Selon les résultats d’une enquête auprès des responsables de l’informatique et de la sécurité qui ont déployé Purple Knight, l’outil gratuit d’évaluation de la sécurité de Semperis, les organisations ont obtenu une moyenne de 68 % dans cinq catégories de sécurité Active Directory.
Les grandes entreprises s’en sortent encore moins bien dans l’évaluation, avec un score moyen de 64 %, ce qui indique que les défis liés à la sécurisation d’Active Directory s’étendent aux applications existantes et aux environnements complexes, en particulier dans les grandes entreprises.
Vulnérabilités de sécurité AD
Au moment de son lancement, Microsoft Active Directory (AD) était une technologie révolutionnaire – lancée à l’origine avec le système d’exploitation serveur Windows 2000, qui continue de prendre en charge une grande partie du monde du travail hyper connectée de l’ère moderne.
Microsoft AD a prévalu sur tous les autres annuaires pour une raison essentielle : il était ouvert. C’est en raison de cette ouverture et de cette facilité d’intégration qu’AD reste à ce jour un élément d’infrastructure fondamental pour 90 % des entreprises. Cependant, sa plus grande force il y a 21 ans est devenue depuis sa faiblesse la plus préoccupante.
La menace
Un pirate peut utiliser n’importe quel compte AD non privilégié pour lire presque tous les attributs et objets dans AD, y compris les autorisations, leur permettant de trouver des comptes d’ordinateurs dans n’importe quel domaine d’une forêt AD qui sont configurés avec une délégation sans contrainte. Aujourd’hui, l’identité est devenue la dernière ligne de défense face aux cyberattaques.
Purple Knight
Semperis est un pionnier dans la gestion et la protection des identifiants d’identité des environnements hybrides des entreprises. Il a été spécialement conçu pour sécuriser AD.
L’année dernière, Semperis a lancé un outil gratuit d’évaluation de la sécurité AD, Purple Knight, et publie aujourd’hui les résultats des données de 1000 responsables informatiques et de la sécurité qui ont déployé Purple Knight.
Résumé clé des conclusions :
• Dans l’ensemble, les organisations ont obtenu un score moyen de 68 % dans 5 catégories de sécurité Active Directory ; Délégation AD, sécurité des comptes, sécurité de l’infrastructure AD, sécurité de la stratégie de groupe et sécurité Kerberos. C’est à peine la note de passage.
• Les grandes entreprises s’en tirent encore moins bien, avec un score moyen de 64 %, ce qui indique que les défis liés à la sécurisation d’Active Directory s’étendent aux applications héritées et aux environnements complexes, en particulier dans les grandes entreprises.
• Les organisations ont signalé les scores les plus bas pour la sécurité des comptes, qui couvre les paramètres des comptes individuels tels que les comptes privilégiés avec un mot de passe qui n’expire jamais.
• Les compagnies d’assurance ont enregistré les notes globales les plus basses (55 %), suivies des soins de santé (63 %) et des transports (64 %).
• Les entreprises de transport ont signalé des scores totalement insuffisants dans la stratégie de groupe (36 %) et la sécurité du compte (46 %).
• Les entreprises d’infrastructures publiques ont obtenu le score global le plus élevé (71 %), suivies des entités gouvernementales (70 %).
Les répondants ont cité divers catalyseurs pour déployer Purple Knight, allant d’une prolifération d’attaques dans leurs industries, des mandats internes ou suite à une violation. De nombreux répondants ont déclaré avoir été pris au dépourvu par les conclusions de leurs rapports sur Purple Knight.
Lors des entretiens de suivi avec les répondants, l’étude a également révélé que :
• Lorsque les organisations héritent des implémentations d’Active Directory on constate que les erreurs de configuration prolifèrent
• Les organisations ont un manque d’expertise Active Directory
Dans un récent rapport de 451 Research, l’analyste Garrett Bekker a déclaré : “Les services d’annuaire sont au cœur des stratégies informatiques de la plupart des entreprises, et en tant que tels, ils sont devenus des actifs critiques qui peuvent présenter des conséquences désastreuses s’ils sont compromis, comme nous l’avons appris de la désormais tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds et l’attaque Hafnium sur Microsoft Exchange.”
Parlant du rapport, Mickey Bresman, PDG de Semperis, déclare : “Nous avons constaté que de nombreuses entreprises ne comprennent pas bien les risques à Active Directory que les adversaires peuvent utiliser contre elles. Nous voulions donner aux équipes de sécurité qui ne disposent pas d’une expertise AD approfondie un moyen de comprendre leur posture de sécurité AD, puis de combler les lacunes existantes afin que leurs ennemis ne les utilisent pas contre eux.”
La connaissance donne le pouvoir d’agir
À propos de Semperis
Pour les équipes de sécurité chargées de défendre les environnements hybrides et multi-cloud, Semperis garantit l’intégrité et la disponibilité des services d’annuaire d’entreprise critiques à chaque étape de la chaîne de destruction cybernétique et réduit le temps de récupération de 90 %. Conçue pour sécuriser les environnements Active Directory hybrides, la technologie brevetée de Semperis protège plus de 50 millions d’identités contre les cyberattaques, les violations de données et les erreurs opérationnelles.
Les plus grandes organisations du monde font confiance à Semperis pour détecter les vulnérabilités des annuaires, intercepter les cyberattaques en cours et se remettre rapidement des attaques de ransomware et autres situations d’urgence liées à l’intégrité des données. Basée à Hoboken, dans le New Jersey, Semperis est présente à l’international, avec une équipe de recherche et de développement répartie entre San Francisco et Tel-Aviv.
Semperis est l’organisatrice de la série de podcasts et de conférences primée sur la protection de l’identité hybride (www.hipconf.com) et a créé l’outil gratuit d’évaluation de la sécurité d’Active Directory, Purple Knight (www.purple-knight.com). L’entreprise a reçu le plus haut niveau de distinction du secteur, a récemment été nommée sur la liste Technology Fast 500™ de Deloitte pour la deuxième année consécutive (2020-2021) et a été classée parmi les trois entreprises de cybersécurité à la croissance la plus rapide sur la liste Inc. 5000 de 2021. Semperis est accréditée par Microsoft et reconnue par Gartner.