Traccia e correggi le modifiche dannose a Active Directory

Audit delle modifiche di Active Directory e rollback

Verifica e correzione delle modifiche dannose in Active Directory e Entra ID.

Blocca gli attacchi ad Active Directory in rapida evoluzione

Sofisticati gruppi di ransomware-as-a-service (RaaS) stanno prendendo di mira Active Directory, il servizio di identità principale per il 90% delle organizzazioni in tutto il mondo, con attacchi che si muovono attraverso le reti con una velocità sorprendente. Per bloccare gli attacchi, le organizzazioni devono tenere traccia delle modifiche dannose in tempo reale e ripristinarle rapidamente.

Rapporto Semperis:
73%
delle organizzazioni non sono sicure di poter prevenire gli attacchi Entra ID
I pen-tester riescono a compromettere l'AD nell'
82%
dei loro tentativi, secondo Enterprise Management Associates
Rapporto Microsoft Digital Defense:
1 ora, 42 minuti
il tempo mediano in cui un attore dell'attacco inizia a muoversi lateralmente dopo la compromissione del dispositivo
7 minuti
il tempo necessario all'attacco NotPetya del 2017 per paralizzare la rete Maersk; il recupero di Active Directory ha richiesto 9 giorni.

Difendi Active Directory con l'auditing avanzato delle modifiche e òe procedure di remediation

L'audit e la correzione delle modifiche dannose in Active Directory richiedono soluzioni appositamente studiate per affrontare attacchi sofisticati che hanno come obiettivo sia l'AD on-prem che Entra ID. Il primo passo consiste nell'implementare strumenti di monitoraggio in grado di rilevare le modifiche nell'ambiente AD ibrido, comprese le modifiche agli account utente, le modifiche ai Criteri di gruppo e le modifiche ai controller di dominio (DC). Questi strumenti possono anche fornire visibilità su chi ha apportato le modifiche e quando si sono verificate. Una volta rilevate le modifiche, è necessario rispondere in modo rapido e preciso. In molti casi, gli attacchi si muovono attraverso le reti troppo velocemente per un intervento umano, quindi è fondamentale disporre di un rimedio automatico.

icona del bulbo oculare
Monitoraggio

Monitoraggio continuo di AD e Entra ID alla ricerca di modifiche dannose.

Audit

Verifica delle modifiche che passano attraverso l'infrastruttura AD.

icona della lista di controllo
Correggi

Annullamento delle modifiche dannose in AD on-prem e Entra ID.

Tracciamento delle modifiche in AD e Entra ID

Il paradigma di sicurezza Entra ID è diverso

Molte organizzazioni stanno adottando ambienti di identità ibridi, implementando sia Active Directory on-premises che Entra ID. Sebbene la flessibilità degli ambienti di identità ibridi porti enormi vantaggi, questo approccio comporta anche un aumento dei rischi. Proprio come l'AD on-premise, Entra ID ha i suoi punti deboli e il mix ibrido crea ulteriori opportunità per gli aggressori. Come nel caso delle violazioni di Kaseya e SolarWinds, i criminali informatici sfruttano i punti deboli della sicurezza nei sistemi di identità ibridi, entrando nel cloud e passando al sistema on-premise o viceversa. L'audit e la correzione delle modifiche dannose in Entra ID richiedono un approccio completamente diverso dalla gestione della sicurezza dell'AD on-premises.

  • Il nuovo modello di autenticazione significa che concetti familiari come foreste e oggetti dei Criteri di gruppo non sono più applicabili nell'ambiente Entra ID.
  • Decisioni come quella di unire AD on-prem e Entra ID con Azure Connect possono avere conseguenze significative sulla sicurezza.
  • Il concetto di perimetro di rete tradizionale non esiste in Entra ID, quindi i team IT e di sicurezza devono difendersi da una serie infinita di potenziali punti di ingresso.
  • Il passaggio a Entra ID comporta cambiamenti significativi nel modello delle autorizzazioni: In un ambiente AD ibrido, le identità sono archiviate nel cloud, potenzialmente vulnerabili ad attacchi simili a quelli di SolarWinds e Kaseya.
  • La mancanza di visibilità sulle modifiche potenzialmente dannose nell'ambiente AD ibrido può compromettere la sicurezza.
Scopri di più
L'audit di Entra ID e delle modifiche all'AD on-prem è difficile

La mancanza di visibilità nell'ambiente AD ibrido significa che gli attacchi potrebbero entrare attraverso Entra ID e passare all'AD on-prem, o viceversa. Le organizzazioni hanno bisogno di soluzioni che le aiutino a verificare e a porre rimedio agli attacchi, indipendentemente dal fatto che abbiano origine nel cloud o nell'ambiente di identità on-premise.

  • Una visione unica delle modifiche tra Entra ID e AD on-prem può far luce sugli attacchi che si muovono nell'ambiente.
  • L'auditing delle modifiche di Entra ID in tempo reale può aiutare a monitorare le modifiche dannose.
  • La possibilità di eseguire il rollback delle modifiche sia nell'AD on-prem che in Entra ID aiuta a rispondere agli attacchi in rapida evoluzione nell'ambiente AD ibrido.
Per saperne di più

Verifica delle modifiche AD che eludono i SIEM

Gli attacchi avanzati possono eludere il tracciamento

La capacità di individuare gli aggressori che entrano, si muovono o, peggio, amministrano il vostro sistema di identità è fondamentale per una risposta rapida. Dato il lungo tempo di permanenza delle minacce informatiche, è evidente che i criminali informatici sono molto bravi a lavorare in modo invisibile. Per individuare gli attacchi avanzati che eludono i sistemi basati su log o eventi, è necessaria una soluzione che utilizzi tattiche diverse per tracciare le minacce alla sicurezza AD e Entra ID.

  • Utilizza diverse fonti di dati, tra cui il flusso di replica AD, per verificare modifiche come quelle dei Criteri di gruppo, le modifiche alle appartenenze ai gruppi degli amministratori di dominio e altre modifiche che sfuggono a molti sistemi di monitoraggio.
  • Utilizza un tracciamento a prova di manomissione per catturare le modifiche anche se i log di sicurezza sono disattivati, i log vengono eliminati, gli agenti vengono disattivati o smettono di funzionare o le modifiche vengono iniettate direttamente in AD.
  • Offre un'analisi forense per identificare le modifiche sospette, isolare quelle apportate dagli account compromessi e rintracciare altre fonti e dettagli degli incidenti.
  • Fornisce notifiche in tempo reale quando vengono apportate modifiche operative e di sicurezza all'AD.
Per saperne di più

Correggere le modifiche AD e Entra ID dannose

Per fermare gli attacchi AD è necessaria un'azione rapida

Gli attacchi informatici legati a Active Directory possono paralizzare le operazioni aziendali in pochi minuti. Per fermare gli attacchi, le organizzazioni hanno bisogno di soluzioni che offrano una correzione automatica delle modifiche indesiderate.

  • Il rollback automatico delle modifiche dannose blocca gli attacchi che si muovono attraverso le reti troppo velocemente per l'intervento umano.
  • Le funzionalità di ricerca istantanea aiutano le organizzazioni a risolvere le modifiche indesiderate agli oggetti e agli attributi AD in pochi minuti.
  • Le funzionalità di rollback granulare consentono ai team IT e della sicurezza di annullare le modifiche apportate a singoli attributi, membri di gruppi, oggetti e container in qualsiasi momento.
La nostra mission è acclamata dai leader del settore
Gartner Peer Insights

Abbiamo molte modifiche da apportare al nostro ambiente Active Directory, tra cui aggiungere server Linux… [Directory Services Protector] ci aiuta a monitorare e ripristinare le modifiche pericolose con un solo clic.

Leggi la recensione Membro del team IT, Organizzazione aziendale
El Al Israel Airlines

Semperis offre una tecnologia di livello decisamente superiore. Il sito Directory Services Protector è un'enorme risorsa per qualsiasi azienda che utilizzi Active Directory.

Per saperne di più Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Sanità

Utilizziamo Directory Services Protector per essere avvisati delle modifiche ai Criteri di gruppo. Ci ha permesso di implementare un controllo interno delle modifiche e processi di miglioramento più rigorosi, per evitare attività informatiche disoneste che potrebbero essere convenienti per noi, ma non sono sicure.

Chief Technology Officer Studio medico specialistico ortopedico
Gartner Peer Insights

Directory Services Protector è eccezionale grazie alle funzionalità di reportistica, monitoraggio e correzione in tempo reale, reporting attivo e notifiche istantanee in caso di modifica o cambiamento di oggetti.

Leggi la recensione Amministratore di sistemi Windows senior Organizzazione aziendale

Domande frequenti sull'auditing delle modifiche e sul rollback di AD

Che cos'è l'auditing di Active Directory?

L'auditing di Active Directory è il processo di monitoraggio dell'AD alla ricerca di vulnerabilità e di comuni errori di configurazione e gestione che possono aprire la porta a compromessi di sicurezza. Molte organizzazioni hanno ambienti AD legacy con decine o centinaia di configurazioni errate che si sono accumulate nel tempo. A causa delle risorse limitate e della mancanza di competenze in materia di AD da parte del personale, la verifica continua di AD e Entra ID per individuare eventuali lacune nella sicurezza viene spesso trascurata. I criminali informatici sanno che molte lacune comuni nella sicurezza dell'AD non vengono colmate, rendendo l'AD il bersaglio numero 1 dei cyberattacchi: I ricercatori di Mandiant riferiscono che 9 attacchi su 10 hanno coinvolto in qualche modo l'AD. Per comprendere le vulnerabilità della sicurezza AD nella vostra organizzazione, scaricate Purple Knight, uno strumento gratuito di valutazione della sicurezza AD che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e di compromissione (IOC), fornisce un punteggio complessivo di sicurezza e fornisce indicazioni prioritarie di rimedio da parte di esperti di sicurezza AD.

Come si verificano le modifiche ai criteri di gruppo?

L'audit delle modifiche ai Criteri di gruppo è una parte fondamentale dell'irrobustimento della sicurezza di Active Directory e rappresenta una sfida perché le soluzioni di monitoraggio tradizionali basate sugli eventi di solito non includono i dettagli sulle modifiche all'interno di un Criterio di gruppo. Ad esempio, se un aggressore effettua una modifica dannosa con il ransomware Ryuk ransomware, l'unico segnale sarà che un account con accesso ai Criteri di gruppo ha apportato una modifica, il che probabilmente non farà scattare un avviso. Per individuare le modifiche dannose ai Criteri di gruppo, è necessaria una soluzione che utilizzi più fonti di dati, compreso il flusso di replica AD, per ottenere un contesto aggiuntivo che indichi un potenziale attacco in corso. Per comprendere le lacune nella sicurezza dell'AD legate alle configurazioni errate dei Criteri di gruppo, scaricate Purple Knight, uno strumento gratuito di valutazione della sicurezza dell'AD che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e compromissione (IOC). Purple Knight analizza diverse configurazioni errate dei Criteri di gruppo, tra cui le modifiche agli eseguibili SYSVOL, la delega di collegamento delle GPO a livello di sito AD e le password reversibili presenti nelle GPO.

Come si tiene traccia delle modifiche in Active Directory?

Per tenere traccia dei cambiamenti in Active Directory, è necessario monitorare costantemente l'ambiente AD alla ricerca di indicatori di esposizione (IOE) e compromissione (IOC) relativi alla sicurezza degli account di Active Directory, alla delega AD, ai Criteri di gruppo, a Kerberos, alla sicurezza di Entra ID e alla sicurezza dell'infrastruttura AD. I gruppi di ransomware sviluppano costantemente nuovi metodi per compromettere AD, che è il principale archivio di identità per il 90% delle organizzazioni in tutto il mondo. Con un accesso privilegiato ad AD, i criminali informatici possono accedere all'intera rete, bloccando le operazioni aziendali. Per una valutazione puntuale delle lacune di sicurezza di AD, scaricate Purple Knight, uno strumento gratuito di valutazione della sicurezza di AD che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e di compromissione (IOC), fornisce un punteggio complessivo di sicurezza e fornisce indicazioni prioritarie per la correzione da parte di esperti di sicurezza di AD. Per tenere costantemente sotto controllo i cambiamenti in AD e Entra ID, è possibile consultare Directory Services Protectoruna soluzione di rilevamento e monitoraggio delle minacce AD che tiene traccia delle modifiche in AD e Entra ID e fornisce un rollback automatico delle modifiche AD dannose.

Come posso tenere traccia delle vulnerabilità di sicurezza in Entra ID?

È possibile utilizzare lo strumento gratuito di valutazione della sicurezza AD Purple Knight per analizzare l'ambiente Entra ID alla ricerca di vari IOE e IOC, tra cui account guest inattivi, criteri di accesso condizionato non configurati correttamente e utenti privilegiati Entra ID che sono anche utenti privilegiati in AD on-prem, che possono compromettere entrambi gli ambienti. È possibile utilizzare Directory Services Protector per monitorare le modifiche di Entra ID in tempo reale; per ulteriori informazioni, vedere "Migliorare la protezione di AD ed Entra ID dalle minacce informatiche".

Come posso verificare le modifiche di Active Directory come DCShadow?

DCShadow è uno dei pochi tipi di attacchi che non lascia evidenza dell'attività attività dannose, quindi sono difficili da rilevare con i sistemi tradizionali basati sugli eventi o sui log. Questa tecnica di attacco aggira la tradizionale registrazione basata su SIEM. Le modifiche vengono invece inserite direttamente nel flusso di replica dei controller di dominio di produzione. Per difendersi dagli attacchi che eludono il monitoraggio tradizionale, le organizzazioni hanno bisogno di soluzioni che utilizzino più fonti di dati, compreso il flusso di replica AD. Per un rilevamento e una risposta completi alle minacce AD, compresa la possibilità di controllare AD per gli attacchi che eludono i SIEM e altri strumenti di monitoraggio tradizionali, visita il sito Directory Services Protector.

Verifica e rimedio delle modifiche dannose in Active Directory

Non perdete le minacce di AD o Entra ID

Scopri Directory Services Protector