces fonctionnalités permettent aux organisations de mieux se prémunir contre les cyberattaques visant Active Directory.
 
La nouvelle version v3.0 de CyberArk Privileged Threat Analytics offre des fonctions d'analyse ciblée et filtre le trafic réseau pour mieux détecter les signes précoces d'une attaque, tels que le vol d'identifiants, les déplacements latéraux et l'augmentation de privilèges. Ces fonctions permettent aux équipes en charge de la résolution des incidents de visualiser une menace et d'éradiquer des attaques en cours, comme par exemple des attaques du protocole d'authentification Kerberos comme le "Golden Ticket", capable de prendre le contrôle total d'un réseau et de bouleverser les activités d'une entreprise. CyberArk Privileged Threat Analytics fait partie intégrante de la solution de sécurisation des comptes à privilèges CyberArk Privileged Account Security Solution et assure une sécurité optimale d'Active Directory.
 
L'infrastructure Active Directory inclut des contrôleurs de domaines, des comptes administrateurs de domaines, des serveurs critiques et des stations de travail. Selon Forrester Research, « Microsoft Active Directory est devenu au fil du temps le référentiel d'entreprise le plus largement utilisé pour les identités numériques. De par cette importance croissante, Active Directory est aujourd'hui une cible privilégiée des pirates informatiques, qui attaquent à présent l'infrastructure Active Directory pour obtenir des privilèges et subtiliser des données ».1 
Selon les observations de terrain faites par CyberArk, une fois infiltrés dans le réseau, il faudra à certains pirates informatiques moins de 12 minutes pour voler des identifiants privilégiés et prendre possession d'un contrôleur de domaine dans lequel se trouvent les services qui constituent Active Directory.
 
« S'il parvient à subtiliser des tickets Kerberos, un pirate informatique a la possibilité de bloquer les services critiques d'une entreprise. Les utilisateurs perdent alors toute confiance envers les actifs numériques connectés au réseau, et la seule solution est de tout faire pour reconstruire la crédibilité du réseau et de l'infrastructure associée », déclare Darren Argyle, Directeur exécutif des responsables de la sécurité des systèmes d'information (RSSI) chez Markit. 
 
La résolution des incidents ne repose pas uniquement sur la détection
À l'heure actuelle, il n'est plus suffisant d'être en mesure de détecter une attaque. La solution de sécurité CyberArk Privileged Account Security Solution va au-delà de la simple détection des menaces en proposant également des outils de protection et de confinement proactifs, afin de restreindre les déplacements d'un pirate informatique et de réduire l'impact d'une attaque. CyberArk Privileged Threat Analytics optimise la résolution des incidents grâce à deux nouvelles fonctions clés :
 
• Détection des attaques Kerberos : Un protocole additionnel collecte et analyse le trafic réseau en vue de déceler les indicateurs d'une attaque Kerberos en cours. Dorénavant, la solution collectera des ensembles de données bien spécifiques depuis plusieurs sources telles que CyberArk Digital Vault, les solutions SIEM et les TAP/commutateurs réseau. Ensuite, le moteur d'analyse appliquera une combinaison complexe de nouveaux algorithmes statistiques et déterministes, permettant ainsi aux organisations d'analyser uniquement les "bonnes" données (celles associées au compte à privilèges piraté) afin de détecter et de contrer les attaques les plus avancées. 
 
• Confinement automatisé des menaces : En plus de pouvoir identifier une attaque potentielle, CyberArk Privileged Threat Analytics peut aider les organisations à contrer et à confiner cette attaque de façon entièrement automatisée. CyberArk a développé une plateforme unique capable de protéger un réseau et de détecter les menaces de façon proactive. En désactivant immédiatement des identifiants susceptibles d'avoir été piratés, la solution perturbera l'attaque en cours et bloquera les agissements de l'assaillant, sans pour autant perturber les activités de l'entreprise. 
 
Un pirate informatique dispose de plusieurs options pour exploiter à son avantage un système d'authentification Kerberos. Les attaques Kerberos les plus répandues incluent la manipulation de certificats PAC ainsi que les techniques baptisées Overpass-the-Hash et Golden Ticket. Un pirate ayant réussi à subtiliser les identifiants d'un administrateur de domaines sera capable de réaliser des attaques Kerberos dévastatrices. C'est la raison pour laquelle la stratégie de sécurité de chaque entreprise doit absolument intégrer une protection proactive des identifiants administratifs et doit pouvoir empêcher les pirates informatiques d'y accéder. CyberArk Privileged Threat Analytics permet aux organisations d'identifier des attaques qui étaient autrefois indétectables, de restreindre le champ d'action des assaillants, d'accroître les performances de leurs équipes de sécurité et de bénéficier d'un retour sur investissement rapide. 
 
« La plupart des entreprises sont vulnérables aux attaques Kerberos et risquent de perdre tout contrôle de leur réseau. De telles attaques peuvent se produire à une vitesse sidérante ; lors de certaines analyses post-attaques, nous avons constaté que les pirates informatiques étaient parvenus à prendre le contrôle du réseau en à peine 12 minutes, explique Roy Adar, Senior Vice-président de la gestion des produits chez CyberArk. En prenant le contrôle d'Active Directory et en effectuant des attaques Kerberos telles que le "Golden Ticket", les auteurs de l'attaque peuvent se déplacer latéralement et opérer de façon inaperçue au sein du réseau pendant plusieurs mois voire même plusieurs années. Au vu des risques encourus, il est aujourd'hui primordial de pouvoir détecter des comportements inhabituels au sein des comptes à privilèges. C'est pourquoi nous sommes ravis d'offrir à nos clients une solution de sécurité pour Active Directory dotée de CyberArk Privileged Threat Analytics, afin de leur permettre de mettre en place un système de prévention proactive des attaques, de détection précoce et de réaction efficace aux incidents. »
  
1 - Enquête de Forrester : « Vendor Landscape: Active Directory Security and Governance Solutions », 5 janvier 2016 par Merritt Maxim, Andras Cser

PrécédentAccueilSuivantPartager