Proteggete la vostra infrastruttura di identità critica dagli attacchi informatici con la piattaforma di rilevamento e risposta alle minacce all'identità (ITDR) più completa del settore per Active Directory e Azure AD.
Proteggere Active Directory e Azure Active Directory è difficile. Le configurazioni errate si accumulano nel tempo, creando vulnerabilità di sicurezza legacy che gli aggressori amano sfruttare: secondo i ricercatori di Mandiant, infatti, 9 cyberattacchi su 10 coinvolgono l'AD. Semperis offre il rilevamento e la risposta più completa alle minacce all'AD ibrido, monitorando continuamente l'ambiente, annullando le modifiche dannose e fornendo una visione unica della postura di sicurezza di AD e Azure AD.
La protezione di Active Directory è difficile a causa della sua complessità e della proliferazione di gruppi ransomware come LockBit e Vice Society che prendono di mira l'AD con nuove tattiche, tecniche e procedure (TTP). Directory Services Protector mette la sicurezza di AD e Azure AD su un pilota automatico con un monitoraggio continuo delle minacce AD, avvisi in tempo reale e funzionalità di rimedio autonome. DSP aiuta a rispondere in modo più efficace agli incidenti di sicurezza AD e agli errori operativi quotidiani.
Monitorare costantemente l'AD per individuare gli indicatori di esposizione (IOE) e gli indicatori di compromissione (IOC) che potrebbero portare alla compromissione dell'AD. Utilizzate le informazioni integrate sulle minacce fornite da ricercatori esperti di sicurezza per scoprire le configurazioni errate più comuni, come le password scadute e gli account di fiducia con vecchie password.
Eseguire automaticamente il rollback delle modifiche dannose nell'AD on-prem. Creare notifiche di audit sulle modifiche rischiose agli oggetti e agli attributi AD sensibili. Arretrare le modifiche indesiderate in Azure AD.
Acquisizione delle modifiche anche in caso di disconnessione della sicurezza, assenza di registri, agenti disattivati o non operativi o modifiche rischiose iniettate direttamente in AD.
Utilizzate il monitoraggio delle modifiche in tempo quasi reale in DSP per Azure AD per monitorare le modifiche alle assegnazioni di ruolo, alle appartenenze ai gruppi e agli attributi degli utenti.
Ripristinare le modifiche di Azure AD in utenti, gruppi e ruoli. Ripristinare gli oggetti utente o gruppo rimasti nel cestino di Azure AD.
Utilizzate modelli di report di conformità precostituiti che si allineano agli standard di conformità più comuni, tra cui GDPR, HIPAA, PCI e SOX.
Portate i dati dettagliati sulla sicurezza di Active Directory - compresi i dati sulle modifiche di Active Directory, i dati di DSP Security Indicator e gli eventi delle regole di notifica di DSP - nelle familiari visualizzazioni di Splunk Enterprise per fornire un contesto significativo e visibilità sulle vulnerabilità dell'intero ambiente.
Utilizzate le nuove cartelle di lavoro per Microsoft Sentinel che consentono di visualizzare dati aggiuntivi da DSP, come i dati sulle modifiche di Active Directory e gli eventi delle regole di notifica di DSP , all'interno delle dashboard di Sentinel.
Active Directory è il servizio di identità principale per il 90% delle aziende in tutto il mondo e fornisce l'autenticazione degli utenti e l'accesso alle applicazioni e ai servizi business-critical. Un attacco che metta fuori uso l'AD (come nel caso del cyberattacco NotPetya del 2017 al gigante delle spedizioni Maersk) può interrompere le operazioni aziendali. A causa delle errate configurazioni e delle vulnerabilità non patchate, l'AD è un obiettivo frequente per gli aggressori, compresi gruppi di ransomware sofisticati come LockBit e Vice Society. I ricercatori di Mandiant stimano che 9 attacchi su 10 coinvolgano AD.
Directory Services Protector (DSP) è una soluzione di rilevamento e risposta alle minacce all'identità (ITDR) riconosciuta da Gartner che mette la sicurezza di Active Directory ibrida su un pilota automatico con un monitoraggio continuo e una visibilità senza precedenti su ambienti AD on-premises e Azure AD, un monitoraggio a prova di manomissione e un rollback automatico delle modifiche dannose.
Negli attacchi basati su AD, l'unica fonte di dati inalterabile è il flusso di repliche AD, che non rientra nell'ambito di osservazione di alcun SIEM. Inoltre, la maggior parte degli strumenti di verifica delle modifiche AD basati su agenti non ha la visibilità necessaria per rilevare e contrastare tali attacchi. Il flusso di repliche AD è l'unico metodo affidabile per rilevare ogni modifica (prima e durante un attacco), indipendentemente dal modo in cui un aggressore potrebbe tentare di coprire le proprie tracce. DSP si integra con qualsiasi soluzione SIEM che consuma dati in formato SYSLOG. DSP si integra inoltre con Microsoft Sentinel e Splunk. Con Microsoft Sentinel, DSP fornisce cartelle di lavoro che consentono di visualizzare dati DSP aggiuntivi all'interno della dashboard di Sentinel, come i dati sulle modifiche di Active Directory e gli eventi delle regole di notifica. L'applicazione DSP Splunk Enterprise fornisce dati dettagliati sulla sicurezza AD nella dashboard Splunk per fornire ulteriore contesto e visibilità sulle vulnerabilità dell'ambiente.
DSP fornisce una valutazione continua delle vulnerabilità di sicurezza nell'ambiente AD on-prem e ibrido, effettuando la scansione di centinaia di Indicators of Exposure (IOEs) e compromessi (IOC) in varie categorie della sicurezza AD, tra cui la sicurezza degli account, i Criteri di gruppo, Kerberos, la delega AD, l'infrastruttura AD e Azure AD. DSP fornisce un dashboard con il punteggio complessivo della postura di sicurezza, i punteggi delle categorie, gli indicatori di sicurezza raggruppati in base alla gravità e una guida prioritaria per la correzione da parte degli esperti di sicurezza AD.
Sì, DSP offre il rollback delle modifiche dannose sia per l'AD on-prem che per l'Azure AD. DSP offre la correzione automatica delle modifiche rischiose nell'AD on-prem per prevenire gli attacchi troppo veloci per l'intervento umano. DSP DSP supporta anche il rollback granulare, consentendo di ripristinare le modifiche a singoli attributi, membri di gruppi, oggetti e contenitori e a qualsiasi momento, non solo a un backup precedente. DSP può anche ripristinare gli oggetti di utenti o gruppi rimasti nel cestino di Azure AD.
DSP è non è intrusivo ed è costruito per essere compatibile con AD. Questo approccio unico cattura le modifiche senza compromettere la stabilità di AD.
DSP è costruito appositamente per AD ed è in grado di supportare anche gli ambienti AD più complessi, comprese le implementazioni multi-organizzazione e multi-foresta. Grandi e piccole organizzazioni si affidano a Semperis per individuare le vulnerabilità delle directory, intercettare i cyberattacchi in corso e riprendersi rapidamente da ransomware e altre emergenze legate all'integrità dei dati.
Sia Microsoft Defender for Identity (MDI) che le soluzioni Semperis svolgono un ruolo fondamentale nella protezione dei sistemi di identità dagli attacchi:
La combinazione delle soluzioni Semperis con Microsoft Defender for Identity (MDI) fornisce una difesa stratificata contro gli attacchi che sfruttano le identità degli utenti e il servizio di identità AD.
Directory Services Protector include modelli di report di conformità che si allineano agli standard di conformità più comuni, tra cui GDPR, HIPAA, PCI e SOX. È possibile importare in DSP singoli pacchetti di conformità per supportare le esigenze dell'organizzazione. È inoltre possibile programmare la generazione e la distribuzione ricorrente di qualsiasi report di DSP , compresi i report di conformità.
Il metodo di valutazione Directory Services Protector comprende vari fattori, tra cui le potenziali conseguenze di una vulnerabilità sfruttata, la facilità di sfruttamento e la prevalenza complessiva. In base a questi fattori, a ogni indicatore viene assegnato un punteggio di gravità (livello e numero) che riflette il potenziale impatto sulla sicurezza, sulla disponibilità e sulle prestazioni. La valutazione della gravità viene poi utilizzata nella formula del punteggio per calcolare il rischio complessivo posto dalla vulnerabilità.
DSP consente di aggiungere singoli oggetti o condizioni che rappresentano un rischio noto a un elenco di ignoranza, in modo che non attivino più un avviso in DSP o influenzino il punteggio complessivo della postura di sicurezza. Questo approccio consente di valutare accuratamente il rischio e di accelerare la correzione.