SecurityInsider
Le blog des experts sécurité Wavestone

« Microsoft Advanced Threat Analytics », entre SIEM, IDS et scanneur de vulnérabilités, une solution prometteuse !?



Lors de sa dernière conférence Ignite[1] de mai dernier, à Chicago, Microsoft a annoncé le lancement de « Advanced Threat Analytics » (ATA), un séduisant produit dont on risque d’entendre parler longtemps.
Il permettrait « d’améliorer la sécurité des systèmes d’information en contribuant à la détection des attaques cybercriminelles et des brèches de sécurité, de manière autonome, en se basant sur des technologies innovantes ».

ATA semble être l’annonce logique de Microsoft suite à leur récent rachat de l’entreprise israélienne Aorato[2], spécialiste de la sécurité d’Active Directory et connue pour leurs puissantes technologies de machine learning[3]. Ces dernières permettent notamment de pouvoir différencier un comportement normal d'un comportement malveillant et ce, en toute autonomie. Intéressant, n’est-ce pas ?

Grâce à cette annonce, Microsoft aiguise considérablement la curiosité des communautés sécurité, actuellement en pleine recherche de moyens de détection simples et efficaces !

Adopter Microsoft ATA : dans quel objectif ?

ATA possède trois missions principales :
  • Détecter les attaques avérées : exécution d’un bruteforce[4], d’un Pass-the-Hash[5], d’un Pass-the-Ticket[6], etc.
  • Détecter les comportements suspicieux : connexion d’un administrateur sur un périmètre prohibé, création de comptes non-standards, activités de comptes à privilège sur des horaires inhabituels, etc.
  • Détecter les risques encourus : présence de vulnérabilités connues, politique de mots de passe faible, utilisation de protocoles obsolètes, droits trop permissifs, etc. 
Pour bien comprendre ce que permet in fine la combinaison de ces trois fonctionnalités majeures, revenons sur un exemple proposé par Idan PLOTNIK, actuel Responsable du projet ATA chez Microsoft et ex-PDG de Aorato.
L’exemple en question consiste en un scénario d’attaque de quatre étapes relativement classiques. Pour chacune d’entre elle, l’action de l’attaquant et l’alerte ATA résultante vous sont présentées l’une après l’autre.

L’attaquant :
« Me voilà introduit dans le SI, je souhaiterais maintenant initier une phase de reconnaissance. Je vais tenter de récupérer le plus possible d’identifiants de comptes Windows par énumérations successives ! »

Réponse d’ATA :

L’attaquant :
« Cela m’a permis de trouver une soixantaine de comptes ! Je vais maintenant tenter de deviner leur mot de passe par bruteforce. »

Réponse d’ATA :

L’attaquant :
« Sur ma trentaine de comptes visés, j’ai trouvé deux mots de passe valides ! Je peux donc commencer à me balader d’une machine à l’autre en espérant tomber sur un poste sur lequel un administrateur se serait récemment connecté. »

Réponse d’ATA :

L’attaquant :
« Gagné ! J’ai trouvé une machine. Je vais donc pouvoir exécuter mon outil préféré (Mimikatz[7] ! Euh non « Yolokatz » pardon ^.^) et pouvoir initier une attaque Pass-the-Hash afin d’atteindre les serveurs cœurs de l’Active Directory. »

Réponse d’ATA :

Bref … Un résultat, pour le moment visuel, certes, mais pour autant bluffant !

Comment ATA fonctionne ?

Pour être en mesure de desceller l’ensemble des comportements avancés par Microsoft, la solution ATA suit les quatre phases suivantes :
  1. L’analyse du trafic Windows et notamment de l’ensemble des flux Active Directory grâce à la technologie DPI[8] (Deep Packet Inspection). Microsoft propose également la possibilité d’interfacer sa solution avec un SIEM[9] afin d’enrichir ATA d’informations utiles pour ses analyses. Nous n’avons pour le moment guère plus d’informations sur ce sujet.
  2. L’apprentissage, une période durant laquelle ATA analyse les comportements habituels des utilisateurs et des équipements du SI. Cette phase est bien connue et nécessaire dans le domaine du machine learning, elle permettra par la suite l’autonomie de la plateforme. Microsoft déclare que trois semaines d’apprentissage suffisent à ATA pour devenir fiable dans ses détections. Au cours de cette période, ATA construit un référentiel intitulé « OSG » pour Organizational Security Graph. Ce graphe représente ainsi « tout ce qui est considéré comme normal et légitime ».
  3. La recherche et la détection de comportements, actions ou éléments suspicieux, ne respectant pas le référentiel « OSG ». Vu que toute action divergeant de l’OSG est considérée comme illégitime, ce référentiel est continuellement mis à jour afin d’éviter au maximum les faux-positifs. En d’autres termes, ATA ne cesse d’apprendre, même après sa phase réservée à cet effet !
  4. La remontée d’alerte en cas d’une quelconque découverte malveillante. Il faut ici se référer aux screenshots ci-dessus pour comprendre les résultats proposés par ATA.
Quant à l’architecture, la solution semble posséder deux composants distincts :
  • Les ATA Gateway : elles portent le rôle de collecteur. Elles sont placées aux points stratégiques du SI et collectent toutes les informations – via la technologie de port mirroring[10] – en provenance et à destination des contrôleurs de domaine Windows. Elles réalisent un premier traitement sur ces données, notamment de filtrage, et les envoient ensuite à l’ATA Center.
  • L’ATA Center : il porte l’intelligence de la solution. Il gère une ou plusieurs ATA Gateway et stockent en conséquence l’ensemble des informations nécessaires à son moteur d’analyse et de détection (n.b. Microsoft parle étonnamment de 1 To d’espace disque nécessaire pour chaque contrôleur de domaine traité ; imaginez à l’échelle des SI de grands groupes …).

Encore de nombreuses questions en suspens !

Sur le papier, il n’y a nul doute, Microsoft ATA épate ! La solution a tout pour faire rêver.
Mais qu’en est-il dans la pratique ? De nombreuses questions nous viennent à l’esprit …

Sur ses prérequis …
  • Si l’on souhaite réaliser un POC de la solution, qu’est-il préconisé et envisageable ?
    Pour pouvoir bénéficier des apports de Microsoft ATA et tester la solution avec pertinence, un environnement Windows complet, réaliste et possédant une activité quotidienne est nécessaire. Une telle maquette est très complexe à mettre en œuvre.
  • Pourquoi est-il préconisé autant d’espace de stockage ? Parle-t-on d’une limite haute ? Quelles informations sont concrètement stockées ?
  • Etc.
Sur son interfaçage avec l’existant …
  • Si l’on possède des outils de traitement des incidents (ticketing), est-il possible de les interfacer avec ATA ? Autre que l’alerte graphique illustrée dans les screenshots, Microsoft proposent-ils des sorties standardisées ?
  • ATA semble nécessairement porter une partie du rôle d’un SIEM, a minima sur le périmètre de supervision Windows. Quelles devraient être les réflexions à entreprendre vis-à-vis de son écosystème : MSSP, SOC, CERT, équipes de production, … ? Qui administrerait ? Qui serait derrière la console d’alerting ?
  • Etc.
Sur ses fonctionnalités et son périmètre …
  • Si au cours de la phase d’apprentissage, plusieurs attaquants sont déjà en activité dans le SI et ont déjà mis la main sur l’Active Directory, comment ATA réagit-il ? Comment peut-il le détecter ? Est-ce là une première faiblesse identifiée de la solution ?
  • L’autonomie est un des intérêts majeurs mis en avant. Si l’on souhaite détecter des évènements redoutés par les équipes Métiers, évènements fortement contextualisés, est-ce pour autant possible avec ATA ? Prévoit-il de faire du spécifique et de personnaliser une partie du moteur de détection ?
  • Un traitement temps réel est présenté jusqu’ici. Est-il en revanche prévu de pouvoir rejouer un historique de flux auprès d’ATA ? 
  • Microsoft donneront-ils plus d’informations sur la technologie permettant de différencier un comportement normal d’un comportement anormal ? Cette « boîte noire » restera-t-elle magique pour le grand public ?
  • La solution est-elle prévue pour traiter d’autres environnements que Windows ? Notamment par le biais de sa fonctionnalité d’interfaçage avec un SIEM ou des flux syslogs ?
  • Etc.
Si vous avez tout ou partie d’une réponse à ces questions, n’hésitez surtout pas à interagir en commentaires !

En définitif, par les temps qui courent et avec l’annonce d’une telle solution, Microsoft frappe un grand coup ! Il est en revanche encore trop tôt pour se positionner concrètement et déterminer si la firme de Redmond respectera ses engagements pour le moment théoriques !

[1] http://ignite.microsoft.com/
[2] http://blogs.microsoft.com/blog/2014/11/13/microsoft-acquires-aorato-give-enterprise-customers-better-defense-digital-intruders-hybrid-cloud-world/
[3] http://en.wikipedia.org/wiki/Machine_learning
[4] http://en.wikipedia.org/wiki/Brute-force_attack
[5] http://en.wikipedia.org/wiki/Pass_the_hash
[6] http://blog.gentilkiwi.com/securite/mimikatz/pass-the-ticket-kerberos
[7] http://blog.gentilkiwi.com/mimikatz
[8] http://en.wikipedia.org/wiki/Deep_packet_inspection
[9] http://en.wikipedia.org/wiki/Security_information_and_event_management
[10] http://en.wikipedia.org/wiki/Port_mirroring

Sources :
https://www.microsoft.com/en-us/server-cloud/products/advanced-threat-analytics/
http://download.microsoft.com/download/C/F/6/CF62335F-C46B-4D84-B0C9-363A89B0C5E6/Microsoft_advanced_threat_analytics_datasheet.pdf
https://technet.microsoft.com/library/mt163704.aspx
http://arstechnica.com/information-technology/2015/05/microsoft-bangs-the-cybersecurity-drum-with-advanced-threat-analytics/
http://www.networkworld.com/article/2918754/microsoft-subnet/microsoft-announced-advanced-threat-analytics-and-windows-update-for-business.html

Baptistin BUCHET & Adam KETTANI

Aucun commentaire:

Enregistrer un commentaire