Eran Gewurtz | Diretor de Gestão de Produtos

As contas de serviço comprometidas estão no centro dos ataques de cibersegurança mais destrutivos da história. O ataque NotPetya de 2017 ao gigante farmacêutico Merck continua a ser um dos mais dispendiosos ciberataques conhecidos, com danos superiores a 1,4 mil milhões de dólares. O acesso inicial foi obtido através do comprometimento de uma conta de serviço para efetuar a correção do sistema operativo. O nosso episódio do Podcast HIP aborda a história em pormenor.

Na versãomais recente doDirectory Services Protector - DSP 5.0 -introduzimos um novo módulo de contas de serviço que expande a sua capacidade de descobrir, monitorizar, gerir e proteger contas de serviço.

Também adicionámos mais opções para incorporar a proteção DSP e Active Diretory (AD) nos seus fluxos de trabalho e processos existentes. Novas acções automatizadas e a capacidade de importar objectos AD para listas de objectos permitem uma monitorização e gestão simplificadas. Além disso, esta versão inclui vários aprimoramentos críticos de segurança.

Porque é que a segurança das contas de serviço é essencial para reduzir o risco de violação?

Pela sua própria natureza, as contas de serviço são alvos óbvios para os atacantes. O seu papel crítico nos principais processos empresariais, combinado com a utilização de palavras-passe estáticas e privilégios excessivos - bem como a tendência para serem deixadas no local e esquecidas muito depois de as aplicações associadas serem retiradas - torna as contas de serviço pontos de entrada ideais.

Agora, acrescente o facto de muitos sistemas de identidade incluírem contas de serviço criadas há décadas por funcionários que já se reformaram há muito tempo - de modo que ninguém na empresa sabe o que fazem ou onde encontrá-las - e tem um pesadelo de governação e segurança nas suas mãos.

Devido à sua complexidade, a proteção de contas de serviço requer uma abordagem multifacetada - e é aí que DSP se destaca.

Comece com uma sofisticada proteção de contas de serviço

O módulo Service Accounts Protection melhora as capacidades do DSP, descobrindo continuamente contas de serviço desconhecidas e deslocadas, detectando contas obsoletas e mal configuradas, revelando configurações de risco e exposições críticas, e alertando para comportamentos maliciosos e anómalos.

O nosso mais recente módulo simplifica a gestão da conta de serviço e dá-lhe tranquilidade.

Obter intervenção à velocidade da máquina com regras de resposta automatizadas

A funcionalidade Auto Undo do DSPfoi significativamente melhorada, oferecendo agora novas capacidades de resposta rápida. Com as novas ações de resposta, é possível configurar conjuntos de regras para detetar atividades maliciosas ou comportamentos anômalos e agir em tempo real, muito mais rápido do que a intervenção humana. DSP reverterá as alterações - ou até mesmo desativará uma conta com comportamento inadequado - antes que ocorram danos.

As respostas automáticas também podem ser integradas noutros sistemas, como sistemas de emissão de bilhetes ou ferramentas de gestão do fluxo de trabalho, simplificando o tratamento de incidentes em toda a linha.

Simplificar os processos e a monitorização com listas de objectos

Com o DSP 5.0, é possível simplificar a administração agrupando objectos semelhantes do AD em listas de objectos. Pode atualizar automaticamente as listas de objectos do AD ou de sistemas externos, como um RDBMS, e depois utilizá-las para criar regras, monitorizar alterações, gerar relatórios e filtrar dados.

As listas de objectos oferecem uma forma simples e dinâmica de gerir os seus dados e de se concentrar no âmbito certo.

Acelerar a análise do percurso do ataque

As relações entre objectos, mandantes, computadores, utilizadores, permissões e configurações no Active Diretory formam uma matriz complexa de interdependências. Os atacantes exploram frequentemente esta complexidade para aumentar os privilégios, o que lhes pode permitir assumir o controlo do ambiente AD.

O módulo de análise do caminho de ataque combina o poder do Forest Druid (ferramenta de gestão do caminho de ataque da comunidade da Semperis) com as capacidades do DSP para destacar e ajudar a proteger os caminhos de ataque que podem levar ao comprometimento do AD, ajudando-o a manter-se à frente dos atacantes.

DSP valida continuamente a segurança do seu sistema de identidade

Manter o AD e o Entra ID seguros é um desafio contínuo. DSP coloca a segurança híbrida do Active Diretory no piloto automático com monitoramento contínuo e visibilidade inigualável em ambientes locais de AD e Entra ID.

DSP permite que os profissionais de segurança e as equipas de operações de segurança obtenham proactivamente o controlo da segurança do AD e do Entra ID:

  • Validação contínua da postura de segurança do AD e do Entra ID
  • Minimizar a superfície de ataque à identidade
  • Detetar ataques híbridos avançados, que são difíceis de identificar com a deteção baseada em registos nos SIEM
  • Reverter automaticamente alterações maliciosas do AD e do Entra ID que muitas vezes acontecem demasiado depressa para intervenção humana
  • Fornecimento de registos invioláveis para permitir que as equipas de resposta a incidentes pesquisem, correlacionem e isolem contas AD comprometidas e removam a persistência de malware

A equipa de produtos DSP está concentrada na inovação contínua, na resolução de problemas e na capacitação dos defensores da segurança de identidade. As últimas melhorias apoiam os seus esforços para proteger contas de serviço, automatizar respostas a actividades maliciosas e simplificar a análise de caminhos de ataque - reforçando a ciber-resiliência da sua organização.

Recursos adicionais