Muitos ciberataques passam despercebidos até que os danos estejam feitos, apesar dos esforços das organizações para os evitar. E muitos ataques de identidade bem sucedidos utilizam as mesmas técnicas testadas e comprovadas que têm funcionado durante anos, como a pulverização de palavras-passe e os ataques de força bruta. A Microsoft estima que os ataques de pulverização de palavras-passe são responsáveis por mais de um terço de todos os comprometimentos de contas nas organizações. De facto, um dos ataques recentes de pulverização de palavras-passe mais bem sucedidos foi o Midnight Blizzard, que a Microsoft descobriu em janeiro.
Então, porque é que os ataques relacionados com a identidade - mesmo os que são notícia antiga, como a pulverização de palavras-passe - são tão difíceis de evitar? Parte do problema é a falta de práticas fundamentais de segurança do sistema de identidade, uma falha que foi bem documentada pela Microsoft e que também foi observada pela equipa dos Serviços de Preparação e Resposta a Violações da Semperis. A verificação contínua do ambiente do AD e do Entra ID em busca de vulnerabilidades e a eliminação dessas lacunas de segurança podem evitar muitas das violações observadas pela nossa equipa.
Mas mesmo para as organizações com as melhores práticas de segurança do sistema de identidade, alguns ataques são notoriamente difíceis de detetar. O principal desafio é separar o sinal do ruído. Em muitos casos, as ferramentas de cibersegurança das organizações não conseguem detetar ataques avançados - ou os ataques são detectados, mas o ruído é tão elevado que o sinal passa despercebido.
As organizações precisam de melhores maneiras de descobrir ataques predominantes. É aí que entra a nova oferta da Semperis, a Lightning Identity Runtime Protection.
Deteção de padrões de ataque em tempo real com base em ML e criada por especialistas
O Lightning Identity Runtime Protection adota uma abordagem inovadora para detetar os ataques mais consistentemente bem-sucedidos, mesclando uma profunda experiência em aprendizado de máquina com o conhecimento do mundo real sobre como os ataques funcionam na natureza. Liderada pelo cientista-chefe da Semperis, Dr. Igor Baikalov, um especialista em aprendizagem automática, a nossa equipa de investigação de ameaças analisou as técnicas de ataque que fazem continuamente as manchetes e desenvolveu algoritmos de ML que detectam estes ataques generalizados.
Com base nas capacidades de prevenção, deteção e resposta a ameaças à identidade em Directory Services Protector ( DSP), o Lightning IRP captura e analisa eventos de autenticação para determinar se fazem parte de um padrão de ataque ou se podem sinalizar um comportamento anómalo. A pontuação de anomalia usa dados de logon e atividade de acesso para destacar a probabilidade de um ataque, concentrando-se em ameaças de alta prioridade:
- Pulverização de palavras-passe: Monitorizar as tentativas de início de sessão para detetar padrões que indiquem um ataque de pulverização de palavra-passe
- Força bruta: Monitorizar tentativas repetidas e rápidas de início de sessão contra um único utilizador para detetar potenciais ataques de força bruta
- Logons anómalos: Descobrir logons anómalos do AD
- Acesso anómalo a recursos: Monitorizar a atividade do utilizador e qualquer interação com serviços que possam indicar um ataque aos serviços AD
- Anomalias nos bilhetes de serviço: Procure requisitos suspeitos de bilhetes de serviço que possam indicar um ataque Kerberoasting no AD
Os dados que o Lightning IRP fornece podem ajudar as equipes de segurança a intercetar ou evitar um incidente de segurança, identificando como uma rede foi violada, os backdoors que foram criados e as credenciais privilegiadas que foram comprometidas. Junto com a notificação de um ataque potencial, o IRP do Lightning fornece os detalhes necessários para mitigá-lo e gera um evento Syslog para que um alerta possa ser enviado a um sistema SIEM.
Ao ajudar a restringir seu foco aos fatores que indicam uma ameaça de alta prioridade, o Lightning IRP ajuda a reduzir o risco e acelerar o tempo de resposta para incidentes relacionados à identidade.
Expansão da deteção e resposta a ameaças à identidade para a Entra ID
Para além da introdução da proteção de tempo de execução da identidade, expandimos recentemente as nossas capacidades de deteção e resposta a ameaças à identidade para a Entra ID com a versão mais recente de Directory Services Protector, com base no nosso historial de longa data para ajudar as organizações a proteger os seus sistemas de identidade híbrida.
DSP para o Entra ID fornece indicadores específicos para o Entra ID, uma visualização de identidades híbridas para que você possa acompanhar as alterações no ambiente híbrido e algumas novas maneiras de corrigir alterações indesejadas no Entra ID, incluindo a capacidade de:
- Criar regras personalizadas para abordar alterações específicas de ID Entra
- Auto-confirmação ou notificação dos utilizadores quando é detectada uma alteração específica
- Filtrar e pesquisar regras accionadas
Como os sistemas de identidade são o principal alvo dos atacantes cibernéticos, as organizações precisam de soluções que possam proteger o AD e o Entra ID antes, durante e depois dos ataques. DSP fornece visibilidade inigualável das ameaças e recursos poderosos de correção em todo o ambiente híbrido do AD. Agora, com o IRP, as organizações podem resolver outro desafio difícil: descobrir ameaças verdadeiras na nevasca do ruído do sinal de ataque, reduzindo o risco de um ataque bem-sucedido ao sistema de identidade.
