Quando se trata de proteger a sua empresa contra ciberataques, a protecção da sua infra-estrutura de identidade é fundamental. As infiltrações nos sistemas de identidade não só expõem os seus activos e operações comerciais mais importantes a ataques, como também podem passar despercebidas durante longos períodos, causando danos significativos. Por isso, reforçar a sua posição de segurança de identidade é um passo importante. Para pelo menos 90% das empresas, isso significa dar prioridade à segurança do Active Directory (AD) e do Azure AD. Felizmente, quer escolha o PingCastle ou Purple Knight, ambas as ferramentas oferecem opções gratuitas para o ajudar a avaliar o estado da segurança do Active Directory e fornecer informações sobre como a melhorar.
Para determinar qual a opção mais adequada para a sua organização, examinamos os pontos fortes e o foco principal das edições gratuitas de ambas as ferramentas, bem como a forma como poderá querer reforçar ainda mais as suas defesas.
Leitura relacionada
PingCastle
Desenvolvido por Vincent Le Toux, o PingCastle é uma ferramenta de avaliação de AD escrita em C#. Uma edição básica gratuita está disponível gratuitamente desde 2017; as versões Auditor, Professional e Enterprise incluem recursos adicionais por um preço.
Pode utilizar o PingCastle Basic Edition para efectuar uma verificação de saúde e fornecer informações de segurança contextuais no seu ambiente AD. Com base em modelos e regras incorporados, o PingCastle avalia os subprocessos do AD e gera um relatório de risco. Este relatório inclui uma pontuação para contas privilegiadas, relações de confiança entre domínios do AD, informações sobre objectos obsoletos e anomalias de segurança. Para ambientes híbridos, também pode fornecer informações sobre se a relação de confiança com o Azure AD é segura.
O PingCastle fornece um mapa do AD, que o ajuda a visualizar a hierarquia das relações de confiança. A ferramenta também fornece uma pontuação de integridade do AD associada sempre que disponível. É possível gerar mapas com base em relatórios de verificação de integridade existentes ou através de uma colecção independente de informações.
Para além de avaliar as implementações do AD, o PingCastle analisa as estações de trabalho para procurar problemas como privilégios de administrador local, partilhas abertas com permissões de segurança insuficientes, vulnerabilidades do WannaCry e irregularidades no tempo de arranque. Ao delegar direitos de utilizador ou de criação de máquinas, os erros humanos podem surgir e permitir que um atacante obtenha acesso. O PingCastle pode analisar rapidamente as permissões para detetar essas vulnerabilidades de delegação.
A ferramenta também fornece um relatório baseado na análise de anomalias, que oferece informações sobre quaisquer direitos de acesso indesejáveis que possam existir para objectos críticos no seu ambiente AD.
Capacidades
- Conhecimentos profundos sobre as relações de confiança e a hierarquia dos AD
- Pontuação de segurança através de relatórios para quantificar o estado da segurança do seu AD
- Visibilidade do acesso privilegiado ao seu ambiente AD e das contas que têm uma trajetória de acesso a objetos críticos
- Consolidação de vários relatórios para facilitar a avaliação comparativa
- Relatórios detalhados sobre objectos obsoletos, direitos de administrador local, partilhas de ficheiros abertas e anomalias de segurança semelhantes
Advertências
- Relatórios difíceis de navegar para ambientes complexos com vários domínios
- Não comunicação de indicadores de exposições que possam já ter ocorrido
- Não há relatórios avançados nem suporte para correcção de erros na Basic Edition gratuita
Purple Knight
Purple Knight é uma ferramenta gratuita de avaliação da segurança do AD lançada pela Semperis em 2021. A ferramenta tornou-se rapidamente numa das ferramentas de avaliação de segurança AD mais utilizadas graças ao seu conjunto abrangente de funcionalidades.
Purple Knight ajuda a identificar as lacunas de segurança no seu ambiente AD que podem deixar a porta aberta aos atacantes. A ferramenta também fornece relatórios de avaliação com classificação com base nas seguintes categorias: Delegação do AD, segurança da infra-estrutura do AD, segurança da conta, Kerberos e segurança da Política de Grupo.
Mesmo as equipas sem conhecimentos profundos de AD podem utilizar Purple Knight. A ferramenta pode detectar configurações de risco e falhas de segurança, executando uma série abrangente de testes contra os vectores de ataque mais comuns num ambiente AD. Além disso, pode fornecer informações sobre indicadores de comprometimento (IOCs) para obter informações sobre violações de segurança, como contas backdoor e actividade suspeita do utilizador.
A ferramenta também ajuda a testar a postura de segurança do AD, com base numa lista de indicadores de exposição (IOEs), para identificar configurações incorrectas de segurança que podem agravar-se ao longo do tempo e comprometer a segurança do AD se não forem resolvidas. As capacidades de detecção de IOE e IOC também estão disponíveis como parte da solução paga da Semperis Directory Services Protector ( DSP) de detecção e resposta a ameaças à identidade (ITDR), que fornece funcionalidades adicionais para notificação e correcção das vulnerabilidades encontradas.
As equipas de gestão do AD podem ainda utilizar Purple Knight para resolver problemas de segurança que podem surgir devido a configurações antigas, implementar as melhores práticas de segurança do AD e preparar-se para testes de intrusão, obtendo as informações necessárias para identificar e corrigir os principais problemas antes dos testes.
Capacidades
- Mais de 100 indicadores de segurança baseados em vulnerabilidades de segurança conhecidas e vectores de ameaças emergentes
- Relatórios exaustivos sobre cinco categorias-chave relacionadas com a segurança do AD
- Assistência na implementação das melhores práticas de segurança do AD em grande escala
- Assistência proactiva na atenuação de vulnerabilidades antes de os atacantes as poderem explorar
- Orientações pormenorizadas de correcção para resolver as vulnerabilidades identificadas
- Assistência para reduzir a superfície de ataque e manter-se na vanguarda num cenário de ameaças em constante mudança
- Suporte para ambientes híbridos, com indicadores de segurança para o AD no local e o Azure AD
Advertências
- Avaliação pontual em vez de monitorização contínua
- Nenhuma capacidade de atenuação específica (como a fornecida pela Semperis DSP)
PingCastle ou Purple Knight: Qual é a ferramenta mais adequada para si?
Assim, quando se trata de reforçar a segurança do AD, qual é a ferramenta mais adequada para si: PingCastle ou Purple Knight? A resposta é que ambas as ferramentas podem ter um lugar potencial no seu arsenal. O PingCastle fornece informações de segurança contextuais. Purple Knight pode ajudá-lo a quantificar a sua postura de segurança e a obter informações de segurança aprofundadas com base em IOEs e IOCs.
O relatório 2023 Purple Knight destaca o que as equipas de TI e de segurança estão a fazer quando se trata de corrigir falhas de segurança no Active Directory. Com dados recolhidos através de uma sondagem online e entrevistas aprofundadas, o relatório revela uma série de falhas de segurança que as organizações têm de resolver. Com essas informações, as organizações podem tomar medidas para fechar lacunas críticas de segurança e garantir uma postura de segurança saudável.
Como refere um CISO entrevistado, "O relatório Purple Knight ajudou-nos a tomar medidas imediatas, como encerrar ou desactivar contas do Active Directory que não deveriam ter sido activadas. E depois ajudou-nos a desenvolver um plano de manutenção a longo prazo."
Descarregue Purple Knight gratuitamente para detectar e proteger a sua organização contra vulnerabilidades do AD.