L’identité devenant de manière supérieure, les attaquants ont accès aux réseaux d’entreprise, les administrateurs de sécurité doivent prendre le contrôle des politiques d’authentification et d’accès à Windows.
Comme les titres des araignées dispersés nous l’ont rappelé récemment, le ransomware est toujours en saison. Le groupe existe depuis de nombreuses années, et cette année, il fait pivoter de l’industrie à l’industrie pour trouver de nouvelles cibles. En plus d’utiliser les médias sociaux pour identifier les relations afin de mieux cibler les individus pour les attaques de phishing, le groupe se fait passer pour le personnel du bureau d’assistance et utilise une variété de techniques pour accéder, identifier les cibles du réseau et surveiller les emplacements des cloud pour les bases de données et les conteneurs de stockage pour attaquer.
S’il a l’impression que les attaquants comme Spandred Spider en savent plus sur nos réseaux que nous, c’est probablement parce qu’ils le font. Une chose qu’ils savent, c’est que la plupart des entreprises n’utilisent pas de processus de mot de passe modernes tels que Passkeys. Si vous utilisez toujours des mots de passe simples et que vous n’avez pas d’authentification multi-facteurs (MFA) en place, considérez vos journées numérotées si vous n’avez pas déjà été attaqué.
Ainsi, lorsque vous mettez la migration vers Windows 11 au sommet de votre liste de tâches cet été, évaluez la stratégie de mot de passe de votre organisation et envisagez de mettre des solutions sans mot de passe telles que Passkeys dans votre régime d’authentification. Voici comment commencer.
Assurer une inscription sécurisée
Tout d’abord, vous devrez évaluer l’utilisation par votre organisation de l’application Microsoft Authenticator pour vous assurer que vous avez activé l’utilisation pour PassKeys.
Accédez au Microsoft Entra Admin Center, puis à la protection, puis aux méthodes d’authentification. Choisissez les paramètres PassKey (FIDO2) et assurez-vous de sélectionner l’iPhone et Android Aaguid comme une clé autorisée pour Microsoft Authenticator si vous n’avez pas commencé le déploiement.
Ajoutez ensuite des politiques d’accès conditionnel pour s’assurer que les signes des utilisateurs sont évalués pour diverses conditions, telles que les voyages incompatibles, dans lesquels quelqu’un se connecte à partir d’un seul emplacement se connecte peu de temps après à partir d’un emplacement géographique très divergent. Notez que vous devrez peut-être vous inscrire à des licences supplémentaires pour soutenir ce niveau d’examen du cloud.
Si vous avez des facteurs à haut risque, vous devrez peut-être mettre en place des politiques de connexion qui permettent les enregistrements MFA et Passkey uniquement à partir d’emplacements ou d’appareils de confiance. La pandémie nous a ouverts aux connexions de presque n’importe où, mais avec la migration de Windows 11 sur commande, il est maintenant temps de nous assurer que nous vérifions la configuration à nos propres conditions.
Vous devrez peut-être envisager des politiques de configuration supplémentaires similaires à ce qui est utilisé pour vous inscrire aux passeports: un processus par lequel une personne entre dans un emplacement physique, montre son identification et effectue une sorte de vérification externe, ou dans le cas des informations d’identification de connexion telles que ID.Me pour les sites gouvernementaux, a un processus qui mandaté l’examen d’un permis de conduire à numérisation et d’un webcam pour fournir une vérification correspondante.
Les processus d’inscription doivent non seulement répondre aux besoins de votre organisation, mais aussi des pratiques de confidentialité de la juridiction locale traitant des employés potentiels.
Prenez le contrôle de vos protocoles d’authentification
Étant donné que la sécurité doit être surveillée et modifiée à jamais, vous voudrez également consulter votre infrastructure Azure pour vous assurer que vous suivez les dernières conseils de sécurité et les références de sécurité Azure.
Comme vous le faites, passez en revue votre besoin de protocoles d’authentification hérités. Les saveurs SMB doivent être limitées. Le NTLM devrait être déjà supprimé ou en train d’être abandonné en faveur de Kerberos ou de techniques plus modernes.
Si vous utilisez l’authentification héritée, recherchez des solutions tierces pour ajouter l’authentification multi-facteurs pour vous assurer que ces protocoles hérités sont protégés autant qu’ils le peuvent. Des services tels que duo.com peuvent aider à protéger les protocoles non sécurisés qui sont toujours un élément clé de l’infrastructure de votre entreprise.
Envisagez de mettre en place des politiques pour bloquer les protocoles d’authentification hérités. Encore une fois, passez à l’accès conditionnel pour configurer les politiques pour bloquer un tel accès. Avant de déployer la politique, vérifiez votre organisation pour examiner les éléments qui utilisent toujours les protocoles hérités.
- Parcourez l’ID ENTRA> Surveillance et santé> Journaux de connexion.
- Ajoutez la colonne Client APP si elle n’est pas affichée en cliquant sur les colonnes> Application Client.
- Sélectionnez Ajouter des filtres> Application client> Choisissez tous les protocoles d’authentification hérités et sélectionnez Appliquer.
- Effectuez également ces étapes sur l’onglet Signe-Ins utilisateur (non interactif).
Filtrez et affichez le champ d’application client sous l’onglet Informations de base pour examiner le protocole d’authentification hérité utilisé. Vous devrez peut-être revenir en vue Legacy dans le portail pour examiner de tels protocoles.
Idéalement, vous ne devriez pas observer de tels protocoles.
Vous pouvez ensuite préparer vos politiques pour bloquer ces protocoles hérités comme mesure préventive.
Conseils supplémentaires pour la sécurité et la récupération
Lorsque des relations pratiques et invalidantes de la fédération de la Fédération pour l’authentification à Microsoft 365 garantiront que les attaquants sont moins susceptibles de passer de Active Directory sur site à vos services cloud Microsoft 365.
Vous devez également configurer des comptes d’accès à cloud uniquement qui ne touchent jamais votre réseau publicitaire sur site. Les administrateurs doivent considérer les deux types de réseaux, le cloud et sur les locaux, comme deux environnements hostiles qui doivent être séparés autant que possible et empêchés de contamination.
Enfin, planifiez ces attaques d’identité et disposez d’un livre de jeu pour la récupération. Les ransomwares et les brèches se produiront. Dans le passé, le simple fait de restaurer une annonce de sauvegarde et de reconstruction était suffisant. Maintenant, l’identité étant le principal moyen pour les attaquants d’accéder, ils chercheront des moyens de garder un accès persistant à l’identité qu’ils ont repris même après que vos techniques de reconstruction ont commencé.
Assurez-vous qu’un compte n’a pas de délégations, des appareils de confiance soudainement ajoutés à la liste des appareils, aux autorisations ajustées et à d’autres techniques que les attaquants utilisent pour maintenir l’accès tout au long de l’intrusion. Vous devrez nettoyer ces processus et surveiller après coup pour toute activité ou trafic inhabituel des comptes utilisés dans la prise de contrôle.
Selon le compte, vous devrez peut-être le désactiver et démarrer frais avec un autre compte d’utilisateur pour configurer une identité propre exempte de jetons ou de techniques d’authentification partagées avec l’attaquant. Plutôt que de simplement nettoyer, reconstruire et remettre l’ordinateur à l’utilisateur, vous devrez peut-être «nettoyer» leur identité avant de considérer l’incident sous contrôle.
Qu’on le veuille ou non, le ransomware est là pour rester. La prise en charge de vos politiques d’authentification et d’accès fournit une base solide pour contrer son impact.
