Índice
Ran Harel

Depois de anunciar o Forest Druidnossa ferramenta gratuita de descoberta de caminho de ataque de Nível 0, na Black Hat 2022, nós a usamos para ajudar algumas das maiores organizações do mundo a fechar caminhos de ataque aos ativos do Active Directory de Nível 0. Nosso trabalho com essas organizações validou que os defensores podem economizar tempo, concentrando-se em frutas fáceis de serem corrigidas, acelerando o processo de fechamento de backdoors no AD. (Se tiver curiosidade em saber como funciona o Forest Druid , veja esta demonstração em vídeoForest Druid , reveja o guia do utilizador online ou transfira o software Forest Druid ).

O Active Directory é um sistema complexo com inúmeras definições configuráveis, o que o torna notoriamente difícil de proteger. As falhas de concepção, os erros operacionais e as configurações incorrectas acumulam-se ao longo do tempo, expondo o AD a um espectro de ataques. Durante anos, os atacantes tiveram a vantagem de identificar caminhos de escalonamento de privilégios para o AD: Inúmeros caminhos de ataque levam ao AD. Os defensores que enfrentam o desafio de vasculhar esses milhares de caminhos de ataque provavelmente deixarão passar algumas violações arriscadas.

Forest Druid é a segunda no nosso arsenal de ferramentas de segurança da comunidade do Active Directory, juntando-se a Purple Knight, uma ferramenta de avaliação da segurança do AD utilizada por mais de 10.000 organizações. Enquanto o Purple Knight verifica os indicadores de exposição (IOEs) e os indicadores de comprometimento (IOCs) e fornece uma pontuação geral de segurança, o Forest Druid concentra-se nos caminhos de ataque que levam a ativos críticos de Nível 0. Veja a entrevista em vídeo abaixo para conhecer algumas ideias que partilhámos na Black Hat USA 2022 sobre a origem do Forest Druid e a nossa visão para a sua evolução.

Leitura relacionada

Identificar o verdadeiro perímetro do Tier 0

Um dos problemas dos métodos tradicionais de gestão do percurso de ataque é que as organizações não têm frequentemente uma definição exacta dos seus activos de nível 0 e as ferramentas actuais não ajudam a definir esses activos. É difícil defender recursos que não estão definidos.  

Forest Druid utiliza um processo iterativo para definir claramente os activos da camada 0. Em cada iteração, todas as relações de controlo que têm origem num nó fora da Tier 0 e atingem um nó dentro da Tier 0 num único salto são analisadas para determinar se o nó de origem deve ser adicionado à Tier 0 ou se viola o modelo de segurança e deve ser removido. O processo termina após uma iteração que não mostra relações adicionais com a camada 0, estabelecendo assim o seu perímetro definido por privilégios.

Forest Druid acelera a análise do caminho de ataque, concentrando-se no acesso privilegiado à Camada 0 de dentro para fora, enquanto outras ferramentas de descoberta de caminhos de ataque identificam uma extensa lista de caminhos de ataque e pontos de estrangulamento de fora para dentro. Forest Druid representa automaticamente graficamente as relações entre os activos da Camada 0, criando uma fonte independente de verdade para a segurança da Camada 0 que permite aos defensores erradicar rapidamente a ameaça do AD e identificar técnicas de persistência de domínio anteriormente não reveladas.

Poupe tempo e recursos protegendo os activos de Nível 0

Em vez de perseguir milhares de potenciais caminhos de ataque, os defensores podem poupar tempo utilizando Forest Druid para identificar e resolver as violações de segurança mais problemáticas - os caminhos que conduzem diretamente aos seus activos mais sensíveis.  

Para saber como funciona o Forest Druid , veja este vídeo de demonstração, junte-se à discussão da comunidadePurple Knight no Slack e veja os recursos adicionais abaixo. Ou descarregue Forest Druid agora e comece a fechar os caminhos de ataque aos seus activos de Nível 0.

Mais recursos