SpecterOps BloodHound Enterprise
Réduisez les voies d’attaque et sécurisez entièrement Active Directory et Azure. La gestion des voies d’attaque est une composante essentielle de la protection des environnements Active Directory (AD) et Microsoft 365 contre les attaques. Lorsque l’on sait que Microsoft a signalé plus de 25 milliards de tentatives d’attaque sur les comptes d’entreprise simplement en 2021, on se rend compte que la sécurisation des voies d’attaque est essentielle. SpecterOps BloodHound Enterprise simplifie considérablement ce processus en hiérarchisant et en quantifiant les points d’étranglement des voies d’attaque, vous donnant les informations dont vous avez besoin pour identifier et éliminer les voies les plus exposées et les plus à risque.
02:44
La gestion des voies d’attaque a toujours été une tâche compliquée. Pourquoi ? Parce qu’en tant que professionnel de la sécurité, vous êtes souvent conditionné à penser en termes de listes : avec la vérification de milliers de problèmes de configuration génériques. Les pirates, quant à eux, pensent en termes de graphiques. Cette approche facilite l’identification de voies d’attaque efficaces. SpecterOps BloodHound Enterprise vous permet de réduire considérablement les risques d’attaque en vous armant d’un mappage graphique de toutes les voies d’attaque AD et Azure. Ainsi vous pouvez facilement identifier, hiérarchiser et éliminer les vulnérabilités principales que les pirates peuvent exploiter.
Principaux avantages
Mappage continu des voies d’attaque
Visualisez chaque relation et connexion dans AD et Azure, pour faciliter l’identification des voies d’attaques nouvelles et existantes.
Hiérarchisation des points d’étranglement
Mesurez l’impact de toutes les voies d’attaque et identifiez les points les mieux adaptés pour bloquer le plus grand nombre de chemins possible.
Protection des actifs stratégiques
Identifiez tous les actifs stratégiques de niveau zéro, puis à l’aide de l’intégration avec la solution On Demand Audit, surveillez-les automatiquement pour y rechercher toute activité suspecte indiquant qu’ils ont été compromis.
Conseils pratiques en matière de corrections
Obtenez des conseils pratiques en matière de corrections, avec des instructions claires, sans avoir à apporter de modifications drastiques à AD.
Analyse complete des corrections
Utilisez l’historique détaillé des activités des utilisateurs d’On Demand Audit pour inspecter la périphérie des voies d’attaque avant d’en supprimer l’accès. Vous pouvez ainsi effectuer une correction sans conséquence imprévue.
Mesure de l’efficacité de votre politique de sécurité AD
Établissez une ligne de référence d’AD et d’Azure en continu, et mesurez la réduction des risques au fur et à mesure de l’élimination des voies d’attaque.
Visibilité sans précédent sur Azure AD
Azure utilise différentes technologies pour gérer les identités et les accès, mais il est vulnérable aux mêmes voies d’attaque sur les identités qu’AD.
Fonctionnalités
Vue descendante des actifs stratégiques
SpecterOps BloodHound
Enterprise est d’une grande aide pour la gestion des voies
d’attaque : il vous montre un surensemble de vos actifs
stratégiques dans AD et Azure (Azure AD et Azure Resource
Manager), des éléments précieux qui vous
mèneraient à votre perte si un pirate venait à en
prendre le contrôle. Il mappe ensuite chaque voie d’attaque
à partir de cette vue. Pour vous défendre, la
sécurisation des voies d’attaque vous demande de
connaître chaque chemin possible. SpecterOps BloodHound Enterprise
identifie chaque relation de votre environnement hybride et met en
évidence les façons dont les pirates pourraient exploiter
un ensemble donné de responsables pour accéder à ces
actifs stratégiques.
Identifiez et quantifiez les points d’étranglement exposés
Mais le mappage des voies et
des actifs stratégiques ne constitue qu’une petite partie de
la gestion des voies d’attaque. SpecterOps BloodHound Enterprise va
plus loin : il quantifie ces points d’étranglement. Par
exemple, il peut vous dire que 92 % de vos utilisateurs et
ordinateurs Active
Directory sont susceptibles de compromettre le domaine parce que
telle ACL est appliquée à tel contrôleur de domaine.
Il peut donner des informations très spécifiques sur le
risque existant, ainsi que sur les autorisations ou privilèges que
vous devrez gérer pour éliminer la voie d’attaque et
corriger les mauvaises configurations en aval.
Quantifiez les impacts sur la politique de sécurité
SpecterOps BloodHound
Enterprise mesure tous les risques. Par conséquent, vous pouvez
visualiser les risques généraux auxquels votre organisation
est exposée dans votre environnement AD hybride. Mais en
améliorant la gestion des voies d’attaque avec
l’élimination de ces points d’étranglement,
vous pourrez constater l’effet de ces changements sur votre
politique de sécurité globale. Par exemple, en
sécurisant les voies d’attaque, vous pourriez
considérablement réduire votre exposition aux attaques. La
plupart des entreprises commencent avec un taux d’exposition aux
risques compris entre 70 % et 100 %. L’objectif serait de
faire descendre le taux d’exposition de votre organisation sous le
seuil des 20 %, et SpecterOps BloodHound Enterprise peut vous aider
à y parvenir.
Solution complète d’évaluation des risques et de protection contre les menaces
Intégrez
SpecterOps BloodHound Enterprise avec On
Demand Audit et Change Auditor pour
profiter d’une solution complète d’évaluation
des risques et de surveillance des menaces. Ensemble, ces solutions vous
permettront d’identifier tous les actifs de niveau zéro
et de calculer les voies d’attaques menant à ces actifs.
Vous pourrez ensuite surveiller ces voies d’attaques pour
détecter des activités douteuses. Vous pourrez
également profiter d’une détection anticipée
des menaces, y compris la réplication de domaine non
autorisée, l’extraction hors ligne de votre base de
données AD et l’association de GPO. Vous pourrez même
bloquer les modifications apportées à certains objets
sensibles comme les groupes à privilètes et les
stratégies de groupe afin d’empêcher les tentatives
d’élévation des privilèges et de
réduire ainsi que d’éviter des attaques par
rançongiciel coûteuses.
Élimination des voies d’attaque via la sécurisation des objets de stratégie de groupe
En utilisant
SpecterOps BloodHound Enterprise avec GPOADmin,
vous pouvez améliorer la gestion des voies d’attaque en
sécurisant les objets de stratégie de groupe. Ces solutions
vous permettent de garantir que les modifications respectent les bonnes
pratiques de gestion des modifications avant le déploiement, une
étape critique de la gestion des stratégies de groupe
Active Directory. De plus, vous pouvez valider continuellement les
GPO au moyen d’une attestation automatisée, une
nécessité pour toute solution de gestion des
stratégies de groupe tierces. De même, vous pouvez
rapidement revenir à un GPO fonctionnel si une modification avait
un effet indésirable. Ainsi, votre environnement peut être
de nouveau opérationnel en quelques secondes.
Protection contre les risques et garantie des corrections
Pour une véritable
protection contre les risques et la garantie des corrections, associez
SpecterOps BloodHound Enterprise avec Recovery
Manager for Active Directory Disaster Recovery Edition ou On
Demand Recovery. Cette combinaison de produits vous offre des
fonctionnalités complètes pour la sauvegarde d’Active
Directory hybride et la restauration rapide en cas d’erreur, de
corruption ou d’incident. De plus, vous pourrez identifier les
modifications effectuées depuis la dernière sauvegarde, en
comparant l’état en ligne d’AD avec sa sauvegarde ou
en comparant plusieurs sauvegardes. Vous pourrez également
restaurer tous types d’objets dans l’environnement AD,
notamment des utilisateurs, des attributs, des unités
organisationnelles, des ordinateurs, des sous-réseaux, des sites,
des configurations et des objets de stratégie de groupe.
Présentation
Mappage continu des voies d’attaque
Visualisez chaque voie d’attaque menaçant vos actifs AD et Azure stratégiques, ainsi que toutes les connexions et relations complexes associées.
Caractéristiques techniques
SpecterOps BloodHound Enterprise nécessite l’installation de l’agent sur site SharpHound Enterprise, un composant essentiel de votre déploiement qui collecte et charge les données relatives à votre environnement dans votre instance BloodHound Enterprise pour traitement et analyse. SharpHound Enterprise est généralement déployé sur un système Windows par domaine, associé à un domaine, et il s’exécute comme un compte d’utilisateur de domaine.
Le service AzureHound Enterprise service collecte et charge les données relatives à votre environnement Azure sur votre instance BloodHound Enterprise pour traitement et analyse. AzureHound Enterprise est généralement déployé sur un seul système Windows par tenant Azure, et il peut s’exécuter sur le même système que votre compte de service SharpHound Enterprise.
Système :
- Windows Server 2012+
- 16 Go de mémoire RAM
- 100 Go d’espace sur le disque dur
- .NET 4.5.2+
- TLS sur 443/TCP vers l’URL de votre tenant (fourni par votre équipe de compte)
- TLS sur 443/TCP vers le tenant Azure (le cas échéant)
SharpHound (collection Active Directory sur site)
- Compte de service ajouté au groupe d’administrateurs local
AzureHound (collection Azure)
- Directory Reader sur le tenant Azure AD
- Reader sur tous les abonnements Azure
- Directory.Read.All sur Microsoft Graph
L’énumération Active Directory présente les informations les plus basiques requises pour BloodHound Enterprise. De plus, SharpHound Enterprise énumère les sessions et groupes locaux sur tous les systèmes Microsoft associés à un domaine pour une visibilité idéale.
Type de collection
Autorisations des comptes de service
Accès au réseau de service
Active Directory
Compte d’utilisateur de domaine avec droits en lecture sur les objets supprimés.
LDAP sur 389/TCP vers au moins un contrôleur de domaine
Sessions utilisateur et groupes locaux (avec privilèges)
Administrateur local sur les stations de travail et les serveurs
SMB sur 445/TCP vers tous les systèmes associés au domaine
Azure
Directory Reader sur le tenant Azure AD, Reader sur tous les abonnements Azure, AppRoleAssignment.ReadWrite.All et RoleManagement.Read.All sur Microsoft Graph
TLS sur 443/TCP vers votre tenant
Ressources
Level up your Active Directory security with attack path management
Learn why attack path management is crucial to Active Directory security — and discover the only solution available today that ...
Ultimate Cyber Resiliency: a guide to combatting AD security villains
This eBook highlights ways to achieve a full lifecycle of hybrid Active Directory cyber resiliency to mitigate risks before, du...
Attack Path Remediation
Identify, quantify and prioritize attack paths so you can secure Active Directory from every angle.
Don't let the retirement crisis become a security crisis
Discover effective strategies for keeping your Active Directory secure, even as the Baby Boomers who manage it retire in droves...
Government agency enhances cybersecurity
State Department of Transportation identifies and shuts down attack paths in its complex Active Directory
The Microsoft 365 kill chain and attack path management
Explore the Microsoft 365 kill chain and see how attack path management and monitoring can protect your organization.
Blogs
Voir tous les blogsRetirement and succession planning for Active Directory admins
Learn what the succession plan for future Active Directory admins should look like ahead of the retirement boom of more experienced admins.
Jason Morano
What you need to know about man-in-the-middle (MitM) attacks
Learn what man-in-the-middle attacks are, the most common attack techniques and key strategies for increasing your defenses against them.
Michael Van Horenbeeck
Understanding attack paths targeting Active Directory
Learn about attack paths, including the most common ones targeting Active Directory, and discover measures to protect your organization.
Bryan Patton
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
Jason Morano
The importance of Tier 0 and what it means for Active Directory
Learn what can be done to increase your organization’s security posture and how tier 0 assets like Active Directory come into play.
Michael Van Horenbeeck
8 ways to secure your Active Directory environment
Secure your Active Directory against potential risks with these 8 best practices and ensure robust security measures for your system.
Bryan Patton