Die Erkennung eines laufenden Cyberangriffs ist ein wesentlicher Bestandteil jeder Sicherheitsstrategie. Es wird jedoch immer schwieriger, böswillige Angreifer zu erkennen, die sich durch Lücken im Identitätssystem Zugang zu Informationssystemen verschaffen und sich dann heimlich durch die Umgebung bewegen - oft wochen- oder monatelang unentdeckt - bevor sie Malware absetzen. Um Angriffe auf Identitätssysteme zu erkennen, verlassen sich viele Unternehmen auf die Konsolidierung von DC-Ereignisprotokollen und SIEM-Lösungen. Einige Angriffstechniken hinterlassen jedoch keine Beweise für bösartige Aktivitäten.
In dieser Sitzung wird Tal Sarid einige Angriffstechniken vorstellen, mit denen herkömmliche Überwachungslösungen umgangen werden können.
Sie erhalten einen Leitfaden zum Schutz vor Cyberangriffen, die keine Spuren hinterlassen:
- Verständnis der Funktionsweise gängiger Angriffstechniken, die die Protokollierung umgehen, darunter DCShadow, Policy (wie im Fall der Ryuk-Ransomware) und Zerologon-Angriffe
- So schützen Sie Ihr Active Directory proaktiv vor „Leave-no-Trace“-Angriffen, indem Sie den Replikationsverkehr der Domänencontroller im Blick behalten, um Änderungen an Policy an bestimmten Objekten zu erkennen
- Wie man bösartige Änderungen an AD rückgängig macht
- Wie Sie mit gezielter forensischer Analyse schneller auf bösartige Änderungen reagieren können, sobald diese entdeckt wurden
