Detetar e prevenir ataques baseados na identidade

O Lightning IRP combina a profunda experiência da nossa equipa na criação de modelos de aprendizagem automática para informações sobre ameaças e a nossa experiência real de resposta a incidentes para detetar os padrões de ataque de identidade mais generalizados e problemáticos. O Lightning IRP concentra os defensores nos alertas de ataque de identidade mais críticos e reduz o ruído através de uma estrutura de risco de identidade que extrai informações de várias fontes:

1. Dados de rastreio de alterações de directórios em ambientes híbridos Active Directory e Entra ID
2. Centenas de indicadores de segurança de exposição e comprometimento, regularmente actualizados pela equipa de investigação de ameaças à identidade da Semperis
3. Análise do percurso de ataque de nível 0 para mapear relações de risco com grupos privilegiados com acesso a dados sensíveis

O Lightning Identity Runtime Protection (IRP) concentra-se em alguns dos ataques mais difundidos e problemáticos, incluindo:

• Ataques de pulverização de palavra-passe: Monitoriza as tentativas de início de sessão para detetar padrões indicativos de um ataque de pulverização de palavra-passe
• Ataques de força bruta: Monitoriza tentativas repetidas e rápidas de início de sessão contra um único utilizador para detetar potenciais ataques de força bruta
• Logons anómalos: Procura anomalias de início de sessão do utilizador que indiquem um início de sessão anómalo no AD
• Acesso anómalo a recursos: Monitoriza a atividade de um utilizador e qualquer interação com serviços que indiquem um ataque aos serviços AD
• Anomalias nos bilhetes de serviço: Procura requisitos suspeitos de bilhetes de serviço que indiquem um ataque Kerberoasting no AD

As técnicas de ataque já testadas e comprovadas, como a pulverização de palavras-passe e os ataques de força bruta, ainda funcionam porque o grande volume de ruído que geram torna-as difíceis de detetar. Cerca de 31% dos vectores de ataque iniciais são ataques de força bruta e quase um terço de todas as contas comprometidas são ataques de pulverização de palavras-passe. 

Num ataque de pulverização de palavras-passe, um adversário tenta repetidamente iniciar sessão num grande número de contas-alvo utilizando um conjunto limitado de palavras-passe até violar o sistema de autenticação-alvo para obter acesso à conta e ao sistema. Num ataque de força bruta, um atacante tenta repetidamente iniciar sessão utilizando diferentes palavras-passe até violar o sistema de autenticação alvo para obter acesso à conta e ao sistema.

Em ambos os casos, estas técnicas geram um elevado volume de dados, tornando a análise morosa e entediante.

Um comportamento anómalo pode sinalizar um ataque iminente. Por exemplo, um início de sessão anómalo pode indicar um acesso não autorizado ao sistema de identidade. As anomalias de bilhetes de serviço assinalam pedidos de bilhetes de serviço suspeitos que podem indicar uma tentativa de abuso do mecanismo de bilhetes do Active Directory como parte de um ciberataque, como o Kerberoasting. Esses pedidos anómalos incluem o pedido de um bilhete para serviços raramente utilizados ou o pedido de um bilhete com um algoritmo criptográfico desclassificado.