Rastrear e corrigir alterações maliciosas no AD

Auditoria e reversão de alterações do Active Directory

Auditoria e correção de alterações maliciosas no Active Diretory e no Entra ID.

Solicitar uma demonstração

Impeça ataques rápidos ao Active Directory

Grupos sofisticados de ransomware-as-a-service (RaaS) estão a visar o Active Directory, o principal serviço de identidade para 90% das organizações em todo o mundo, com ataques que se movem através das redes com uma velocidade espantosa. Para impedir os ataques, as organizações precisam rastrear alterações maliciosas em tempo real e reverter rapidamente as alterações.

Relatório Semperis:

73%

das organizações NÃO estão confiantes de que poderiam evitar ataques da Entra ID

Testadores de segurança conseguem comprometer o AD em

82%

das suas tentativas, de acordo com a Enterprise Management Associates

Relatório de Defesa Digital da Microsoft:

1 hora, 42 minutos

o tempo médio para um atacante começar a mover-se lateralmente após o comprometimento do dispositivo

7 minutos

O tempo que o ataque NotPetya de 2017 demorou a paralisar a rede da Maersk; a recuperação do Active Directory demorou 9 dias

Defenda o AD com auditoria avançada de alterações e correcção

A auditoria e a correção de alterações mal-intencionadas no Active Diretory exigem soluções criadas especificamente para lidar com ataques sofisticados que visam tanto o AD local quanto o Entra ID. O primeiro passo é implementar ferramentas de monitorização que possam detetar alterações em todo o ambiente AD híbrido, incluindo modificações de contas de utilizador, alterações da Política de Grupo e alterações nos controladores de domínio (DCs). Essas ferramentas também podem fornecer visibilidade sobre quem fez as alterações e quando elas ocorreram. Uma vez detectadas as alterações, é necessário responder de forma rápida e precisa. Em muitos casos, os ataques deslocam-se através das redes com demasiada rapidez para permitir a intervenção humana, pelo que é fundamental dispor de uma correção automatizada.

Monitor

Monitorizar continuamente o AD e o Entra ID para detetar alterações maliciosas.

Auditoria

Auditar as alterações que passam pela infraestrutura do AD.

Remediar

Reverter alterações maliciosas no AD local e no Entra ID.

Acompanhamento de alterações no AD e no Entra ID

O paradigma de segurança da Entra ID é diferente

Muitas organizações estão adotando ambientes de identidade híbrida, implementando tanto o Active Diretory local quanto o Entra ID. Embora a flexibilidade dos ambientes de identidade híbrida traga enormes benefícios, essa abordagem também vem com um risco maior. Assim como no AD local, o Entra ID tem seus pontos fracos, e a combinação híbrida cria oportunidades adicionais para os invasores. Tal como acontece com as violações da Kaseya e da SolarWinds, os cibercriminosos estão a explorar os pontos fracos de segurança nos sistemas de identidade híbrida, entrando na nuvem e passando para o sistema no local - ou vice-versa. A auditoria e a correção de alterações mal-intencionadas no Entra ID exigem uma abordagem completamente diferente do gerenciamento de segurança do AD local.

O novo modelo de autenticação significa que conceitos familiares, como florestas e objectos de política de grupo, já não se aplicam ao ambiente Entra ID.
Decisões como a fusão do AD local e do Entra ID com o Azure Connect podem ter consequências significativas em termos de segurança.
A noção de perímetro de rede tradicional não existe na Entra ID, pelo que as equipas de TI e de segurança têm de se defender contra um conjunto interminável de potenciais pontos de entrada.
A mudança para o Entra ID traz mudanças significativas para o modelo de permissões: Em um ambiente AD híbrido, as identidades são armazenadas na nuvem, potencialmente vulneráveis a ataques semelhantes aos ataques da SolarWinds e da Kaseya.
A falta de visibilidade de alterações potencialmente maliciosas no ambiente AD híbrido pode comprometer a segurança.

Saiba mais

É difícil auditar o Entra ID e as alterações no AD local

A falta de visibilidade no ambiente AD híbrido significa que os ataques podem entrar pelo Entra ID e passar para o AD local, ou vice-versa. As organizações precisam de soluções que as ajudem a auditar e corrigir ataques, sejam eles originados na nuvem ou no ambiente de identidade local.

Uma visão única das alterações no Entra ID e no AD local pode esclarecer os ataques que se movem pelo ambiente.
A auditoria de alterações do Entra ID em tempo real pode ajudar a monitorizar alterações maliciosas.
A capacidade de reverter alterações no AD local e no Entra ID ajuda a responder a ataques rápidos no ambiente AD híbrido.

Saiba mais

Auditoria de alterações do AD que contornam os SIEM

Os ataques avançados podem evitar o rastreio

Ter a capacidade de detetar atacantes a entrar, a deslocar-se ou, pior ainda, a administrar o seu sistema de identidade é fundamental para uma resposta rápida. Dado o longo tempo de permanência do malware, é evidente que os cibercriminosos são muito bons a trabalhar em segredo. Para detetar ataques avançados que escapam aos sistemas baseados em registos ou eventos, é necessária uma solução que utilize tácticas diferentes para localizar ameaças de segurança AD e Entra ID.

Utiliza várias fontes de dados, incluindo o fluxo de replicação do AD, para auditar alterações, tais como alterações à Política de Grupo, alterações a membros de grupos de Administradores de Domínio e outras alterações que escapam a muitos sistemas de monitorização.
Utiliza o rastreio inviolável para capturar alterações mesmo que o registo de segurança seja desactivado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas directamente no AD.
Oferece análise forense para identificar alterações suspeitas, isolar alterações efectuadas por contas comprometidas e localizar outras fontes e detalhes de incidentes.
Fornecer notificações em tempo real à medida que ocorrem alterações operacionais e relacionadas com a segurança no AD.

Saiba mais

Corrigir alterações maliciosas no AD e no Entra ID

Parar os ataques de AD requer uma acção rápida

Os ciberataques relacionados com o AD podem paralisar as operações comerciais em minutos. Para impedir os ataques, as organizações precisam de soluções que ofereçam correção automatizada de alterações indesejadas.

A reversão automatizada de alterações maliciosas impede ataques que se movem através de redes demasiado rápidas para intervenção humana.
As capacidades de pesquisa instantânea de localização e correcção ajudam as organizações a resolver alterações indesejadas de objectos e atributos do AD em minutos.
As capacidades de reversão granular ajudam as equipas de TI e de segurança a desfazer alterações a atributos individuais, membros de grupos, objectos e contentores em qualquer momento.

A nossa missão tem eco junto dos líderes do setor

Temos muitas alterações a acontecer no nosso ambiente Active Directory, adicionando servidores Linux, etc... [Directory Services Protector] ajuda-nos a monitorizar e a reverter alterações perigosas com um clique num botão.
Ler a crítica Membro da equipa de TI, organização empresarial

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.
Saiba mais Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines

Utilizamos o Directory Services Protector para nos alertar sobre as alterações da Política de Grupo. Permitiu-nos implementar um controlo de alterações internas mais forte e processos de melhoria para evitar actividades de TI desonestas que podem ser convenientes para nós mas não são seguras.
Director de Tecnologia Prática Médica Especializada em Ortopedia

Directory Services Protector é excepcional com relatórios, monitorização e correcção em tempo real, relatórios activos e notificações instantâneas quando os objectos são modificados ou alterados.
Ler a crítica Administrador Sénior de Sistemas Windows Organização Empresarial

Perguntas frequentes sobre auditoria de alterações e reversão do AD

O que é a auditoria do Active Directory?

A auditoria do Active Diretory é o processo de monitorização do AD para detetar vulnerabilidades e erros comuns de configuração e gestão que podem abrir a porta a compromissos de segurança. Muitas organizações têm ambientes AD antigos com dezenas ou centenas de configurações incorrectas que se acumularam ao longo do tempo. Devido a recursos limitados e à falta de conjuntos de habilidades de AD na equipe, a auditoria contínua do AD e do Entra ID em busca de lacunas de segurança é frequentemente negligenciada. Os criminosos cibernéticos sabem que muitas lacunas comuns de segurança do AD não são abordadas, tornando o AD o alvo número 1 de ataques cibernéticos: Os pesquisadores da Mandiant relatam que 9 em cada 10 ataques envolveram o AD de alguma forma. Para compreender as vulnerabilidades de segurança do AD na sua organização, descarregue o Purple Knight, uma ferramenta gratuita de avaliação da segurança do AD que analisa o ambiente do AD em busca de centenas de indicadores de exposição (IOEs) e de comprometimento (IOCs), fornece uma pontuação geral de segurança e orientações de correção prioritárias de especialistas em segurança do AD.

Como é que se auditam as alterações à Política de Grupo?

A auditoria das alterações à Política de Grupo é uma parte crítica do reforço da segurança do Active Diretory e é um desafio porque as soluções tradicionais de monitorização baseadas em eventos não incluem normalmente detalhes sobre as alterações numa Política de Grupo. Por exemplo, se um atacante fizer uma alteração maliciosa com o Ryuk ransomware, o único sinal será que uma conta com acesso à Política de Grupo fez uma alteração, o que provavelmente não accionará um alerta. Para detetar alterações maliciosas à Política de Grupo, é necessária uma solução que utilize várias fontes de dados, incluindo o fluxo de replicação do AD, para obter um contexto adicional que indique um potencial ataque em curso. Para compreender as lacunas de segurança no seu AD relacionadas com as configurações incorrectas da Política de Grupo, transfira o Purple Knight, uma ferramenta de avaliação de segurança do AD gratuita que analisa o ambiente do AD em busca de centenas de indicadores de exposição (IOEs) e compromisso (IOCs). Purple Knight analisa várias configurações incorrectas da Política de Grupo, incluindo alterações de executáveis SYSVOL, delegação de ligação de GPO ao nível do site do AD e palavras-passe reversíveis encontradas em GPOs.

Como posso acompanhar as alterações no Active Directory?

Para acompanhar as alterações no Active Diretory, é necessário monitorizar continuamente o ambiente do AD em termos de indicadores de exposição (IOEs) e de compromisso (IOCs) relacionados com a segurança da conta do Active Diretory, a delegação do AD, a Política de Grupo, o Kerberos, a segurança do Entra ID e a segurança da infraestrutura do AD. Os grupos de ransomware estão constantemente a desenvolver novos métodos para comprometer o AD, que é o principal armazenamento de identidade para 90% das organizações em todo o mundo. Com acesso privilegiado ao AD, os criminosos virtuais podem obter acesso a toda a rede, paralisando as operações comerciais. Para uma avaliação pontual das lacunas de segurança do AD, descarregue o Purple Knight, uma ferramenta gratuita de avaliação da segurança do AD que analisa o ambiente do AD em busca de centenas de indicadores de exposição (IOEs) e de comprometimento (IOCs), fornece uma pontuação geral de segurança e orientações prioritárias de correção de especialistas em segurança do AD. Para acompanhar continuamente as alterações no AD e no Entra ID, confira Directory Services Protectoruma solução de monitoramento e deteção de ameaças ao AD que rastreia alterações no AD e no Entra ID e fornece reversão automatizada de alterações maliciosas no AD.

Como posso rastrear vulnerabilidades de segurança no Entra ID?

Pode utilizar a ferramenta gratuita de avaliação da segurança do AD Purple Knight para verificar o ambiente do Entra ID em busca de vários IOEs e IOCs, incluindo contas de convidado inativas, políticas de acesso condicional mal configuradas e usuários privilegiados do Entra ID que também são usuários privilegiados no AD local, o que pode resultar no comprometimento de ambos os ambientes. Você pode usar o Directory Services Protector para rastrear as alterações da ID Entra em tempo real; para obter mais informações, consulte "Aprimorar a proteção do AD e da ID Entra contra ameaças cibernéticas".

Como posso auditar as alterações do Active Directory, como o DCShadow?

O DCShadow é um dos poucos tipos de ataques que não deixam evidência de actividade maliciosa, pelo que são difíceis de detectar com sistemas tradicionais baseados em eventos ou registos. Esta técnica de ataque contorna o registo tradicional baseado em SIEM. Em vez disso, as alterações são injectadas directamente no fluxo de replicação dos controladores de domínio de produção. Para se protegerem contra ataques que contornam a monitorização tradicional, as organizações necessitam de soluções que utilizem várias fontes de dados, incluindo o fluxo de replicação do AD. Para uma detecção e resposta abrangentes a ameaças ao AD, incluindo a capacidade de auditar o AD para detectar ataques que escapam aos SIEMs e a outras ferramentas de monitorização tradicionais, consulte Directory Services Protector.