De toutes les menaces informatiques qui pourraient frapper une organisation, la pire se trouve en interne. En effet, les attaques provenant de l’interne sont reconnues comme étant extrêmement difficiles à détecter, en particulier lorsque l'attaquant est un utilisateur de confiance et privilégié. La détection est presque impossible quand l’attaquant travaille dans le domaine de l’informatique et qu’il possède un accès privilégié aux systèmes tels qu’Active Directory. Ces attaquants connaissent les politiques de sécurité de l'organisation, ce qui leur permet de contourner les contrôles de sécurité et de masquer leurs actions.
Le plus difficile dans une attaque interne est de discerner les actions néfastes de l'attaquant, qui pourraient apparaître comme des activités normales étant donné qu’elles sont compatibles avec ses rôles et ses responsabilités. Seules des informations contextuelles sur la situation aideront à dénicher de telles attaques.
Pour mieux comprendre cela, considérons le scénario ci-dessous. Lorsque ce scénario est apprécié seul, il est fort probable que ces trois incidents soient ignorés. Toutefois, si on met en corrélation l'incident de verrouillage de compte avec les deux autres événements connexes, l'attaque devient évidente.
| Un administrateur système malveillant abuse de ses privilèges dans Windows Active Directory pour réinitialiser le mot de passe d'un compte critique, obtenant ainsi l'accès aux droits du compte et à des données confidentielles de l'organisation. | En utilisant l'identité volée, l'administrateur accède aux données, ce qui est hors de ses habilitations. Tout cela se passe la nuit et via un accès à distance. Aucune alerte ne se déclenche car se sont des activités admissibles pour son compte. | Le lendemain, le propriétaire du compte, qui n’est pas au courant de la réinitialisation du mot de passe, verrouille son compte en essayant de se connecter. En supposant qu'elle avait oublié son mot de passe, elle sollicite le helpdesk pour obtenir un nouveau mot de passe. |
ADAudit Plus – Rapports d’audit consolidés
ADAudit Plus fournit un outil de recherche, qui permet une consolidation de trois résumés d'audit différents, comme indiqué ci-dessous, pour un compte utilisateur (y compris un administrateur Active Directory) et pour une période choisie. Chaque information présentée dans le résumé est un lien qui, une fois cliqué, affiche un rapport détaillé pour un examen plus approfondi. De même, la recherche produit un résumé d’audit consolidé pour un groupe ou un objet d'ordinateur donné pour une meilleure visibilité sur les incidents.
- Actions du compte : Ceci est un résumé de tous les changements de configuration que le compte spécifié a effectué sur d'autres objets de l'AD.
- Historique de connexion du compte: Chaque ordinateur auquel le compte accède – directement ou à distance - est listé dans le présent résumé, ainsi que des détails tels que les heures d'ouverture de session et les adresses IP.
- Historique d’objet: Il fournit des informations générales sur le compte indiqué, les modifications apportées à ses propriétés et par qui. Par exemple, il affiche les changements d’autorisations ou de mot de passe du compte.
Lorsque vous utilisez ADAudit Plus pour enquêter sur l’incident de verrouillage du compte mentionné ci-dessus, cette recherche juxtapose les informations telles que les actions d'administration sur le compte, l'accès à distance du compte et l’adresse IP utilisée et le verrouillage de compte. Ceci fournit le contexte nécessaire qui vous permet d'établir une relation entre les événements et, éventuellement, de détecter des actions malveillantes effectuées par l’interne.
Parfois, les attaquants prennent leur temps et réalisent les opérations en plusieurs phases. De cette manière, même si leurs actions sont détectées, leur nature sporadique ne permet pas à l'observateur de les détecter comme étant malveillantes. Il se peut également que les journaux d’évènements aient été supprimés entre les différentes phases de l’attaque (ou reléguées aux archives). ADAudit Plus conserve les données d’audit dans une base de données locale et les enquêteurs peuvent utiliser l’outil de recherche pour exploiter une trace d’audit datant de quelques mois ou années. Ceci offre une base d'audit riche qui peut être utilisée pour comprendre la véritable portée des actions d’un utilisateur.
