Analisi del percorso di attacco

Identifica e chiudi i percorsi verso le risorse Active Directory Tier 0

Scoprite e gestite i percorsi che gli attori delle minacce utilizzano per ottenere il controllo dell'infrastruttura critica di Active Directory grazie all'analisi dei percorsi di attacco di livello 0.

Risparmio di tempo nella gestione del percorso di attacco AD

Pochi attaccanti ottengono immediatamente il controllo di Active Directory. Iniziano invece con credenziali compromesse di utenti non privilegiati per l'accesso iniziale alle risorse critiche. Poi si spostano da un sistema all'altro, sfruttando le configurazioni errate e le vulnerabilità per scoprire possibili percorsi di attacco, finché non riescono a scalare i privilegi per controllare l'asset più critico: l'Active Directory. Concentrandosi sugli asset più vicini a quelli di livello 0, è possibile risparmiare tempo nell'identificazione e nella riduzione dei percorsi seguiti dagli aggressori per ottenere il controllo dell'Active Directory.

Enterprise Management Associates riporta che i pen tester hanno successo nell'
82%
dei tentativi di sfruttare Active Directory
Rapporto Microsoft Digital Defense:
3,47 miliardi
minacce all'identità state bloccate nell'ecosistema Microsoft da luglio 2021 a giugno 2022
Enterprise Management Associates:
40%
delle organizzazioni che hanno subito un attacco AD hanno dichiarato che l'attacco è andato a buon fine

Riduzione del percorso di attacco Tier 0 dall'interno verso l'esterno

Aiutate il vostro team di sicurezza a scoprire le risorse Active Directory di livello 0 (le chiavi del regno), chi può accedervi e come ridurre al minimo i percorsi di accesso.

Scoprire

Utilizzate strumenti gratuiti come Forest Druid per comprendere il vostro reale confine Tier 0 e i potenziali percorsi di attacco che vi conducono.

Correggi

Utilizzare i risultati di Purple Knight e le best practice di sicurezza di Microsoft AD per rimediare ai percorsi di attacco al livello 0, compresi i potenziali vettori di attacco imprevisti.

icona del bulbo oculare
Monitoraggio

Monitorare continuamente la "deriva della configurazione" che può introdurre nuovi potenziali percorsi di attacco con Directory Services Protector

Scopri il vero confine Tier 0

Non si tratta solo dei controller di dominio

Il National Cybersecurity Center del Regno Unito definisce il Tier 0 come "la radice di fiducia su cui si basano tutte le altre amministrazioni". Per Active Directory, questo include gli account privilegiati (come gli amministratori di dominio) e i controller di dominio (DC). Un'analogia medievale del Tier 0 è quella della fortezza di un regno, dove risiedono al sicuro il re e i suoi fidati consiglieri. Se un attore di minacce ottiene il controllo di una risorsa di livello 0, ha il controllo di Active Directory (o potenzialmente del regno). Ma il livello 0 di AD non comprende solo gli amministratori di dominio e i DC. Che dire della capacità di modificare le autorizzazioni sui container AD che contengono account privilegiati o DC? E il controllo degli oggetti dei Criteri di gruppo (GPO) che sono o possono essere collegati a un oggetto o contenitore privilegiato? E il server Azure AD Connect e l'account del servizio che sincronizza gli utenti con Azure AD? Ognuno di questi è un potenziale vettore di attacco e ci sono altre minacce informatiche alla vostra Active Directory.

Scopri di più
Concentrati sui percorsi di attacco che contano

Gli strumenti convenzionali di analisi dei percorsi di attacco all'ambiente AD adottano un approccio "esterno" e analizzano l'intero ambiente per scoprire il piccolo sottoinsieme di percorsi verso il Tier 0. Forest Druid, uno strumento gratuito realizzato dagli esperti di sicurezza delle identità di Semperis, affronta l'analisi dei percorsi di attacco Tier 0 dall'altro lato. Perché preoccuparsi di analizzare ogni strada e percorso del regno quando ci si preoccupa solo di proteggere la fortezza? Questo è l'approccio di Forest Druid. Per prima cosa, Forest Druid presenta un'analisi predefinita Tier 0. Si analizzano quindi tutti gli oggetti che hanno percorsi Tier 0 e:

  • Aggiungili a Tier 0 (ad esempio, il contenitore incorporato che contiene i gruppi privilegiati)
  • Annotali, se necessario, ma monitora attentamente il percorso (ad esempio, un'applicazione legacy line-of-business)
  • Chiudere il percorso (un potenziale percorso di attacco non necessario o non autorizzato)
Scaricare Forest Druid
La nostra mission è acclamata dai leader del settore
Retail

Oggi è il primo giorno che uso Forest Druid e sono molto colpito. Non ho mai trovato il tempo di imparare Bloodhound, quindi ho apprezzato molto il fatto che mi sia bastato eseguire lo strumento e poi fare clic sulla GUI per iniziare a individuare i problemi.

Ingegnere SOC Azienda di vendita al dettaglio e prodotti confezionati
Microsoft

Gli attori avanzati attaccano le implementazioni di identità on-premise per effettuare una violazione sistemica e creare un ponte verso l'accesso degli amministratori nel cloud. Le organizzazioni in ambienti Active Directory ibridi hanno bisogno di una sicurezza incentrata sulle identità per proteggere i loro sistemi AD e Azure AD dagli attacchi. Ciò richiede un monitoraggio e una valutazione continui della postura di sicurezza di AD e Azure AD per difendersi dagli attacchi basati sulle identità, in collaborazione con i team di sicurezza tradizionali.

Alex Weinert VP of Identity Security, Microsoft
Gartner Peer Insights

Il miglior strumento di recupero di AD in caso di attacco ransomware!

Leggi la recensione Director of Directories & IAM Solutions, IT Security & Risk Management Organizzazione bancaria aziendale

Domande frequenti sull'analisi del percorso di attacco Tier 0

Cosa sono gli asset Tier 0?

Gli asset Tier 0 sono gli account, i gruppi e le altre risorse che hanno il controllo amministrativo diretto o indiretto di una foresta Active Directory, dei domini e dei controller di dominio. Con l'accesso agli asset Tier 0, gli aggressori possono assumere il controllo dell'intera rete.

Cosa sono i livelli amministrativi?

Microsoft ha sviluppato il modello di amministrazione a livelli per Active Directory per aumentare le difficoltà degli attori delle minacce nell'eseguire l'escalation dei privilegi, ovvero il passaggio da una workstation a un server fino al controllo del dominio AD. Questo modello prevede tre livelli:

  • Il Tier 2 è composto da client, stampanti e dispositivi mobili del dominio e dagli account che li amministrano.
  • Il Tier 1 contiene i server e le applicazioni e i relativi account amministrativi.
  • Il Tier 0 contiene i server (ad es. i controller di dominio), le strutture AD (come la GPO Default Domain Policy) e gli account privilegiati che supportano il servizio Active Directory stesso.

Questa gerarchia viene applicata in modo tale che le credenziali dei livelli superiori non possano essere accessibili dai livelli inferiori (ad esempio, un account amministratore di dominio che accede a un PC client, dove tali credenziali privilegiate potrebbero essere successivamente raccolte da malware come mimikatz). Per gli ambienti ibridi questo modello è stato ampliato al fine di tenere conto della maggiore complessità e viene chiamato modello di accesso aziendale.

 

 

Perché la protezione delle risorse Tier 0 è importante per la sicurezza dell'identità?

Gli asset Tier 0 hanno il controllo amministrativo di Active Directory. Se uno di questi asset viene compromesso, un attore pericoloso può ottenere il controllo di Active Directory e quindi di ogni asset (server, applicazioni, database, client, altri account AD) all'interno di Active Directory per raggiungere i propri obiettivi.

 

Perché è importante definire il perimetro del Tier 0?

A causa di configurazioni errate che si accumulano nel tempo, molte organizzazioni dispongono di account e gruppi con accesso privilegiato, ossia di risorse Tier 0, ma questi privilegi eccessivi vengono trascurati, oppure i team IT e di sicurezza non hanno le risorse per esaminarli. Scoprire queste risorse può essere difficile. Forest Druid di Semperis, uno strumento gratuito per la community, mette in luce gli account sensibili in modo che i team IT e della sicurezza possano contrassegnarli come "Tier 0" e applicare le misure di protezione appropriate, tra cui il blocco dei privilegi o l'eliminazione totale degli account non necessari.

Quali sono i percorsi di attacco?

I percorsi di attacco sono le strade che un attore di minacce può percorrere dall'accesso iniziale all'ambiente (ad esempio un PC client), con fasi intermedie, fino al dominio Tier 0.

Esistono strumenti per facilitare la riduzione del percorso di attacco a Active Directory?

Semperis mette a disposizione uno strumento gratuito per l'individuazione dei percorsi di attacco Tier 0, chiamato Forest Druid, che aiuta a individuare le risorse Tier 0 vulnerabili, bloccare i privilegi eccessivi e scoprire e correggere rapidamente i percorsi più pericolosi, non solo quelli più comuni(fai clic qui per maggiori dettagli su Forest Druid).

Riduci i percorsi di attacco Tier 0

Tutto pronto per risparmiare tempo chiudendo i percorsi di attacco alle risorse Active Directory Tier 0?

Scaricare Forest Druid
La nostra mission è acclamata dai leader del settore

Scopri altre soluzioni di sicurezza e ripristino dell'ambiente AD