Detectar alterações maliciosas no AD

Detecção e resposta a ameaças do Active Directory

Monitorize todas as alterações ao Active Directory e ao Azure AD - incluindo ameaças avançadas que escapam à monitorização tradicional.

Detectar ameaças ao Active Directory e ao Azure AD

As organizações dependem da infra-estrutura de identidade para autenticar utilizadores e fornecer acesso seguro a aplicações e serviços críticos para o negócio. Para 90% das organizações em todo o mundo, o Active Directory e o Azure Active Directory formam o núcleo dos seus serviços de identidade. Mas proteger o Active Directory é difícil, dado o seu fluxo constante, o grande número de definições e o cenário de ameaças cada vez mais sofisticado. A protecção de sistemas AD híbridos traz desafios adicionais, uma vez que muitos ataques começam no local e passam para a nuvem. A protecção contra ataques requer uma monitorização contínua do AD e do Azure AD e uma visão única das alterações maliciosas em todo o ambiente.

Relatório Semperis:
73%
das organizações NÃO estão confiantes de que poderiam evitar ataques ao Azure AD
Relatório de Defesa Digital da Microsoft:
88%
das organizações afectadas por incidentes de ransomware não utilizaram as melhores práticas de segurança do AD e do Azure AD
Relatório de Defesa Digital da Microsoft:
1 hora, 42 minutos
o tempo médio para um atacante começar a mover-se lateralmente após o comprometimento do dispositivo
Relatório de Defesa Digital da Microsoft:
68%
das organizações afectadas por incidentes cibernéticos não tinham um processo eficaz de gestão de vulnerabilidades e de correcções

Obter o controlo da detecção e resposta a ameaças AD

Para se protegerem contra ameaças em constante evolução, as organizações precisam de monitorizar continuamente o Active Directory e o Azure AD para Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs), incluindo ataques avançados como o DCShadow que escapam às soluções tradicionais de monitorização baseadas em registos ou eventos.

ícone do globo ocular
Monitor

Verificar continuamente o ambiente do AD e do Azure AD para Indicators of Exposure (IOEs) and Compromise (IOCs)

Detetar

Descubra ataques avançados, como o DCShadow, que escapam às soluções tradicionais baseadas em registos e eventos, incluindo SIEMs.

ícone da lista de controlo
Responder

Impeça os atacantes com rastreio inviolável, notificações em tempo real e reversão automática de alterações.

Detectar e responder aos crescentes ataques aos sistemas de identidade

Monitorização contínua de novas ameaças

Grupos sofisticados de ransomware-as-a-service (RaaS) estão a intensificar os seus ataques a sistemas de identidade num esforço para obter acesso a recursos críticos. Para defender o ambiente AD híbrido no cenário de ameaças em constante mudança, as organizações precisam de:

  • Analise o AD e o Azure AD em busca de centenas de vulnerabilidades (IOEs e IOCs), constantemente actualizadas para fazer face a novas ameaças
  • Capturar alterações maliciosas mesmo que o registo de segurança seja desactivado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas directamente no AD
  • Localizar e corrigir alterações indesejadas de objectos e atributos do AD e do Azure AD
  • Identificar e isolar alterações maliciosas para apoiar as operações de Perícia Digital e Resposta a Incidentes (DFIR)
  • Definir notificações em tempo real sobre alterações no AD e no Azure AD
Saiba mais
Defenda-se contra ataques AD que não deixam rasto

Os cibercriminosos desenvolvem continuamente novas tácticas e técnicas para obter acesso ao Active Directory, tornando os seus ataques ainda mais perigosos. Quando se trata de detectar acções potencialmente maliciosas no Active Directory (AD), a maior parte das organizações confia na consolidação do registo de eventos do controlador de domínio e nas soluções SIEM para detectar registos e alterações anormais. Esta abordagem funciona - desde que a técnica de ataque deixe um rasto de registo. Alguns ataques sofisticados não deixam provas de actividade maliciosa. As organizações precisam de soluções que detectem e protejam contra ataques como:

  • DCShadow, que regista um DC desonesto, contornando a monitorização SIEM tradicional
  • Alterações da Política de Grupo, que não são captadas pelos registos de eventos por defeito
  • Ataques Zerologon, que contornam as ferramentas de monitorização que não estão atentas a alterações inesperadas de palavras-passe nos DCs
Saiba mais
A nossa missão tem eco junto dos líderes do setor
Microsoft

"Os agentes avançados estão a atacar as implementações de identidade no local para efetuar uma violação sistémica e fazer a ponte para o acesso de administrador à nuvem. As organizações em ambientes híbridos do Active Directory precisam de uma segurança que coloque a identidade em primeiro lugar para proteger os seus sistemas AD e Azure AD contra ataques. Isto requer uma monitorização e avaliação contínuas da postura de segurança do AD e do Azure AD para defender contra ataques baseados na identidade, em parceria com as equipas de segurança convencionais."

Alex Weinert VP de Segurança de Identidade, Microsoft
El Al Israel Airlines

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.

Saiba mais Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines
Insights dos pares da Gartner

Temos muitas alterações a acontecer no nosso ambiente Active Directory, adicionando servidores Linux, etc... [Directory Services Protector] ajuda-nos a monitorizar e a reverter alterações perigosas com um clique num botão.

Ler a crítica Membro da equipa de TI, organização empresarial
Insights dos pares da Gartner

O DSP e ADFR da Semperis foram muito fáceis de implementar. O serviço e a orientação que recebemos da equipa da Semperis foram excecionais.

Ler a crítica Especialista em TI Organização bancária empresarial
Insights dos pares da Gartner

Directory Services Protector é excepcional com relatórios, monitorização e correcção em tempo real, relatórios activos e notificações instantâneas quando os objectos são modificados ou alterados.

Ler a crítica Administrador Sénior de Sistemas Windows Organização Empresarial

Perguntas frequentes sobre a detecção e resposta a ameaças do AD

Qual é a melhor forma de avaliar as minhas actuais vulnerabilidades do Active Directory?

O reforço do AD começa com o controlo das vulnerabilidades e dos erros comuns de configuração e gestão que preparam o caminho para os compromissos. Para defender o AD, os administradores precisam de saber como os atacantes estão a atacar o seu ambiente. A realização de uma avaliação completa das vulnerabilidades no ambiente do AD requer uma solução que seja continuamente actualizada para procurar Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs). Para efectuar uma avaliação inicial, pode descarregar e utilizar a ferramenta gratuita Purple Knightque analisará o seu ambiente em busca de centenas de IOEs e IOCs, gerará uma pontuação de segurança global e fornecerá orientações de correcção prioritárias de especialistas em segurança do AD.

Quais são as vulnerabilidades de segurança do AD mais críticas?

Devido a configurações incorrectas do AD herdadas que se acumulam ao longo do tempo, muitos ambientes AD têm dezenas ou centenas de vulnerabilidades de segurança. As vulnerabilidades críticas incluem configurações incorrectas relacionadas com a autenticação, tais como permitir o acesso anónimo ao AD. A permissão de privilégios excessivos é outra fonte comum de vulnerabilidades de segurança do AD. Para obter mais informações sobre as vulnerabilidades de segurança comuns do AD, consulte "Sabe quais são as suas vulnerabilidades de segurança do Active Directory?"

Como posso detectar ataques ao AD concebidos para iludir os sistemas de monitorização?

Os ciberataques estão a desenvolver métodos cada vez mais sofisticados de violação de ambientes AD que evitam a detecção. Para detectar alterações maliciosas que contornam os sistemas de monitorização tradicionais (como SIEMs), é necessária uma solução que utilize várias fontes de dados. Procure uma ferramenta que possa capturar alterações mesmo que o registo de segurança esteja desactivado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas directamente no AD.

Como posso monitorizar as vulnerabilidades de segurança no Azure AD?

Pode utilizar a ferramenta gratuita de avaliação de segurança do AD Purple Knight para analisar o seu ambiente do Azure AD em busca de vários IOEs e IOCs, incluindo contas de convidado inactivas, políticas de acesso condicional mal configuradas e utilizadores privilegiados do Azure AD que também são utilizadores privilegiados no AD local, o que pode resultar no comprometimento de ambos os ambientes. Pode utilizar Directory Services Protector para acompanhar as alterações do Azure AD em tempo real; para obter mais informações, consulte "5 novas formas de proteger o AD e o Azure AD"

Detectar e responder a ataques ao AD

Não perca as ameaças do AD ou do Azure AD

Verificar Directory Services Protector