Tenable
Identity Exposure

FAQ

Quelles sont les principales fonctionnalités de Tenable Identity Exposure ?

Tenable Identity Exposure vous permet de détecter et de répondre aux attaques en temps réel et d’identifier et de corriger les failles dans Active Directory avant quelles ne soient exploitées. Voici ce que les principales fonctionnalités de Tenable Identity Exposure vous permettent de faire :

• Révélez les faiblesses qui se cachent dans vos configurations Active Directory
• Découvrez les problèmes sous-jacents qui menacent la sécurité de votre Active Directory
• Disséquez chaque mauvaise configuration, en des termes clairs
• Grâce au nouveau score d'exposition des assets, quantifiez le risque lié aux assets en combinant les droits inhérents aux vulnérabilités, à l'exposition et à l'identité (optimisé par l'intelligence artificielle et le moteur de data science de Tenable)
• Trouvez les mesures de correction recommandées pour chaque problème
• Créez des dashboards personnalisés pour gérer la sécurité de votre Active Directory et parvenir à une réduction du risque
• Découvrez les relations d'approbation dangereuses
• Nouveau - Visulaisez les identités de manière unifiée d'Active Directory et Entra ID
• Détectez tout changement se produisant dans votre AD
• Décelez d'importantes ataques par domain au sein de votre Active Directory
• Visualisez chaque menace à partir d'une chronologie d'attaque précise
• Consolidez la répartition des attaques dans une seule vue
• Établissez le lien entre des changements survenus dans Active Directory et des actions malveillantes
• Analysez les moindres détails d'une attaque contre Active Directory
• Explorez les descriptions MITRE ATT&CK® directement depuis les incidents détectés

Quelles attaques et techniques déployées contre Active Directory peut détecter Tenable Identity Exposure ?

Tenable Identity Exposure détecte de nombreuses techniques parmi celles utilisées lors de cyber-attaques pour obtenir des privilèges plus élevés et opérer un mouvement latéral, telles que DCShadow, les attaques par force brute, par pulvérisation de mot de passe (Password Spraying), DCSync, Golden Ticket, etc.

Quels vecteurs d'attaque de privilèges sur Active Directory Tenable Identity Exposure permet-il d'identifier ?

Tenable Identity Exposure possède une vaste bibliothèque de vecteurs d'attaque connus pour être utilisés par les attaquants afin d'obtenir des privilèges. Notamment :

Vecteur d'attaque	Description	Outils offensifs connus	Matrice Mitre Attack
Comptes à privilèges exécutant des services Kerberos	Comptes à privilèges élevés utilisant un nom principal de service (SPN) Kerberos accessible par force brute	Kerberom	Élévation de privilèges, mouvement latéral, persistance
Délégation Kerberos dangereuse	Vérifier qu'aucune délégation dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée	Nishang	Élévation de privilèges, mouvement latéral, persistance
Utilisation d'algorithmes de chiffrement dans une infrastructure PKI Active Directory	Les certificats racine déployés dans l'infrastructure PKI Active Directory interne ne doivent pas utiliser d'algorithmes de chiffrement faible	ANSSI-ADCP	Persistance, élévation de privilèges, mouvement latéral
Délégation dangereuse de droits d'accès sur des objets critiques	Certains droits d'accès permettant à des utilisateurs non autorisés de contrôler des objets critiques ont été trouvés	BloodHound	Exfiltration, mouvement latéral, commande et contrôle, accès aux informations d'authentification, élévation de privilèges
Plusieurs problèmes dans la stratégie de mot de passe	Sur certains comptes spécifiques, les stratégies de mot de passe actuelles sont insuffisantes pour assurer une protection robuste des informations d'authentification	Patator	Évasion, mouvement latéral, accès aux informations d'authentification, élévation de privilèges
Comptes dangereux dans la gestion des RODC	Les groupes administratifs chargés des contrôleurs de domaine en lecture seule contiennent des comptes inhabituels	Impacket	Accès aux informations d'authentification, évasion, élévation de privilèges
GPO sensible associée à des objets critiques	Certaines GPO gérées par des comptes non administratifs sont liées à des objets Active Directory sensibles (le compte KDC, contrôleurs de domaine, groupes administratifs, etc.)	ANSSI-ADCP	Commande et contrôle, accès aux informations d'authentification, persistance, élévation de privilèges
Comptes administratifs autorisés à se connecter à d'autres systèmes que les contrôleurs de domaine	Les politiques de sécurité déployées sur l'infrastructure surveillée n'empêchent pas les comptes administratifs de se connecter à des ressources autres que des contrôleurs de domaine, ce qui expose les informations d'authentification sensibles	CrackMapExec	Évasion, accès aux informations d'authentification
Relation de confiance dangereuse	Des attributs de relation de confiance mal configurés diminuent la sécurité d'une infrastructure d'annuaire	Kekeo	Mouvement latéral, accès aux informations d'authentification, élévation de privilèges, évasion
Mot de passe réversible dans une GPO	Vérifier qu'aucune GPO ne contient de mot de passe stocké dans un format réversible	Analyseur de mot de passe SMB	Accès aux informations d'authentification, élévation de privilèges
Ordinateurs exécutant un système d'exploitation obsolète	Les systèmes obsolètes ne sont plus pris en charge par l'éditeur de logiciels et augmentent considérablement la vulnérabilité de l'infrastructure	Metasploit	Mouvement latéral, commande et contrôle
Comptes utilisant un contrôle d'accès compatible pré-Windows 2000	Compte appartenant au groupe Accès compatible avec les versions antérieures à 2000 en mesure de contourner des mesures de sécurité spécifiques	Impacket	Mouvement latéral, évasion
Gestion des comptes administratifs locaux	Garantir que les comptes administratifs locaux sont gérés de façon centralisée et sécurisée en utilisant LAPS	CrackMapExec	Évasion, accès aux informations d'authentification, mouvement latéral
Configuration dangereuse d'utilisateurs anonymes	L'accès anonyme est activé sur l'infrastructure Active Directory surveillée, ce qui entraîne une fuite d'informations sensibles	Impacket	Exfiltration
Attributs filtrés inhabituels sur un RODC	Les politiques de filtrage appliquées à certains contrôleurs de domaines en lecture seule (Read-Only Domain Controllers, RODC) peuvent entraîner la mise en cache d'informations sensibles, permettant ainsi une élévation de privilèges	Mimikatz (DCShadow)	Élévation de privilèges, évasion
Absence de restriction pour les attaques par mouvements latéraux	La restriction de mouvement latéral n'a pas été activée sur l'infrastructure Active Directory surveillée, ce qui permet aux attaquants de passer de machine en machine avec le même niveau de privilèges	CrackMapExec	Mouvement latéral
Mot de passe en clair stocké dans des partages de contrôleur de domaine	Certains fichiers sur des partages de contrôleur de domaine, auxquels peut accéder n'importe quel utilisateur authentifié, sont susceptibles de contenir un mot de passe en clair, permettant ainsi l'élévation de privilèges	SMBSpider	Accès aux informations d'authentification, élévation de privilèges, persistance
Droits de contrôle d'accès dangereux sur des scripts d'ouverture de session	Certains scripts, exécutés lors d'une ouverture de session d'utilisateur ou d'ordinateur, aboutissent à une élévation de privilèges	Metasploit	Mouvement latéral, élévation de privilèges, persistance
Paramètres dangereux utilisés dans une GPO	Certains paramètres dangereux (comme les groupes restreints, le calcul du hachage LM, le niveau d'authentification NTLM, les paramètres sensibles, etc.) sont définis par GPO, ce qui produit des violations de sécurité	Responder	Découverte, accès aux informations d'authentification, exécution, persistance, élévation de privilèges, évasion
Paramètres dangereux définis dans la configuration du Contrôle de compte d'utilisateur	La fonctionnalité Contrôle de compte d'utilisateur de certains comptes d'utilisateur définit des paramètres dangereux par exemple PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT)PARTIAL_SECRETS_ ACCOUNT), ce qui compromet la sécurité de ces comptes	Mimikatz (LSADump)	Persistence, élévation de privilèges, évasion
Absence d'application de correctifs de sécurité	Un serveur enregistré dans Active Directory n'a pas appliqué de correctifs de sécurité récemment	Metasploit	Élévation de privilèges Commande et contrôle, évasion
Tentative d'attaque par force brute sur des comptes d'utilisateur	Certains comptes d'utilisateur ont été ciblés par une tentative d'attaque par force brute	Patator	Accès aux informations d'authentification
Configuration Kerberos sur des comptes d'utilisateur	Certains comptes utilisent une configuration Kerberos faible	Mimikatz (Silver Ticket)	Accès aux informations d'authentification, élévation de privilèges
Partage ou fichier inhabituel stocké sur le contrôleur de domaine	Certains contrôleurs de domaine sont utilisés pour héberger des fichiers ou des partages réseau qui ne sont pas nécessaires	SMBSpider	Découverte, exfiltration

Quelles techniques de porte dérobée sur Active Directory Tenable Identity Exposure permet-il d'identifier ?

Tenable Identity Exposure comporte une vaste bibliothèque de techniques de porte dérobée connues que les attaquants emploient pour faire persister la menace. Notamment :

Fait	Description	Outils offensifs connus	Matrice Mitre Attack
Garantir la cohérence du processus SDProp	S'assurer que l'objet adminSDHolder est sain	Mimikatz (Golden Ticket)	Élévation de privilèges, persistance
Garantir la cohérence du processus SDProp	Vérifier que le groupe principal des utilisateurs n'a pas été changé	BloodHound	Élévation de privilèges, persistance
Vérification des autorisations pour l'objet domaine racine	S'assurer que les autorisations définies sur l'objet domaine racine sont saines	BloodHound	Élévation de privilèges, persistance
Vérification des autorisations pour les fichiers et objets GPO sensibles	S'assurer que les autorisations définies sur les fichiers et objets GPO liés à des conteneurs sensibles (telles que les unités d'organisation des contrôleurs de domaine) sont saines	BloodHound	Exécution, élévation de privilèges, persistance
Droits d'accès dangereux sur le compte KDC d'un RODC	Le compte KDC utilisé sur certains contrôleurs de domaine en lecture seule peut être contrôlé par un compte d'utilisateur non autorisé, entraînant des fuites d'informations d'authentification	Mimikatz (DCSync)	Élévation de privilèges, persistance
Certificats sensibles associés à des comptes d'utilisateur	Certains certificats X509 sont stockés dans l'attribut de compte d'utilisateur altSecurityIdentities, ce qui permet au détenteur de la clé privée d'un certificat de s'authentifier en empruntant l'identité de cet utilisateur		Commande et contrôle, accès aux informations d'authentification, élévation de privilèges, persistance
SPN Krbtgt non autorisé défini sur un compte standard	Le nom principal de service (SPN, Service Principal Name) du KDC est présent sur un compte d'utilisateur standard, ce qui entraîne des falsifications de tickets Kerberos	Mimikatz (Golden Ticket)	Élévation de privilèges, persistance
Dernier changement du mot de passe KDC	Le mot de passe du compte KDC doit être changé régulièrement	Mimikatz (Golden Ticket)	Accès aux informations d'authentification, élévation de privilèges, persistance
Comptes ayant un attribut d'historique SID dangereux	Vérifier les comptes d'utilisateur ou d'ordinateur utilisant un SID avec privilèges dans l'attribut d'historique SID	DeathStar	Élévation de privilèges, persistance
Contrôleurs de domaine non autorisés	Vérifier que seuls les serveurs contrôleurs de domaine légitimes sont enregistrés dans l'infrastructure Active Directory	Mimikatz (DCShadow)	Exécution, évasion, élévation de privilèges, persistance
Contrôle d'accès non autorisés aux clés Bitlocker	Certaines clés de récupération Bitlocker stockées dans Active Directory sont accessibles à d'autres personnes que les administrateurs et les ordinateurs associés	ANSSI-ADCP	Accès aux informations d'authentification, élévation de privilèges, persistance
Entrées inhabituelles dans le descripteur de sécurité Schema	Le schéma Active Directory été modifié, ce qui aboutit à de nouveaux objets ou droit d'accès standard qui peuvent compromettre l'infrastructure surveillée	BloodHound	Élévation de privilèges, persistance
Compte DSRM activé	Le compte de récupération Active Directory a été activé, ce qui l'expose à un vol d'informations d'authentification	Mimikatz (LSADump)	Accès aux informations d'authentification, exécution, évasion, élévation de privilèges, persistance
Hachage d'authentification non renouvelé lors de l'utilisation d'une carte à puce	Certains comptes d'utilisateur ayant recours à l'authentification par carte à puce ne renouvellent pas assez souvent le hachage de leurs informations d'authentification	Mimikatz (LSADump)	Persistance
Mots de passe réversibles pour les comptes d'utilisateur	Vérifier qu'aucun paramètre n'a pour effet de stocker les mots de passe dans un format réversible	Mimikatz (DC Sync)	Accès aux informations d'authentification
Utilisation d'un refus d'accès explicite sur des conteneurs	Certains conteneurs ou unités d'organisation Active Directory définissent un refus d'accès explicite, ce qui peut entraîner un risque de camouflage de porte dérobée	BloodHound	Évasion, persistance

Comment Tenable Identity Exposure vérifie-t-il Active Directory ?

Tenable Identity Exposure est la seule solution sur le marché qui ne nécessite aucun déploiement sur les contrôleurs de domaine ou les points de terminaison. Par ailleurs, Tenable Identity Exposure a uniquement besoin des privilèges de niveau utilisateur pour fonctionner. Cette architecture unique permet aux équipes de sécurité de vérifier rapidement la configuration d'Active Directory sans subir les problèmes d'un déploiement complexe.

Tenable Identity Exposure est-il un outil d'audit ponctuel pour ActiveDirectory?

Les mauvaises configurations d'AD sont fréquentes, de sorte que les audits ponctuels deviennent obsolètes quelques minutes seulement après qu'ils ont commencé. De plus, ils se focalisent sur les mauvaises configurations plutôt que d'inclure les signes de la compromission.

Quant à Tenable Identity Exposure, c'est une plateforme de sécurité qui scanne en continu votre AD pour déceler les nouvelles faiblesses et les attaques, afin d'avertir les utilisateurs en temps réel en cas de problème.

Est-ce que Tenable Identity Exposure peut détecter les attaques de type Golden Ticket ?

Oui, Golden Ticket est l'une des nombreuses techniques que Tenable Identity Exposure peut détecter et vous aide à bloquer. Avec des centaines de contrôles de sécurité et de corrélations effectués en parallèle, Tenable Identity Exposure fournit la sécurité la plus étendue qui soit pour AD.

Est-ce que Tenable Identity Exposure s'intègre avec mon SIEM/SOAR/système de tickets, etc. ?

La sécurité AD est une composante importante de votre puzzle de sécurité, et Tenable Identity Exposure se fond parfaitement dans votre écosystème de sécurité.

Notre intégration Syslog garantit que tous les SIEM et la plupart des systèmes de tickets peuvent s'intégrer immédiatement à Tenable Identity Exposure. Nous proposons également des applis natives pour QRadar, Splunk et  Phantom.

Est-ce que Tenable Identity Exposure est une solution basée dans le cloud ?

Notre solution prend en charge les déploiements cloud et sur site. Il n'y a pas de différence fonctionnelle entre ces deux types de déploiement.

Tenable Identity Exposure peut-il évoluer vers des déploiements Active Directory multi-organisations et multiforêts ?

Tenable Identity Exposure protège déjà quelques-uns des AD les plus importants et les plus sensibles. Notre plateforme a été conçue comme une solution d'entreprise. Son architecture sans agents, AD-native, lui permet de prendre en charge les déploiements Active Directory complexes, à plusieurs forêts et plusieurs organisations.

Comment fonctionne la licence Tenable Identity Exposure ?

Tenable Identity Exposure est concédé sous licence par compte d'utilisateur activé.

Tenable Identity Exposure nécessite-t-il un accès privilégié à Active Directory pour détecter les faiblesses et répondre aux attaques ?

Tenable Identity Exposure a uniquement besoin d'un compte utilisateur standard pour la vérification des configurations et l'identification des attaques contre Active Directory.

Comment puis-je acquérir Tenable Identity Exposure ?

Pour acquérir Tenable Identity Exposure, adressez-vous à votre partenaire certifié Tenable local ou contactez votre représentant Tenable.

L'évaluation de Tenable Identity Exposure est-elle possible ?

Oui, des évaluations sont disponibles pour Tenable Identity Exposure. Veuillez remplir la demande d'essai pour le démarrer dès aujourd'hui.