Traccia e correggi le modifiche dannose a Active Directory

Audit delle modifiche di Active Directory e rollback

Verifica e correggi le modifiche dannose in Active Directory e Azure Active Directory.

Blocca gli attacchi ad Active Directory in rapida evoluzione

Sofisticati gruppi di ransomware-as-a-service (RaaS) stanno prendendo di mira Active Directory, il servizio di identità principale per il 90% delle organizzazioni in tutto il mondo, con attacchi che si muovono attraverso le reti con una velocità sorprendente. Per bloccare gli attacchi, le organizzazioni devono tenere traccia delle modifiche dannose in tempo reale e ripristinarle rapidamente.

Rapporto Semperis:
73%
delle organizzazioni NON sono sicure di poter prevenire gli attacchi ad Azure AD
I pen-tester riescono a compromettere l'AD nell'
82%
dei loro tentativi, secondo Enterprise Management Associates
Rapporto Microsoft Digital Defense:
1 ora, 42 minuti
il tempo mediano in cui un attore dell'attacco inizia a muoversi lateralmente dopo la compromissione del dispositivo
7 minuti
il tempo necessario all'attacco NotPetya del 2017 per paralizzare la rete Maersk; il recupero di Active Directory ha richiesto 9 giorni.

Difendi Active Directory con l'auditing avanzato delle modifiche e òe procedure di remediation

L'audit e la correzione delle modifiche dannose in Active Directory richiedono soluzioni appositamente studiate per affrontare attacchi sofisticati che hanno come obiettivo sia AD on-premise, sia Azure AD. Il primo passo consiste nell'implementare strumenti di monitoraggio in grado di rilevare le modifiche nell'ambiente AD ibrido, comprese le modifiche agli account utente, le modifiche ai criteri di gruppo e le modifiche ai controller di dominio (DC). Questi strumenti possono anche fornire visibilità su chi ha apportato le modifiche e quando queste si sono verificate. Una volta rilevate le modifiche è necessario rispondere in modo rapido e preciso. In molti casi, gli attacchi si muovono attraverso le reti troppo velocemente per un intervento umano, quindi è fondamentale disporre di un rimedio automatico.

icona del bulbo oculare
Monitoraggio

Monitoraggio continuo di AD e Azure AD alla ricerca di modifiche dannose.

Audit

Verifica delle modifiche che passano attraverso l'infrastruttura AD.

icona della lista di controllo
Correggi

Ripristino delle modifiche dannose in AD on-premise e Azure AD.

Traccia le modifiche in AD e Azure AD

Il paradigma di sicurezza di Azure AD è diverso

Molte organizzazioni stanno adottando ambienti di identità ibridi, implementando sia Active Directory on-premise che Azure AD. Sebbene la flessibilità degli ambienti di identità ibridi porti enormi vantaggi, questo approccio comporta anche un aumento dei rischi. Proprio come AD on-premise, Azure AD ha i suoi punti deboli e il mix ibrido crea ulteriori opportunità per gli aggressori. Come nel caso delle violazioni di Kaseya e SolarWinds, i criminali informatici sfruttano i punti deboli della sicurezza nei sistemi di identità ibridi, entrando nel cloud e passando al sistema on-premise o viceversa. L'audit e la correzione delle modifiche dannose in Azure AD richiedono un approccio completamente diverso dalla gestione della sicurezza dell'AD on-premise.

  • Il nuovo modello di autenticazione significa che concetti familiari come foreste e Group Policy Object (GPO) non sono più applicabili nell'ambiente Azure AD.
  • Decisioni come quella di unire AD on-premise e Azure AD con Azure Connect possono avere conseguenze significative sulla sicurezza.
  • Il concetto di perimetro di rete tradizionale non esiste in Azure AD, quindi i team IT e di sicurezza devono difendersi da una serie infinita di potenziali punti di accesso.
  • Il passaggio a Azure AD comporta cambiamenti significativi nel modello delle autorizzazioni: in un ambiente AD ibrido, le identità sono archiviate nel cloud, potenzialmente vulnerabili ad attacchi simili a quelli di SolarWinds e Kaseya.
  • La mancanza di visibilità sulle modifiche potenzialmente dannose nell'ambiente AD ibrido può compromettere la sicurezza.
Scopri di più
La verifica delle modifiche di Azure on-premise e Azure AD è complicata

La mancanza di visibilità nell'ambiente AD ibrido significa che gli attacchi potrebbero entrare da Azure AD e spostarsi su AD on-premise, o viceversa. Le organizzazioni hanno bisogno di soluzioni che le aiutino a verificare e a porre rimedio agli attacchi, indipendentemente dal fatto che abbiano origine nel cloud o nell'ambiente di identità on-premise.

  • Una visione unica delle modifiche in Azure AD e AD on-premise può far luce sugli attacchi che si muovono nell'ambiente.
  • L'auditing delle modifiche di Azure AD in tempo reale può aiutare a monitorare le modifiche dannose.
  • La possibilità di eseguire il rollback delle modifiche sia in AD on-premise, sia in Azure AD aiuta a rispondere agli attacchi in rapida evoluzione nell'ambiente AD ibrido.
Per saperne di più

Verifica delle modifiche AD che eludono i SIEM

Gli attacchi avanzati possono eludere il tracciamento

La capacità di individuare gli aggressori che entrano, si muovono o, peggio, amministrano il tuo sistema di identità è fondamentale per una risposta rapida. Dato il lungo tempo di permanenza delle minacce informatiche, è evidente che i criminali informatici sono molto bravi a lavorare in modo invisibile. Per individuare gli attacchi avanzati che eludono i sistemi basati su log o eventi è necessaria una soluzione che utilizzi tattiche diverse per tracciare le minacce alla sicurezza di AD e Azure AD.

  • Utilizza diverse fonti di dati, tra cui il flusso di replica AD, per verificare modifiche come quelle dei Criteri di gruppo, le modifiche alle appartenenze ai gruppi degli amministratori di dominio e altre modifiche che sfuggono a molti sistemi di monitoraggio.
  • Utilizza un tracciamento a prova di manomissione per catturare le modifiche anche se i log di sicurezza sono disattivati, i log vengono eliminati, gli agenti vengono disattivati o smettono di funzionare o le modifiche vengono iniettate direttamente in AD.
  • Offre un'analisi forense per identificare le modifiche sospette, isolare quelle apportate dagli account compromessi e rintracciare altre fonti e dettagli degli incidenti.
  • Fornisce notifiche in tempo reale quando vengono apportate modifiche operative e di sicurezza all'AD.
Per saperne di più

Correggere le modifiche dannose di AD e Azure AD

Per fermare gli attacchi AD è necessaria un'azione rapida

Gli attacchi informatici legati a Active Directory possono paralizzare le operazioni aziendali in pochi minuti. Per fermare gli attacchi, le organizzazioni hanno bisogno di soluzioni che offrano una correzione automatica delle modifiche indesiderate.

  • Il rollback automatico delle modifiche dannose blocca gli attacchi che si muovono attraverso le reti troppo velocemente per l'intervento umano.
  • Le funzionalità di ricerca istantanea aiutano le organizzazioni a risolvere le modifiche indesiderate agli oggetti e agli attributi AD in pochi minuti.
  • Le funzionalità di rollback granulare consentono ai team IT e della sicurezza di annullare le modifiche apportate a singoli attributi, membri di gruppi, oggetti e container in qualsiasi momento.
La nostra mission è acclamata dai leader del settore
Gartner Peer Insights

Abbiamo molte modifiche da apportare al nostro ambiente Active Directory, tra cui aggiungere server Linux… [Directory Services Protector] ci aiuta a monitorare e ripristinare le modifiche pericolose con un solo clic.

Leggi la recensione Membro del team IT, Organizzazione aziendale
El Al Israel Airlines

Semperis offre una tecnologia di livello decisamente superiore. Il sito Directory Services Protector è un'enorme risorsa per qualsiasi azienda che utilizzi Active Directory.

Per saperne di più Chen Amran Deputy Director of Infrastructure & Communication, El Al Airlines
Sanità

Utilizziamo Directory Services Protector per essere avvisati delle modifiche ai Criteri di gruppo. Ci ha permesso di implementare un controllo interno delle modifiche e processi di miglioramento più rigorosi, per evitare attività informatiche disoneste che potrebbero essere convenienti per noi, ma non sono sicure.

Chief Technology Officer Studio medico specialistico ortopedico
Gartner Peer Insights

Directory Services Protector è eccezionale grazie alle funzionalità di reportistica, monitoraggio e correzione in tempo reale, reporting attivo e notifiche istantanee in caso di modifica o cambiamento di oggetti.

Leggi la recensione Amministratore di sistemi Windows senior Organizzazione aziendale

Domande frequenti sull'auditing delle modifiche e sul rollback di AD

Che cos'è l'auditing di Active Directory?

L'auditing di Active Directory è il processo di monitoraggio di AD alla ricerca di vulnerabilità e di comuni errori di configurazione e gestione che possono dar luogo a compromissioni della sicurezza. Molte organizzazioni hanno ambienti AD legacy con decine o centinaia di configurazioni errate che si sono accumulate nel tempo. A causa delle risorse limitate e della mancanza di competenze AD nel personale, l'audit continuo di AD e Azure AD per individuare le lacune di sicurezza viene spesso trascurato. I criminali informatici sanno che molte lacune comuni nella sicurezza dell'AD non vengono colmate, rendendo AD il bersaglio numero 1 degli attacchi informatici: i ricercatori di Mandiant riferiscono che 9 attacchi su 10 hanno coinvolto in qualche modo AD. Per comprendere le vulnerabilità della sicurezza di AD nella tua organizzazione, scarica Purple Knight, lostrumento gratuito di valutazione della sicurezza AD che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e di compromissione (IOC), fornisce un punteggio complessivo di sicurezza e fornisce indicazioni prioritarie per la correzione da parte di esperti di sicurezza AD.

Come si verificano le modifiche ai criteri di gruppo?

La verifica delle modifiche ai criteri di gruppo è una parte fondamentale dell'irrobustimento della sicurezza di Active Directory e rappresenta una sfida perché le soluzioni tradizionali di monitoraggio basate sugli eventi di solito non includono i dettagli sulle modifiche all'interno di un criterio di gruppo. Ad esempio, se un aggressore effettua una modifica dannosa con il ransomware Ryuk ransomware, l'unico segnale sarà il fattoche un account con accesso ai criteri di gruppo ha apportato una modifica, il che probabilmente non farà scattare un avviso. Per individuare le modifiche dannose ai criteri di gruppo, è necessaria una soluzione che utilizzi più fonti di dati, compreso il flusso di replica AD, per ottenere un contesto aggiuntivo che indichi un potenziale attacco in corso. Per comprendere le lacune di sicurezza di AD relative alle configurazioni errate dei criteri di gruppo, scaricaPurple Knight, lo strumento gratuito di valutazione della sicurezza di AD che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e di compromissione (IOC). Purple Knight analizza diverse configurazioni errate dei criteri di gruppo, tra cui le modifiche agli eseguibili SYSVOL, la delega del collegamento dei GPO a livello di sito AD e le password reversibili trovate nei GPO.

Come si tiene traccia delle modifiche in Active Directory?

Per tenere traccia dei cambiamenti in Active Directory è necessario monitorare costantemente l'ambiente AD alla ricerca di indicatori di esposizione (IOE) e indicatori di compromissione (IOC) relativi alla sicurezza degli account Active Directory, alla delega AD, ai Criteri di gruppo, a Kerberos, alla sicurezza di Azure AD e alla sicurezza dell'infrastruttura AD. I gruppi di ransomware sviluppano costantemente nuovi metodi per compromettere AD, che è il principale archivio di identità per il 90% delle organizzazioni di tutto il mondo. Con un accesso privilegiato a AD, i criminali informatici possono accedere all'intera rete, bloccando le operazioni aziendali. Per una valutazione puntuale delle lacune di sicurezza di AD, scarica Purple Knight, uno strumento gratuito di valutazione della sicurezza di Active Directory D che analizza l'ambiente AD alla ricerca di centinaia di indicatori di esposizione (IOE) e indicatori di compromissione (IOC), fornisce un punteggio complessivo di sicurezza e indicazioni prioritarie di rimedio da parte di esperti di sicurezza AD. Per tenere costantemente sotto controllo i cambiamenti in AD e Azure AD, visita il sito Directory Services Protector, una soluzione di rilevamento e monitoraggio delle minacce AD che tiene traccia delle modifiche in AD e Azure AD e fornisce il rollback automatico delle modifiche AD dannose.

Come si monitorano le vulnerabilità di sicurezza in Azure AD?

È possibile utilizzare lo strumento gratuito di valutazione della sicurezza AD Purple Knight per analizzare l'ambiente Azure AD alla ricerca di vari IOE e IOC, tra cui account guest inattivi, criteri di accesso condizionato non configurati correttamente e utenti privilegiati di Azure AD che sono anche utenti privilegiati in AD on-prem, che possono compromettere entrambi gli ambienti. È possibile utilizzare Directory Services Protector per monitorare le modifiche di Azure AD in tempo reale; per ulteriori informazioni, vedere "5 nuovi modi per proteggere AD e Azure AD".

Come posso verificare le modifiche di Active Directory come DCShadow?

DCShadow è uno dei pochi tipi di attacchi che non lascia evidenza dell'attività attività dannose, quindi sono difficili da rilevare con i sistemi tradizionali basati sugli eventi o sui log. Questa tecnica di attacco aggira la tradizionale registrazione basata su SIEM. Le modifiche vengono invece inserite direttamente nel flusso di replica dei controller di dominio di produzione. Per difendersi dagli attacchi che eludono il monitoraggio tradizionale, le organizzazioni hanno bisogno di soluzioni che utilizzino più fonti di dati, compreso il flusso di replica AD. Per un rilevamento e una risposta completi alle minacce AD, compresa la possibilità di controllare AD per gli attacchi che eludono i SIEM e altri strumenti di monitoraggio tradizionali, visita il sito Directory Services Protector.

Verifica e rimedio delle modifiche dannose in Active Directory

Non lasciarti sfuggire le minacce di AD o Azure AD

Scopri Directory Services Protector