Securite des Identites

Securite Active Directory

Audit et durcissement de votre Active Directory. Protection contre les attaques Kerberoasting, Golden Ticket, Pass-the-Hash et mouvement lateral.

+100%
incidents Kerberoasting 2022-2023
68%
intrusions utilisent Golden Ticket
287j
duree mediane avant detection

Active Directory : la cible numero 1 des attaquants

Active Directory est le coeur de l'infrastructure IT de la plupart des entreprises. Il centralise l'authentification, les autorisations et la gestion des ressources. Cette position centrale en fait la cible prioritaire des cybercriminels : compromettre l'AD, c'est compromettre l'ensemble du systeme d'information.

Selon IBM X-Force, les incidents de Kerberoasting ont augmente de 100% entre 2022 et 2023. Le rapport Verizon 2024 revele que 68% des intrusions ayant atteint la persistance avancee utilisaient des Golden Tickets. Plus inquietant encore, la duree mediane avant detection de ces attaques est de 287 jours.

En avril 2024, le ransomware Akira a frappe 250 organisations mondiales, extorquant 42 millions USD, en exploitant systematiquement les faiblesses d'Active Directory pour se propager lateralement dans les reseaux.

Attaques Active Directory que nous detectons

Kerberoasting

Technique consistant a extraire les tickets Kerberos de comptes de service pour les cracker hors ligne. Un utilisateur du domaine peut demander un TGS pour n'importe quel service sans verification des droits d'acces. Les mots de passe faibles des comptes de service sont alors vulnerables au cracking.

MITRE T1558.003SPNService Accounts

Golden Ticket

Attaque de persistance ultime. L'attaquant utilise Mimikatz pour extraire le hash du compte KRBTGT et forge des tickets Kerberos valides avec la duree et les privileges de son choix. Un Golden Ticket peut rester valide pendant des annees si le mot de passe KRBTGT n'est pas change.

MITRE T1558.001KRBTGTPersistance

Pass-the-Hash / Pass-the-Ticket

Techniques de mouvement lateral permettant de s'authentifier sans connaitre le mot de passe en clair. L'attaquant extrait les hashes NTLM ou les tickets Kerberos de la memoire et les reutilise pour acceder a d'autres systemes du domaine.

MITRE T1550LSASSLateral Movement

DCSync et DCShadow

Attaques ciblant la replication des controleurs de domaine. DCSync simule un controleur de domaine pour extraire les hashes de tous les comptes. DCShadow injecte des modifications malveillantes directement dans l'annuaire en se faisant passer pour un DC.

MITRE T1003.006ReplicationDomain Admin

Nos services de securisation Active Directory

Audit de Configuration AD

  • Analyse des GPO et delegations
  • Revue des comptes privilegies
  • Detection des SPN vulnerables
  • Evaluation du Tier Model
  • Audit des trusts inter-forets

Pentest Active Directory

  • Simulation d'attaques reelles
  • Tests Kerberoasting/AS-REP Roasting
  • Tentatives de mouvement lateral
  • Elevation de privileges
  • Compromission de Domain Admin

Hardening et Remediation

  • Implementation Tier Model
  • Configuration PAW (Privileged Access Workstation)
  • Rotation KRBTGT
  • LAPS et gestion des mots de passe
  • Credential Guard

Detection et Monitoring

  • Configuration des alertes AD
  • Detection Golden/Silver Ticket
  • Surveillance des comptes privilegies
  • Integration SIEM
  • Honeypots et deception

Protegez votre Active Directory

Demandez un audit de securite de votre Active Directory. Identifiez les chemins d'attaque avant les cybercriminels.

Demander un audit AD