Coinvolgi i principali esperti di sicurezza informatica di Active Directory per sviluppare e implementare una preparazione e una risposta completa agli attacchi informatici all'AD.
Active Directory è il vettore di attacco numero 1 nel panorama delle minacce alla sicurezza informatica perché è un obiettivo redditizio per i criminali informatici. In quanto servizio di identità principale per il 90% delle organizzazioni in tutto il mondo, AD fornisce l'autenticazione degli utenti e l'accesso alle applicazioni e ai servizi business-critical. Una compromissione dell'AD può causare settimane di inattività. Le organizzazioni che non proteggono adeguatamente l'AD rischiano di dover pagare un riscatto per ripristinare i dati e riprendere le attività aziendali.
Semperis, leader nel settore dell'AI-Powered Identity Security e della Cyber Resilience per le aziende, offre servizi di Identity Forensics & Incident Response (IFIR), che combinano le intuizioni di esperti di sicurezza e incident response (IR) di Active Directory (AD) collaudati in battaglia con soluzioni leader del settore per la prevenzione, il ripristino e il recupero degli attacchi AD. Questi servizi vi permettono di attingere alle competenze di Semperis prima, durante e dopo un attacco, in modo da poter beneficiare della decennale esperienza del nostro team nella risposta agli incidenti informatici.
Servizi di preparazione
Anticipa gli aggressori grazie a servizi esperti di preparazione alle violazioni e programmi completi per scoprire i punti deboli della tua infrastruttura AD e migliorare la postura di sicurezza complessiva.
Servizi di risposta
Con 100 anni di esperienza combinata di Microsoft MVP nei servizi di directory, il nostro team ha una visione di prima mano su dove sono i problemi nel caso di un attacco all'ambiente AD, oltre a una profonda esperienza e competenza nella bonifica di AD, nella mitigazione dei rischi e nella bonifica delle minacce. L'esperienza collettiva del team spazia dalla progettazione, configurazione e messa in sicurezza di Active Directory alla ricerca di vulnerabilità e ai test di penetrazione del Red Team. Il nostro team aiuta anche le organizzazioni a recuperare Active Directory da attacchi ransomware e minacce interne.
Active Directory è un sistema complesso con numerose impostazioni e funzionalità configurabili, che lo rendono difficile da proteggere. I difetti di progettazione, gli errori operativi e le configurazioni errate si accumulano nel corso degli anni per creare un debito tecnico che spesso è difficile da risolvere e che espone l'AD a uno spettro di attacchi. Queste vulnerabilità rendono l'AD il percorso di minor resistenza per un attaccante per raggiungere sistemi critici e dati sensibili. Il nostro team ci aiuta in due fasi importanti per ridurre la probabilità che un aggressore riesca a distruggere o criptare il vostro ambiente: Il primo è individuare le configurazioni errate e i percorsi di attacco che un aggressore potrebbe sfruttare per compromettere il vostro ambiente. Il secondo è la preparazione allo scenario peggiore, ovvero la distruzione o l'esclusione di amministratori e utenti dall'AD da parte di un aggressore. Il team Identity Forensics & Incident Response (IFIR) Services di Semperis vi aiuta a identificare e chiudere i percorsi di attacco nel vostro ambiente AD e Azure AD con valutazioni della sicurezza di Active Directory, mitigazione delle minacce AD e pianificazione ed esercitazioni di disaster recovery (DR) AD.
Active Directory Security Assessment (ADSA) fornisce un quadro chiaro della tua posizione di sicurezza AD e una tabella di marcia per affrontare le esposizioni a livello strategico, operativo e tattico. I nostri esperti di sicurezza AD utilizzano interviste, questionari e vari strumenti di scansione automatizzati e manuali per condurre la valutazione.
Questo servizio aiuta le organizzazioni a prevenire e a prepararsi a un attacco. Sviluppato per i clienti di Semperis Directory Services Protector (DSP), questo servizio comprende una valutazione annuale della sicurezza di Active Directory standard, sessioni periodiche di riduzione della superficie di attacco e l'ottimizzazione su misura di DSP, la soluzione di rilevamento e risposta alle minacce AD di Semperis riconosciuta da Gartner.
Questo servizio aiuta le organizzazioni ad allineare i parametri dell'obiettivo del tempo di ripristino (RTO) e del punto di ripristino (RPO) e a identificare le dipendenze implicite che potrebbero ostacolare l'esecuzione del piano durante un incidente. Questo impegno comprende una revisione del piano di ripristino, un workshop di pianificazione e uno stress test del piano di ripristino, compresa una crittografia simulata dell'organizzazione.
La Security Architecture Review è una revisione di alto livello dell'ambiente e delle considerazioni che hanno portato al progetto attuale. Il team di Semperis conduce interviste con i membri chiave del team e un walkthrough degli artefatti rilevanti, come i diagrammi architetturali. Prima di ogni intervista, il tuo team compila un questionario per la raccolta di informazioni che aiuta il team Semperis a indirizzare l'intervista verso le aree di interesse, a raccogliere le informazioni mancanti e ad assicurarsi che le persone giuste siano presenti all'intervista. Gli aspetti principali individuati o generati in questa fase sono:
La revisione delle procedure operative è una valutazione delle attuali procedure operative aziendali. Il team di Semperis conduce questa revisione attraverso colloqui con i membri chiave del team e un'analisi degli artefatti rilevanti, come diagrammi di flusso, script, ecc. Come nel caso della Security Architecture Review, prima di ogni intervista il team compila un questionario che aiuta il team Semperis a indirizzare l'intervista verso le aree di interesse, a raccogliere le informazioni mancanti e ad assicurarsi che le persone giuste siano presenti all'intervista. Gli elementi principali catturati o prodotti in questa fase sono:
Per la Security Configuration Review, il team di Semperis utilizza strumenti automatizzati (come Purple Knight, uno strumento di valutazione della sicurezza AD sviluppato dagli esperti di Semperis) e metodi manuali per identificare gli indicatori di esposizione (IOE) e gli indicatori di compromissione (IOC) nell'ambiente AD. Gli elementi acquisiti o prodotti in questa fase sono:
L'analisi dei percorsi di attacco mira a identificare i percorsi di attacco pericolosi o non intenzionali agli asset Tier 0 e ad altri asset critici. Gli aggressori potrebbero abusare di questi percorsi per elevare i privilegi e potrebbero introdurli per installare la persistenza del dominio e riottenere l'accesso privilegiato. In questa fase, il team Semperis raccoglie e analizza i dati utilizzando strumenti open-source e interni. Gli elementi acquisiti o prodotti in questa fase sono:
Nella fase di analisi e reporting, il team di Semperis elabora i dati e le scoperte acquisite nella valutazione in un rapporto interattivo che descrive lo stato attuale, fornisce lo stato auspicato per l'ambiente e offre una tabella di marcia per raggiungerlo. La roadmap comprende le "linee di impegno" e le "linee operative" per raggiungere lo stato auspicato:
Semperis offre workshop opzionali di pianificazione della bonifica con i nostri esperti di sicurezza AD. Questi workshop possono svolgersi dopo o durante la valutazione er affrontare tempestivamente i problemi critici e a portata di mano. In queste sessioni di consulenza interattiva, gli esperti Semperis lavorano con il team AD del cliente per:
Il servizio di riduzione della superficie di attacco è un impegno periodico che prevede un ADSA standard annuale e sessioni trimestrali in cui gli esperti di Semperis lavorano con te per analizzare gli IOC, gli IOE e gli indicatori di attacco (IOA) raccolti da DSP, nonché i dati raccolti con altri strumenti. Il team Semperis fornirà raccomandazioni per ridurre la superficie di attacco ed eliminare le esposizioni alla sicurezza nell'ambiente AD. Inoltre, il team Semperis potrebbe eseguire un'analisi dei percorsi di attacco per identificare percorsi di attacco pericolosi o non intenzionali verso asset Tier 0 e altri asset critici, nonché diritti delegati anomali.
Progettato per i clienti di Semperis Directory Services Protector (DSP), questo servizio assicura che l'implementazione di DSP sia ottimizzata per soddisfare i requisiti di protezione di AD. L'obiettivo è quello di massimizzare i risultati della postura di sicurezza, assicurando che DSP fornisca una protezione su misura per il tuo ambiente. Questa revisione di ottimizzazione è in linea con le best practice di Semperis, che includono:
Gli esperti di Semperis esaminano il piano di disaster recovery AD esistente per comprendere gli obiettivi aziendali, gli SLA, gli scenari di disastro e i metodi attualmente in uso per il ripristino di AD.
Gli esperti di Semperis analizzano insieme a te gli obiettivi aziendali in caso di disastro, come ad esempio gli obiettivi di punto/tempo di ripristino, i siti remoti, il numero di utenti che richiedono l'accesso iniziale e la priorità di ripristino dell'ambiente in caso di disastro multiforesta. Il workshop traccia anche le dipendenze per il processo di recupero. Il team di Semperis ti aiuterà a pianificare diversi scenari di disastro informatico e operativo come parte del workshop, compresa la revisione dei backup offline/fuori sede, il ripristino dei backup online quando necessario e altre attività di ripristino simili. Il risultato del workshop è un piano di ripristino AD documentato, pronto per essere presentato ai proprietari dell'azienda, che include:
Consigliamo di eseguire un test completo del piano di disaster recovery di AD almeno una volta all'anno o quando si verifica un cambiamento importante nella configurazione di AD. L'esercitazione di ripristino di emergenza di Active Directory prevede la simulazione della crittografia dell'intera organizzazione e del processo di ripristino e la ripresa del controllo di AD. Durante l'esercitazione, gli esperti Semperis recuperano i backup di produzione in un ambiente di laboratorio isolato. Al termine dell'esercitazione, il team di Semperis fornisce un rapporto che descrive i risultati del test e documenta i problemi, per poi rivedere il piano di DR di conseguenza. Il report può essere utilizzato per soddisfare i requisiti di governance e conformità.
Se AD subisce una violtazione, agire tempestivamente è essenziale. Le organizzazioni con un attacco informatico in corso sono sottoposte a una pressione senza precedenti. Quando un attacco prende di mira il sistema di identità, la maggior parte delle operazioni critiche non può funzionare finché il sistema non viene ricostruito e reso nuovamente affidabile. E la ricostruzione dell'identità può richiedere settimane, mentre tutto il resto aspetta. Semperis offre servizi di risposta agli incidenti AD di livello mondiale, tra cui il ripristino di emergenza cyber-first, le indagini sugli incidenti AD e l'analisi forense degli attacchi.
Se l'ambiente AD è gravemente danneggiato, gli esperti di Semperis utilizzano Active Directory Forest Recovery (ADFR) per eseguire un ripristino parziale o completo della foresta in una nuova infrastruttura isolata, senza trasportare il codice eseguibile dal sistema operativo dei DC. Questo approccio elimina la reintroduzione di malware. Il processo di recupero comprende il ripristino delle funzionalità AD in base alle procedure sviluppate nella pianificazione di DR di Active Directory.
In seguito a un incidente di sicurezza che ha un impatto negativo su AD, la prima fase cruciale di ripristino consiste nell'indagare se dietro l'incidente si celano intenti e intelligence malevoli che costituiscono un attacco. I nostri esperti utilizzano Semperis Directory Solutions Protector (DSP) e altri strumenti per analizzare i dati di replica di AD e i relativi registri degli eventi e raccomandare la migliore linea d'azione per sradicare completamente la minaccia dall'ambiente AD.
A seguito di un'indagine forense su un attacco all'ambiente AD, gli esperti di Semperis consigliano i passi da compiere per riprendere il controllo dell'ambiente AD e rimuovere la minaccia, tra cui l'eliminazione degli attori delle minacce e degli oggetti compromessi/esposti per impedire agli hacker di riprendere il controllo, l'esecuzione di una valutazione della sicurezza per identificare le vulnerabilità e le esposizioni dopo il contenimento e la fornitura di misure di mitigazione per ridurre la superficie di attacco di AD.
La maggior parte delle organizzazioni dispone di piani di continuità operativa. Ma questi piani raramente tengono conto di scenari in cui le minacce informatiche distruggono l'infrastruttura di identità aziendale, di cui Active Directory (AD) è un componente fondamentale nel 90% delle organizzazioni di tutto il mondo. I criminali informatici prendono deliberatamente di mira AD perché sanno che questa tattica funziona.
Nessun fornitore di servizi può competere con l'esperienza collettiva dei Microsoft MVP di Semperis nei servizi di directory e nei criteri di gruppo. Il team dei servizi di Identity Forensics & Incident Response (IFIR) di Semperis è composto da Microsoft MVP ed ex Microsoft Premier Field Engineers (PFE) con un'esperienza ineguagliata nella protezione degli ambienti Active Directory più sensibili al mondo e una profonda esperienza in AD on-prem, Azure AD, Okta e altri sistemi di identità aziendali.
Active Directory compromesso, non inattivo, ma riparabile
Gli esperti di risposta agli incidenti di Semperis si concentrano sulla valutazione dell'attuale ambiente AD, sulla chiusura delle falle di sicurezza esistenti, sull'eliminazione dell'accesso degli attori delle minacce e sulla creazione di un backup AD pulito.
Active Directory compromesso, non inattivo, non riparabile
L'obiettivo è quello di condurre rapidamente una valutazione della sicurezza di AD, ripristinare AD in un ambiente isolato, effettuare la rimozione delle minacce e ripristinare AD in un ambiente pulito.
Active Directory fuori uso (scenario più comune)
Il primo passo consiste nel ripristinare AD in un ambiente isolato e nel condurre le analisi forensi e la bonifica della violazione, seguite da una valutazione dell'AD, dalla rimozione delle minacce e dal ripristino della produzione.
Per aiutarti a rispondere a un attacco in corso, Semperis combina le intuizioni di esperti di sicurezza delle identità e di risposta agli incidenti con soluzioni leader del settore per proteggere Active Directory ibrido delle organizzazioni prima, durante e dopo un attacco informatico. Otterrai una risposta immediata ed esperta all'incidente in corso e una valutazione e un rimedio completi per proteggerti dalle minacce future.
Rivolgiti al nostro team esperto di risposta agli incidenti AD per intervenire rapidamente su un attacco in corso o per sviluppare un piano di miglioramento della sicurezza generale.
Contatta il nostro team
Scopri come accelerare la risposta agli incidenti AD
Richiedi una demo: i nostri esperti di prodotto ti faranno provare le nostre soluzioni.
Semperis ha un'esperienza ineguagliabile nella risposta alle violazioni di AD