Notes de version Tenable Identity Exposure 2024 - Sur site
Ces notes de version sont répertoriées dans l'ordre chronologique inverse.
Tenable Identity Exposure 3.59.4 (2024-02-20)
- Secure Relay — Introduction d'un nouveau mode de transfert de vos données Active Directory depuis votre réseau vers Tenable Identity Exposure à l'aide du protocole TLS (Transport Layer Security) au lieu du protocole AMQP (Advanced Message Queuing Protocol). Pour plus d'informations, voir Upgrade to Use Secure Relay (Mettre à niveau pour utiliser Secure Relay) dans le Guide d'installation et Configurer le Relay dans le Guide de l'administrateur.
Alertes et authentification — Le Secure Relay prend en charge les alertes Syslog et SMTP. Pour plus d'informations, voir Secure Relay dans le guide de l'administrateur de Tenable Identity Exposure.
Authentification — Vous pouvez configurer l'authentification LDAP en sélectionnant un Secure Relay. Ce Relay joint votre serveur LDAP pour authentifier l'utilisateur.
Alertes — La fonction d'alerte Syslog et SMTP peut envoyer des alertes à des serveurs privés via un Secure Relay. Lors de la création d'une alerte, la plateforme de Secure Relay vous demande de sélectionner un Relay. Vous pouvez configurer des Relays et les utiliser pour la surveillance ou l'alerte de domaine, ou les deux.
Si vous utilisez Secure Relay et si des alertes existent, la mise à jour 3.45 de Tenable Identity Exposure leur attribue automatiquement un Relay pour la continuité du service. Vous pouvez modifier ce Relay pour des raisons liées à vos règles de réseau Relay-VM ou à vos préférences.
Prise en charge de l'authentification de base et du proxy HTTP non authentifié — La fonction Relay prend également en charge le proxy HTTP avec une authentification de base ou sans authentification si votre réseau nécessite un serveur proxy pour atteindre le serveur Directory Listener. Pour plus d'informations, voir Secure Relay dans le guide de l'administrateur de Tenable Identity Exposure.
- Assistance d'Entra ID — Cette fonctionnalité étend la portée de Tenable Identity Exposure à Microsoft Entra ID (anciennement Azure AD) en plus d'Active Directory. Voici les nouveaux indicateurs d'exposition (IoE) centrés sur Entra ID et désormais disponibles pour identifier les vulnérabilités au sein d'Entra ID :
Porte dérobée de domaine fédéré connue — Un tenant Microsoft Entra peut mettre en place un processus de fédération avec un domaine externe pour établir une relation d'approbation avec un autre domaine à des fins d'authentification et d'autorisation. Les organisations utilisent la fédération pour déléguer l'authentification des utilisateurs Active Directory à leurs services de fédération Active Directory sur site (AD FS). (Remarque : le domaine externe n'est pas un « domaine » Active Directory). Mais si des acteurs malveillants obtiennent des privilèges élevés dans Microsoft Entra ID, ils peuvent exploiter ce mécanisme de fédération pour créer une porte dérobée en ajoutant leur propre domaine fédéré ou en modifiant un domaine existant pour ajouter une configuration secondaire avec leurs propres paramètres.
Principal de service propriétaire (ou interne) avec identifiants — Les principaux de service propriétaires/internes (applications d'entreprise) proviennent d'applications (inscription d'applications) qui appartiennent à Microsoft. La plupart d'entre eux disposent d'autorisations sensibles dans Microsoft Entra ID que vous ignorez généralement lors des vérifications de sécurité. Des attaquants peuvent donc y ajouter des identifiants pour exploiter discrètement leurs privilèges.
Compte Entra privilégié synchronisé avec AD (Hybride) — Vérifie les comptes hybrides, en particulier ceux synchronisés à partir d'Active Directory qui ont des rôles privilégiés dans Entra ID. Ces comptes posent un risque de sécurité, car ils permettent aux attaquants qui compromettent AD de basculer vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ».
Autorisations d'API dangereuses affectant le tenant — Certaines autorisations sur certaines API Microsoft peuvent représenter une grave menace pour l'ensemble du tenant Microsoft Entra ID, car un principal de service qui dispose de ces autorisations devient puissant, tout en étant plus discret qu'un utilisateur disposant d'un rôle d'administrateur puissant tel que l'Administrateur général. En exploitant ces autorisations, un attaquant peut contourner l'authentification multifacteur (MFA) et résister aux réinitialisations de mot de passe des utilisateurs.
Authentification MFA manquante pour un compte privilégié — L'authentification multifacteur (MFA) protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Cet IoE signale les comptes privilégiés qui ne disposent pas de méthode MFA enregistrée et vous informe si vous appliquez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité.
Authentification MFA manquante pour un compte non privilégié — L'authentification multifacteur (MFA) protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. Cet IoE signale les comptes non privilégiés qui ne disposent pas de méthode MFA enregistrée et vous informe si vous appliquez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité.
Nombre d'administrateurs élevé — Les administrateurs disposent par définition de privilèges élevés. Ils peuvent poser des risques de sécurité lorsqu'il en existe un grand nombre, car cela augmente la surface d'attaque. En outre, le risque que l'un d'entre eux soit compromis est plus élevé. C'est aussi le signe que le principe du moindre privilège n'est pas respecté.
- Nouveaux indicateurs d'attaque (IoA)
-
Changement de mot de passe DC — Lié à Zerologon, cet IoA se concentre sur une activité post-exploitation spécifique que les attaquants utilisent couramment en conjonction avec la vulnérabilité Netlogon : la modification du mot de passe du compte de la machine du contrôleur de domaine. Pour plus d'informations, voir le Tenable Identity Exposure Indicators of Attack Reference Guide (Guide de référence des IoA).
-
Zerologon — Détecte un échec dans le processus d'authentification Netlogon qui indique que des attaquants tentent d'exploiter la vulnérabilité Zerologon pour obtenir des privilèges concernant le domaine. Pour plus d'informations, voir le Tenable Identity Exposure Indicators of Attack Reference Guide (Guide de référence des IoA).
-
Extraction de clé de sauvegarde de domaine — Détecte de nombreux outils d'attaque différents qui utilisent des appels LSA RPC pour accéder aux clés de sauvegarde. Pour plus d'informations, voir le Tenable Identity Exposure Indicators of Attack Reference Guide (Guide de référence des IoA).
-
-
Indicateurs d'exposition (IoE)
-
Nouveaux IoE :
-
Autoriser les mises à jour dynamiques DNS non sécurisées – Identifie la configuration non sécurisée des mises à jour des zones DNS dynamiques ; cette configuration peut conduire à une modification non authentifiée des enregistrements DNS, les rendant vulnérables aux enregistrements DNS malveillants.
-
Intégrité des Property Sets — Recherche la présence d'une mauvaise configuration ou d'une porte dérobée provenant d'acteurs malveillants dans les Property Sets et leurs attributs dans le schéma AD. Bien qu'aucun vecteur d'attaque public connu ne soit actuellement associé à l'utilisation des Property Sets, cet IoE se concentre principalement sur l'identification des mauvaises configurations ou des particularités des produits tiers qui utilisent cette fonctionnalité.
-
Paramétrages dangereux sur des serveurs WSUS — Vérifie que les Windows Server Update Services (WSUS), un produit Microsoft utilisé pour déployer les mises à jour Windows des postes de travail et des serveurs, ne contiennent pas d'erreurs de configuration pouvant entraîner une élévation de privilèges à partir de simples comptes.
-
Faiblesses détectées lors de l'analyse des mots de passe — Vérifie la robustesse des mots de passe afin de garantir la sécurité de l'authentification Active Directory. La faiblesse des mots de passe peut être liée à différents facteurs : complexité insuffisante, algorithmes de hachage obsolètes, mots de passe partagés et exposition dans des bases de données ayant été divulguées. Les attaquants exploitent ces faiblesses pour imiter les comptes, en particulier les comptes privilégiés, afin d'obtenir un accès non autorisé dans Active Directory.
-
Mauvaise configuration DFS — Vérifie que SYSVOL utilise la réplication de système de fichiers distribué (DFSR), un mécanisme qui a remplacé le service de réplication de fichier (FRS) pour davantage de robustesse, d'évolutivité et de performance.
-
Exclusions d'objets déviants :Tenable Identity Exposure permet de définir des exclusions pour les objets déviants dans certains IoE, notamment :
-
Groupe : Restrictions de connexion pour les utilisateurs privilégiés
-
Système d'exploitation : Ordinateurs exécutant un système d'exploitation obsolète
-
Unité organisationnelle : Restrictions de connexion pour les utilisateurs privilégiés, Ordinateurs exécutant un système d'exploitation obsolète, Application de stratégies de mot de passe faible sur les utilisateurs, Comptes dormants, Compte d'utilisateur utilisant un ancien mot de passe
-
-
Analyse des IoE — Les utilisateurs sur site peuvent désormais désactiver l'analyse des IoE sur le profil de sécurité Tenable par défaut, afin de réduire l'utilisation des ressources et la latence dans l'analyse de la sécurité. Pour utiliser cette option, définissez la variable d'environnement ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile du Security Engine Node (SEN) sur vrai et redémarrez le service Cygni.
-
-
Centre de rapports — Cette fonctionnalité permet d'exporter des données importantes sous forme de rapports à l'intention des principales parties prenantes d'une organisation à l'aide d'un processus de création de rapports rationalisé. Pour plus d'informations, voir Reporting Center (Centre de rapports) dans le guide de l'administrateur de Tenable Identity Exposure.
-
Modèles de dashboard — Des modèles prêts à l'emploi vous aident à vous concentrer sur les problèmes prioritaires qui concernent votre organisation, tels que la conformité, le risque, la gestion des mots de passe et la surveillance des utilisateurs/administrateurs. Pour plus d'informations, voir Dashboards dans le Guide de l'utilisateur Tenable Identity Exposure.
-
Capacités de vérification de l'état de la plateforme — Tenable Identity Exposure établit une liste des vérifications de l'état de la plateforme effectuées dans une vue consolidée pour vous permettre d'explorer et résoudre rapidement les anomalies de configuration. Pour plus d'informations, voir Vérifications de l'état du système dans le guide de l'administrateur de Tenable Identity Exposure.
- Intégration — Pour une sécurité renforcée, le processus d'intégration exige désormais que les utilisateurs modifient les identifiants par défaut fournis pour la connexion initiale lorsqu'ils se connectent pour la première fois. Tenable Identity Exposure a également amélioré les règles pour obtenir un nouveau mot de passe.
-
Évolutivité — Tenable Identity Exposure a amélioré les performances des indicateurs d'attaque côté service afin de gérer les événements d'intérêt à plus grande échelle pour une meilleure précision et latence des indicateurs d'attaque. Pour plus d'informations, voir Scale Tenable Identity Exposure Services (Évolution des services Tenable Identity Exposure) dans le Guide d'installation Tenable Identity Exposure.
-
Trail Flow
-
Tenable Identity Exposure reçoit rapidement des événements d'Active Directory dès que des modifications surviennent. Cependant, pour les changements à haute fréquence dans les grands groupes, il applique un délai de 10 minutes pour agréger les événements avant de notifier le reste du système, évitant ainsi des problèmes de performances.
-
Il est désormais possible de filtrer les événements de Trail Flow par date et heure.
-
La version 3.59.4 de Tenable Identity Exposure contient tous les correctifs depuis la version 3.42.
La version 3.59.4 sur site de Tenable Identity Exposure offre des améliorations significatives pour protéger votre infrastructure Active Directory. Cette version inclut des mises à jour de certaines dépendances afin de donner la priorité à la sécurité logicielle et garantir que les composants sont à jour pour une meilleure protection. Les composants sont :
-
Storage Manager (SM)
-
Security Engine Node (SEN)
-
Directory Listener (DL)
Nom du logiciel | Composant | Version avant mise à niveau | Version après mise à niveau |
---|---|---|---|
Tenable Identity Exposure | 3.42 | 3.59 | |
C++ 2015-2019 Redistribuable | Tous (inchangé) | 14.24.28127.4 | 14.24.28127.4 |
Pack d'hébergement .NET sur Windows Server | SEN, DL | 6.0.22.23424 | 6.0.27 |
Runtime .NET | SEN, DL | 6.0.22.32824 | 6.0.27 |
ASP.NET Core | SEN, DL | 6.0.22.23424 | 6.0.27 |
IIS URL Rewrite Module 2 | SEN (inchangé) | 7.2.1993 | 7.21993 |
Routage des demandes d'application 3.0 | SEN (inchangé) | 3.0.05311 | 3.0.05311 |
NodeJS | SM, SEN | 18.18.0 | 18.19.0 |
Erlang OTP | SEN | 26.1.1 | 26.2.2 |
RabbitMQ |
SEN |
3.12.6 | 3.12.12 |
SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |