Directory Services Protector

Directory Services Protector (DSP) es una solución de detección y respuesta a amenazas de identidad (ITDR) reconocida por Gartner que pone la seguridad de Active Directory híbrido en piloto automático con supervisión continua y visibilidad sin precedentes en los entornos AD y Entra ID locales, seguimiento a prueba de manipulaciones y reversión automática de cambios maliciosos.

Sí: la función Identity Runtime Protection DSPutiliza modelos de aprendizaje automático desarrollados por expertos en seguridad de identidades para detectar tipos de ataques de alto riesgo, como el «password spraying», el «credential stuffing», otros intentos de fuerza bruta y anomalías peligrosas, y los señala como incidentes con un contexto de investigación detallado.

La función «Protección de cuentas de servicio» DSPdetecta y cataloga las cuentas de servicio, las supervisa continuamente mediante indicadores de seguridad especializados, señala las cuentas obsoletas o mal configuradas y avisa de comportamientos maliciosos o anómalos para reducir el riesgo de acceso no autorizado a través de estas identidades no humanas de gran valor.

En los ataques basados en AD, la única fuente de datos inalterable es el flujo de replicación de AD, que queda fuera del alcance de cualquier sistema SIEM. Además, la mayoría de las herramientas de auditoría de cambios en AD basadas en agentes carecen de la visibilidad necesaria para detectar y frustrar este tipo de ataques. El flujo de replicación de AD es el único método fiable para detectar todos los cambios (antes y durante un ataque), independientemente de cómo intente el atacante borrar sus huellas. DSP datos enriquecidos de cambios de AD y Entra ID, resultados de indicadores de seguridad y eventos de reglas de notificación a las plataformas SIEM —incluidas integraciones específicas para Microsoft Sentinel y Splunk— para que los equipos del SOC obtengan señales de identidad híbridas a prueba de manipulaciones junto con el resto de su telemetría de seguridad.

DSP proporciona una evaluación continua de las vulnerabilidades de seguridad en su entorno AD on-prem e híbrido, escaneando cientos de Indicators of Exposure (IOEs) y comprometiendo (IOCs) a través de varias categorías de seguridad AD, incluyendo seguridad de cuentas, Política de Grupo, Kerberos, delegación AD, infraestructura AD, y Entra ID. DSP proporciona un panel de control de la puntuación global de la postura de seguridad, puntuaciones de categoría, indicadores de seguridad agrupados por gravedad, y orientación de remediación priorizada de expertos en seguridad AD.

Sí. DSP solo revierte los cambios maliciosos en Active Directory local y Entra ID, sino que, mediante reglas de alerta y respuesta, también puede exigir cambios de contraseña, desactivar cuentas comprometidas y activar acciones automatizadas adicionales cuando los ataques se producen con demasiada rapidez como para que pueda intervenir un operador humano.

DSP es no intrusivo y está diseñado para ser compatible con AD. Este enfoque único registra los cambios sin comprometer la estabilidad de AD. 

DSP está diseñado específicamente para AD y puede soportar incluso los entornos AD más complejos, incluyendo despliegues multiorganización y multiforestales. Organizaciones grandes y pequeñas confían en Semperis para que les ayude a detectar vulnerabilidades en los directorios, interceptar ciberataques en curso y recuperarse rápidamente de ransomware y otras emergencias relacionadas con la integridad de los datos. Con un procesamiento optimizado para algunas de las organizaciones más grandes del mundo, DSP puede gestionar el gran volumen de cambios diarios y horarios que son habituales en los entornos AD masivos. 

Tanto Microsoft Defender for Identity (MDI) como las soluciones de Semperis desempeñan un papel fundamental en la protección de los sistemas de identidad frente a los ataques:

• MDI utiliza análisis basados en el usuario (UBA) para supervisar y alertar sobre los comportamientos de los usuarios que se ajustan a los modelos conocidos de ataque a la identidad de los usuarios.
• Semperis protege todo el servicio AD híbrido -el vector de ataque común en el 90 por ciento de los incidentes- con tecnología patentada diseñada específicamente para prevenir, mitigar y recuperarse de los ataques basados en identidades.

La combinación de las soluciones de Semperis con Microsoft Defender for Identity (MDI) proporciona una defensa en capas contra los ataques que explotan las identidades de los usuarios y el servicio de identidad de AD.

Directory Services Protector incluye plantillas de informes de cumplimiento que se ajustan a las normas de cumplimiento habituales, como GDPR, HIPAA, PCI y SOX. Puede importar paquetes de cumplimiento individuales a DSP para satisfacer las necesidades de su organización. También puede programar cualquier informe de DSP , incluidos los informes de cumplimiento, para su generación y distribución periódicas.

El método de puntuación de Directory Services Protector comprende varios factores, como las consecuencias potenciales de una vulnerabilidad explotada, la facilidad de explotación y la prevalencia general. En función de estos factores, se asigna a cada indicador una calificación de gravedad (nivel y número) que refleja el impacto potencial en la postura de seguridad, la disponibilidad y el rendimiento. El índice de gravedad se utiliza en la fórmula de puntuación para calcular el riesgo global que plantea la vulnerabilidad.

DSP le permite añadir objetos o condiciones individuales que constituyen un riesgo conocido a una lista de ignorados para que ya no activen una alerta en DSP ni afecten a la puntuación global de la postura de seguridad. Este enfoque le ayuda a evaluar con precisión el riesgo y acelerar la corrección.