Prevención y recuperación guiada de catástrofes AD

Servicios expertos de preparación y respuesta ante brechas

Contrate a los principales expertos mundiales en ciberseguridad de Active Directory para desarrollar e implantar una preparación y respuesta integrales ante ciberataques contra AD.

Guía experta para proteger Active Directory antes, durante y después de un ataque

Active Directory es el vector de ataque número 1 en el panorama de las amenazas a la ciberseguridad porque es un objetivo lucrativo para los ciberdelincuentes. Como servicio de identidad principal para el 90% de las organizaciones de todo el mundo, AD proporciona autenticación de usuarios y acceso a aplicaciones y servicios críticos para la empresa. Un compromiso de AD puede causar semanas de inactividad. Las organizaciones que no protegen adecuadamente AD es probable que acaben pagando un rescate para restaurar los datos y reanudar las operaciones de negocio.

Threatpost:
1.400 millones de dólares
pago del seguro a Merck por las pérdidas sufridas en el ataque NotPetya
Informe de Defensa Digital de Microsoft:
1 hora, 42 minutos
el tiempo medio para que un atacante comience a moverse lateralmente después de comprometer el dispositivo
Statista:
20 días
tiempo medio de inactividad tras un ataque de ransomware
Informe de Defensa Digital de Microsoft:
34.700 millones de euros
amenazas de identidad bloqueadas por Microsoft en 1 año



Servicios de preparación y respuesta ante AD de las principales autoridades de seguridad de identidad del sector

Semperis, pionera en ciberresiliencia basada en identidades para empresas, ofrece servicios de preparación y respuesta ante infracciones, que combinan los conocimientos de expertos en seguridad de Active Directory (AD) y respuesta ante incidentes (IR) con soluciones líderes del sector para prevenir, remediar y recuperarse de ataques a AD. Estos servicios le permiten aprovechar la experiencia de Semperis antes, durante y después de un ataque, para que pueda beneficiarse de las décadas de experiencia combinada de nuestro equipo en la respuesta a incidentes cibernéticos.

Servicios de preparación

Adelántese a los atacantes con servicios expertos de preparación ante infracciones, incluidos programas integrales para descubrir puntos débiles de seguridad en su infraestructura AD y mejorar la postura de seguridad general.

  • Evaluación de la seguridad de Active Directory (ADSA)
  • Mitigación de amenazas AD
  • Planificación y ejercicios de recuperación de desastres de AD

Servicios de respuesta

Con 100 años de experiencia combinada como MVP de Microsoft en servicios de directorio, nuestro equipo sabe de primera mano dónde están los problemas en el caso de un ataque a AD. de un ataque a AD, junto con una profunda experiencia y conocimientos en limpieza de AD, mitigación de riesgos y corrección de amenazas. La experiencia colectiva del equipo abarca desde el diseño, la configuración y la protección de Active Directory hasta la investigación de vulnerabilidades y las pruebas de penetración de equipos rojos. Nuestro equipo también ayuda a las organizaciones a recuperar Active Directory de ataques de ransomware y amenazas internas.

  • Recuperación AD con prioridad cibernética
  • Investigación de incidentes AD y análisis forense de ataques
  • Eliminación de amenazas AD


Evite un desastre cibernético de AD con una preparación experta contra las infracciones

Active Directory es un sistema complejo con numerosas opciones y características configurables, lo que dificulta su protección. Los fallos de diseño, los errores operativos y las configuraciones erróneas se acumulan a lo largo de los años para crear una deuda técnica que a menudo es difícil de abordar y expone a AD a un espectro de ataques. Estas vulnerabilidades convierten a AD en el camino de menor resistencia para que un atacante llegue a sistemas críticos y datos confidenciales. Nuestro equipo ayuda con dos pasos importantes para reducir la probabilidad de que un atacante consiga destruir o cifrar su entorno: En primer lugar, encontrar configuraciones erróneas y rutas de ataque que un atacante podría aprovechar para poner en peligro su entorno. En segundo lugar, prepararse para el peor de los casos: que un atacante destruya o bloquee a sus administradores y usuarios en AD. El equipo de Breach Preparedness & Response Services de Semperis le ayuda a identificar y cerrar rutas de ataque en su entorno de AD y Azure AD con evaluaciones de seguridad de Active Directory, mitigación de amenazas de AD y planificación y ejercicios de recuperación ante desastres (DR) de AD.

Evaluación de la seguridad de Active Directory

La evaluación de la seguridad de Active Directory (ADSA) le ofrece una imagen clara de su postura de seguridad de AD y una hoja de ruta para abordar las exposiciones a nivel estratégico, operativo y táctico. Nuestros expertos en seguridad de AD utilizan entrevistas, cuestionarios y varias herramientas de análisis automatizadas y manuales para llevar a cabo la evaluación.

Mitigación de amenazas AD

Este servicio ayuda a las organizaciones a prevenir y prepararse para un ataque. Desarrollado para los clientes de Semperis Directory Services Protector (DSP), este servicio incluye una evaluación anual estándar de la seguridad de Active Directory, sesiones periódicas de reducción de la superficie de ataque y una optimización a medida de DSP, la solución de detección y respuesta ante amenazas de AD de Semperis reconocida por Gartner.

Planificación y ejercicios de RD

Este servicio ayuda a las organizaciones a alinear los parámetros del objetivo de tiempo de recuperación (RTO) y del objetivo de punto de recuperación (RPO) e identifica las dependencias implícitas que podrían dificultar la ejecución del plan durante un incidente. Este esfuerzo incluye una revisión del plan de recuperación, un taller de planificación y una prueba de estrés del plan de recuperación, incluida una encriptación simulada de la organización.



Evaluación de la seguridad de Active Directory

Semperis se une a la Asociación de Seguridad Inteligente de Microsoft, ampliando la colaboración para combatir las ciberamenazas relacionadas con la identidad
Revisión de la arquitectura de seguridad

La revisión de la arquitectura de seguridad es una revisión de alto nivel del entorno y de las consideraciones que llevaron al diseño actual. El equipo de Semperis realiza entrevistas con los miembros clave de su equipo y un recorrido por los artefactos relevantes, como los diagramas de arquitectura. Antes de cada entrevista, su equipo cumplimenta un cuestionario de recopilación de información que ayuda al equipo de Semperis a dirigir la entrevista a las áreas de interés, obtener la información que falta y asegurarse de que las personas adecuadas están presentes en la entrevista. Los principales aspectos captados o producidos en esta fase son:

  • Estructura forestal AD
  • Relaciones de confianza
  • Límites de seguridad
  • Activos de nivel 0 y dependencias de seguridad
  • Infraestructura de recuperación en caso de catástrofe
Revisión de los procedimientos operativos

La revisión de procedimientos operativos es una evaluación de sus procedimientos operativos actuales. El equipo de Semperis lleva a cabo esta revisión mediante entrevistas con los miembros clave de su equipo y un recorrido por los artefactos relevantes, como diagramas de flujo, scripts, etc. Al igual que con la revisión de la arquitectura de seguridad, antes de cada entrevista su equipo rellenará un cuestionario que ayudará al equipo de Semperis a dirigir la entrevista a las áreas de interés, recopilar la información que falte y garantizar que las personas adecuadas estén presentes en la entrevista. Los principales elementos capturados o producidos en esta etapa son:

  • Proceso de provisión y desprovisión de activos de nivel 0
  • Procedimientos de gestión y mantenimiento de los activos de nivel 0
  • Procedimientos de gestión de accesos privilegiados
  • Procedimientos de acceso para las dependencias de seguridad de nivel 0
  • Descubrimiento de activos adicionales de nivel 0
  • Procedimientos de recuperación en caso de catástrofe y sus dependencias
Equipo de Preparación y Respuesta ante Brechas (BP&R) de Semperis
Revisión de la configuración de seguridad

En la Revisión de la configuración de seguridad, el equipo de Semperis utiliza herramientas automatizadas (como Purple Knight, una herramienta de evaluación de la seguridad de AD creada por expertos de Semperis) y métodos manuales para identificar indicadores de exposición (IOE) e indicadores de compromiso (IOC) en su entorno de AD. Los elementos capturados o producidos en esta etapa son:

  • Indicadores identificados por el escáner Purple Knight
  • Revisión manual de los indicadores que no se aplican actualmente en Purple Knight
  • Revisión de GPO mediante herramientas de código abierto
  • Identificación automática de cuentas ocultas
Ruta de análisis del ataque

El análisis de rutas de ataque tiene como objetivo identificar rutas de ataque peligrosas o no intencionadas a activos de nivel 0 y otros activos críticos. Los atacantes podrían abusar de estas rutas para elevar privilegios y podrían introducir estas rutas para instalar persistencia de dominio y recuperar acceso privilegiado. En esta etapa, el equipo de Semperis recopila y analiza datos utilizando herramientas de código abierto e internas. Los elementos capturados o producidos en esta etapa son:

  • Vías de ataque desde fuera del nivel 0 al nivel 0
  • Derechos delegados anormales
  • Los "hervideros" de la administración
  • Hosts y objetos con alta accesibilidad, es decir, expuestos a muchos usuarios.
Equipo de Preparación y Respuesta ante Brechas (BP&R) de Semperis
Análisis e informes

En la fase de análisis y elaboración de informes, el equipo de Semperis recopila los datos y conclusiones de la evaluación en un informe práctico que describe el estado actual, proporciona un estado recomendado alcanzable para el entorno y ofrece una hoja de ruta para lograr el estado recomendado. La hoja de ruta incluye "líneas de esfuerzo" y "líneas de operación" para alcanzar el estado recomendado:

  • La "línea de esfuerzo" representa un impulso interno para mejorar la postura de seguridad del entorno AD
  • "Línea de operación" representa un impulso para contener y erradicar a un actor de la amenaza del entorno, que podría ser aplicable si se identifica una amenaza durante la evaluación.
Ciberseguridad 2020: El peligro del ransomware
Planificación de la rehabilitación

Semperis ofrece talleres opcionales de planificación de correcciones con nuestros expertos en seguridad AD. Estos talleres pueden tener lugar después o durante la evaluación para abordar con prontitud los problemas críticos y los que no se hayan detectado con anterioridad. En estas sesiones de consultoría interactivas, los expertos de Semperis trabajan con su equipo de AD para:

  • Planificar y aplicar medidas correctoras
  • Explorar alternativas
  • Identificar otras tácticas correctoras

Ataque Mitigación de amenazas del directorio

Recovery for Azure AD
Reducción de la superficie de ataque

El servicio de reducción de la superficie de ataque es un esfuerzo periódico que implica un ADSA estándar anual y sesiones trimestrales en las que los expertos de Semperis trabajan con usted para analizar los IOC, IOE e indicadores de ataque (IOA) recopilados por DSP, así como los datos recogidos con otras herramientas. El equipo de Semperis proporcionará recomendaciones para reducir la superficie de ataque y eliminar las exposiciones de seguridad en el entorno de AD. Además, el equipo de Semperis podría realizar un análisis de rutas de ataque para identificar rutas de ataque peligrosas o no intencionadas a activos de nivel 0 y otros activos críticos, así como derechos delegados anómalos.

Optimización de la detección y la protección

Diseñado para los clientes de Semperis Directory Services Protector (DSP), este servicio garantiza que la implantación de DSP está optimizada para satisfacer sus requisitos de protección de AD. El objetivo es maximizar el resultado de su postura de seguridad, garantizando que DSP proporcione una protección adaptada a su entorno. Esta revisión de optimización se alinea con las mejores prácticas de Semperis, que incluyen:

  • Revisión de la configuración de su despliegue de DSP , instalación de notificaciones, configuración de bases de datos, reglas de respuesta automática, integraciones con soluciones de terceros (por ejemplo, SIEM) y definiciones específicas del entorno (por ejemplo, cuentas sensibles, política de respuesta).
  • Análisis de los datos recogidos por DSP para identificar indicadores de actividad sospechosa y de compromiso potencial.
  • Ejecución de un plan de pruebas Directory Services Protector para comprender todas las capacidades del producto.

Planificación y ejercicio de recuperación ante desastres de Active Directory

Recovery for Azure AD
Revisión del plan de recuperación

Los expertos de Semperis revisan su plan de recuperación ante desastres de AD existente para comprender los objetivos empresariales, el SLA, los escenarios de desastre y los métodos actualmente en vigor para recuperar AD en caso de desastre.

Recovery for Azure AD
Taller de planificación

Los expertos de Semperis trabajan con usted para analizar sus objetivos empresariales en caso de desastre, como los objetivos de punto de recuperación/tiempo de recuperación, los sitios remotos, el número de usuarios que necesitan acceso inicial y la prioridad de recuperación del entorno en caso de desastre en varios bosques. El taller también traza las dependencias para el proceso de recuperación. El equipo de Semperis le ayudará a planificar diferentes escenarios de desastres cibernéticos y operativos como parte del taller, incluida la revisión del almacenamiento fuera de línea/copias de seguridad externas, la recuperación de copias de seguridad en línea cuando sea necesario y actividades de recuperación similares. El resultado del taller es un plan de recuperación de AD documentado y listo para presentar a los propietarios de la empresa, que incluye:

  • Definición del SLA de recuperación
  • Determinación del tiempo medio de recuperación (MTTR)
  • Mapeo de las aplicaciones empresariales necesarias para apoyar los objetivos centrales de la empresa
Recovery for Azure AD
Ejercicio de recuperación en caso de catástrofe AD

Recomendamos realizar una prueba completa de su plan de recuperación ante desastres de AD al menos una vez al año o cuando se produzca un cambio importante en la configuración de AD. El ejercicio de recuperación ante desastres de Active Directory incluye un cifrado simulado de toda la organización y el proceso de recuperación y recuperación del control sobre AD. Durante este ejercicio, los expertos de Semperis recuperan sus copias de seguridad de producción en un entorno de laboratorio aislado. Al final del ejercicio, el equipo de Semperis proporciona un informe que describe los resultados de la prueba y documenta los problemas, para luego revisar el plan de DR en consecuencia. Puede utilizar este informe para cumplir los requisitos de gobernanza y conformidad.



Acelerar la recuperación ante desastres de AD

Si se produce una violación de AD, el tiempo corre en su contra. Las organizaciones que están sufriendo un ciberataque en curso se encuentran bajo una presión sin precedentes. Cuando un ataque tiene como objetivo el sistema de identidad, la mayoría de las operaciones críticas no pueden funcionar hasta que se reconstruya y vuelva a ser fiable. Y reconstruir la identidad puede llevar semanas, mientras todo lo demás espera. Semperis ofrece servicios de respuesta a incidentes AD de primera clase, incluida la recuperación ante desastres cibernéticos, la investigación de incidentes AD y el análisis forense de ataques.

Recuperación de Active Directory de Cyber-First

Si su entorno de AD está gravemente dañado, los expertos de Semperis utilizan Active Directory Forest Recovery (ADFR) para realizar una recuperación parcial o total del bosque en una infraestructura nueva y aislada, sin arrastrar código ejecutable del sistema operativo de los DC. Este enfoque elimina la reintroducción de malware. El proceso de recuperación incluye el restablecimiento de la funcionalidad de AD basándose en los procedimientos desarrollados en la planificación de DR de Active Directory.

Investigación y análisis forense de incidentes AD

Tras un incidente de seguridad que afecta negativamente a AD, el primer paso crucial para la recuperación es investigar si detrás del incidente había intenciones e inteligencia maliciosas, constituyendo un ataque. Nuestros expertos utilizan Semperis Directory Solutions Protector (DSP) y otras herramientas para analizar los datos de replicación de AD y los registros de eventos correspondientes y recomendar el mejor curso de acción para erradicar por completo la amenaza del entorno AD.

Eliminación de amenazas de Active Directory

Tras una investigación forense de un ataque AD, los expertos de Semperis recomiendan pasos para recuperar el control del entorno AD y eliminar la amenaza, incluyendo la erradicación de los actores de la amenaza y los objetos comprometidos/expuestos para evitar que el atacante recupere el control, la realización de una evaluación de seguridad para identificar vulnerabilidades y exposiciones posteriores a la contención, y la provisión de pasos de mitigación para la reducción de la superficie de ataque AD.

¿Incluye su plan de recuperación ante desastres Active Directory?

AD es un objetivo habitual de los ciberatacantes

La mayoría de las organizaciones cuentan con planes de continuidad de negocio. Pero estos planes rara vez tienen en cuenta los escenarios en los que el malware acaba con la infraestructura de identidad de la empresa, de la que Active Directory (AD) es un componente central en el 90% de las organizaciones de todo el mundo. Los ciberdelincuentes atacan deliberadamente a AD porque esa táctica funciona.

  • Según Gartner, el uso indebido de credenciales es ahora la principal técnica utilizada en los ataques.
  • Los investigadores de Mandiant informan de que la AD está implicada en 9 de cada 10 ataques que investigan.
  • Según Enterprise Management Associates (EMA), el 40% de los intentos de ataque tienen éxito.
7 errores de configuración de AD que hay que detectar y corregir ahora

Con el respaldo de los mayores expertos mundiales en identidad

Ningún vendedor o proveedor de servicios puede igualar la experiencia colectiva de los MVP de Microsoft de Semperis en servicios de directorio y directivas de grupo. El equipo de Breach Preparedness and Incident Response (BP&R) de Semperis está formado por MVP de Microsoft y antiguos Premier Field Engineers (PFE) de Microsoft con una trayectoria inigualable en la protección de los entornos de Active Directory más sensibles del mundo y una profunda experiencia en AD on-prem, Azure AD, Okta y otros sistemas de identidad empresarial.

ESCENARIO 1

Active Directory comprometido, no caído, pero solucionable

Los expertos en respuesta a incidentes de Semperis se centran en evaluar el entorno AD actual, cerrar las brechas de seguridad existentes, erradicar el acceso de los actores de amenazas y crear una copia de seguridad AD limpia.

La debilidad sistémica hace de AD un objetivo fácil
ESCENARIO 2

Active Directory comprometido, no caído, no reparable

El objetivo aquí es llevar a cabo rápidamente una evaluación de seguridad de AD, recuperar AD a un entorno aislado, llevar a cabo la eliminación de amenazas, y restaurar AD a un entorno limpio.

ESCENARIO 3

Active Directory caído (escenario más común)

El primer paso es recuperar AD en un entorno aislado y llevar a cabo un análisis forense de la brecha y su reparación, seguido de una evaluación de AD, eliminación de amenazas y recuperación a producción.

Cómo ayuda Semperis a hacer frente a las cibercatástrofes de AD

Para ayudarle a responder a un ataque en curso, Semperis combina los conocimientos de expertos en seguridad de identidades y respuesta a incidentes con soluciones líderes del sector para proteger el Active Directory híbrido de las organizaciones antes, durante y después de un ciberataque. Obtendrá una respuesta inmediata y experta al incidente actual y una evaluación y corrección completas para protegerse frente a futuras amenazas.

ESCENARIO 1: AD comprometido, no caído pero solucionable
Fase 1: Evaluación de la EA
  • Crear copia de seguridad del entorno AD actual
  • Supervise y detecte todos los cambios de AD
  • Recopilar información sobre la configuración actual de AD
  • Realizar análisis de datos cualitativos
  • Identificar vulnerabilidades, errores de configuración y IOE/IOC.
Fase 2: Eliminación de amenazas
  • Erradicar el acceso de los actores de amenazas, los IOE y los IOC
  • Reducir la superficie de ataque de AD
  • Copia de seguridad de un entorno AD limpio
ESCENARIO 2: AD comprometido, no caído y no reparable
Fase 1: Evaluación de la EA
  • Crear copia de seguridad del entorno AD actual
  • Supervise y detecte todos los cambios de AD
  • Recopilar información sobre la configuración actual de AD
  • Realizar análisis de datos cualitativos
  • Identificar vulnerabilidades, errores de configuración y IOE/IOC.
Fase 2: Recuperación AD
  • Recuperar AD en un entorno aislado
  • Crear una réplica de AD a prueba de manipulaciones
  • Investigar la infracción y buscar soluciones
  • Elaborar una hoja de ruta para mejorar la seguridad
Fase 3: Eliminación de amenazas
  • Erradicar el acceso de los actores de amenazas, los IOE y los IOC
  • Reducir la superficie de ataque de AD
  • Copia de seguridad de un entorno AD limpio
ESCENARIO 3: Active Directory no funciona
Fase 1: Recuperación AD
  • Recuperar AD en un entorno aislado
  • Crear una réplica de AD a prueba de manipulaciones
  • Investigar la infracción y buscar soluciones
Fase 2: Evaluación de la EA
  • Crear copia de seguridad del entorno AD actual
  • Supervise y detecte todos los cambios de AD
  • Recopilar información sobre
  • Realizar análisis de datos cualitativos
  • Identificar vulnerabilidades, errores de configuración y IOE/IOC.
  • Elaborar una hoja de ruta para mejorar la seguridad
Fase 3: Eliminación de la amenaza
  • Erradicar el acceso de los actores de amenazas, los IOE y los IOC
  • Reducir la superficie de ataque de AD
  • Crear copia de seguridad del entorno AD limpio
Fase 4: Vuelta a la producción
  • Restaurar AD en un entorno de producción limpio

Semperis cuenta con una experiencia inigualable en respuesta a infracciones de AD

Sanidad

Directory Services Protector cumple lo prometido, pero el verdadero valor de la incorporación de Semperis fue su personal y su profundo conocimiento de AD y de los ataques basados en AD.

Más información Director de Tecnología Práctica Médica de Especialidad Ortopédica
Frost Sullivan

Semperis cuenta con una experiencia inigualable en la preparación contra brechas y la respuesta ante incidentes relacionados con Active Directory y otros ciberataques basados en identidad. El enfoque basado en soluciones de Semperis se centra no solo en su tecnología de primer nivel para responder a los retos de los clientes, sino también en las mejores prácticas y orientación para las personas y los procesos, lo que les diferencia de sus competidores.

Más información Sarah Pavlak Frost & Sullivan
Amoco Federal Credit Union

Semperis fue capaz de realizar copias de seguridad y restaurar AD con una rapidez increíble. Durante nuestras pruebas, pudimos realizar una copia de seguridad y restaurar nuestro Active Directory en 20 minutos en un centro de datos completamente diferente con un tiempo de inactividad mínimo. En un escenario de copia de seguridad normal, esto podría llevar entre 24 y 36 horas.

Paul Ladd Vicepresidente de Sistemas y Tecnología de la Información de AMOCO Federal Credit Union
Perspectivas de Gartner

Tenemos muchos cambios ocurriendo en nuestro entorno Active Directory, adición de servidores Linux, etc... [Directory Services Protector] nos ayuda a monitorizar y revertir cambios peligrosos con un solo clic.

Leer la reseña Miembro del equipo de TI, organización empresarial
Perspectivas de Gartner

¡La mejor herramienta de recuperación de AD en caso de ataque de ransomware!

Leer la reseña Director de Directorios y Soluciones IAM, Seguridad de TI y Gestión de Riesgos Organización Bancaria Empresarial
Consultoría

Con ADFR, sabía que no tendría que pasar horas y horas haciendo clic en los procedimientos y reintroduciendo potencialmente el malware. Poder aprovechar ADFR en las tres primeras horas de la respuesta al incidente me ahorró probablemente entre dos y tres semanas.

Director de Seguridad

Obtenga ayuda en caso de infracción de AD

Hable con nuestro equipo experto en respuesta a incidentes de AD para actuar con rapidez ante un ataque en curso o para desarrollar un plan que mejore su postura general de seguridad.

Contacte con nuestro equipo