Eran Gewurtz | Direttore della gestione dei prodotti

Gli account di servizio compromessi sono al centro degli attacchi di cybersicurezza più distruttivi della storia. L'attacco NotPetya del 2017 al gigante farmaceutico Merck rimane uno dei più costosi attacchi informatici conosciuti, con danni superiori a 1,4 miliardi di dollari. L'accesso iniziale è stato ottenuto compromettendo un account di servizio per l'esecuzione di patch del sistema operativo. L 'episodio del nostro HIP Podcast tratta la vicenda in dettaglio.

Nell'ultima releasedi Directory Services Protector DSP DSP 5.0 - abbiamointrodotto un nuovo modulo per gli account di servizio che amplia la capacità di scoprire, monitorare, governare e proteggere gli account di servizio.

Abbiamo anche aggiunto altre opzioni per incorporare la protezione DSP e Active Directory (AD) nei flussi di lavoro e nei processi esistenti. Nuove azioni automatiche e la possibilità di importare oggetti AD in elenchi di oggetti consentono di semplificare il monitoraggio e la gestione. Inoltre, questa versione include diversi miglioramenti critici per la sicurezza.

Perché la protezione degli account di servizio è essenziale per ridurre il rischio di violazione?

Per loro stessa natura, gli account di servizio sono obiettivi ovvi per gli aggressori. Il loro ruolo critico nei processi aziendali fondamentali, combinato con l'uso di password statiche e privilegi eccessivi, nonché la tendenza a essere lasciati in funzione e dimenticati molto tempo dopo il ritiro delle applicazioni associate, rende gli account di servizio punti di ingresso ideali.

Se si aggiunge il fatto che molti sistemi di identità includono account di servizio creati decenni fa da dipendenti andati in pensione da tempo, per cui nessuno in azienda sa cosa fanno o dove trovarli, si ottiene un vero e proprio incubo di governance e sicurezza.

A causa della loro complessità, la protezione degli account di servizio richiede un approccio su più fronti, ed è qui che DSP brilla.

Iniziate con una sofisticata protezione degli account di servizio

Il modulo di protezione degli account di servizio potenzia le funzionalità di DSPscoprendo continuamente account di servizio sconosciuti e mal posizionati, rilevando account obsoleti e mal configurati, facendo emergere configurazioni rischiose ed esposizioni critiche e segnalando comportamenti dannosi e anomali.

Il nostro ultimo modulo semplifica la gestione degli account di servizio e vi garantisce la massima tranquillità.

Interventi rapidi con regole di risposta automatizzate

La funzione di annullamento automatico di DSPè stata notevolmente migliorata e ora offre nuove capacità di risposta rapida. Con le nuove azioni di risposta, è possibile configurare i set di regole per rilevare attività dannose o comportamenti anomali e agire in tempo reale, molto più rapidamente dell'intervento umano. DSP annullerà le modifiche o addirittura disabiliterà un account malintenzionato prima che si verifichino danni.

Le risposte automatiche possono anche integrarsi con altri sistemi, come i sistemi di ticketing o gli strumenti di gestione dei flussi di lavoro, semplificando la gestione degli incidenti in generale.

Semplificare i processi e il monitoraggio con gli elenchi di oggetti

Con DSP 5.0, è possibile semplificare l'amministrazione raggruppando oggetti AD simili in elenchi di oggetti. È possibile aggiornare automaticamente gli elenchi di oggetti da AD o da sistemi esterni come un RDBMS, quindi utilizzarli per creare regole, monitorare le modifiche, generare report e filtrare i dati.

Gli elenchi di oggetti offrono un modo semplice e dinamico per gestire i dati e individuare l'ambito giusto.

Accelerare l'analisi del percorso di attacco

Le relazioni tra gli oggetti, i presidi, i computer, gli utenti, le autorizzazioni e le configurazioni in Active Directory formano una matrice complessa di interdipendenze. Gli aggressori spesso sfruttano questa complessità per aumentare i privilegi, il che può consentire loro di assumere il controllo dell'ambiente AD.

Il modulo di analisi dei percorsi di attacco combina la potenza di Forest Druid (lo strumento di gestione dei percorsi di attacco della comunità di Semperis) con le capacità di DSP per evidenziare e aiutare a proteggere i percorsi di attacco che possono portare alla compromissione dell'AD, aiutandovi a stare davanti agli aggressori.

DSP convalida continuamente la sicurezza del vostro sistema di identità

Mantenere la sicurezza di AD ed Entra ID è una sfida continua. DSP mette il pilota automatico alla sicurezza di Active Directory ibrida con un monitoraggio continuo e una visibilità senza precedenti sugli ambienti AD ed Entra ID on-premises.

DSP consente ai professionisti della sicurezza e ai team operativi della sicurezza di ottenere in modo proattivo il controllo della sicurezza di AD e Entra ID:

  • Convalida continua della postura di sicurezza di AD e Entra ID.
  • Ridurre al minimo la superficie di attacco dell'identità
  • Individuazione di attacchi ibridi avanzati, difficili da identificare con il rilevamento basato sui log nei SIEM.
  • Rollback automatico di modifiche AD e Entra ID dannose che spesso avvengono troppo velocemente per l'intervento umano.
  • Fornisce registrazioni a prova di manomissione per consentire ai team di risposta agli incidenti di cercare, correlare e isolare gli account AD compromessi e rimuovere la persistenza del malware.

Il team di prodotti DSP si concentra sull'innovazione continua, sulla risoluzione dei problemi e sul potenziamento dei difensori della sicurezza delle identità. Gli ultimi miglioramenti supportano gli sforzi per proteggere gli account di servizio, automatizzare le risposte alle attività dannose e semplificare l'analisi dei percorsi di attacco, rafforzando la resilienza informatica dell'organizzazione.

Risorse aggiuntive