Envolva os principais especialistas mundiais em segurança cibernética do Active Directory para desenvolver e implementar uma preparação e resposta abrangentes a ataques cibernéticos ao AD.
O Active Directory é o vector de ataque n.º 1 no panorama das ameaças à cibersegurança porque é um alvo lucrativo para os cibercriminosos. Sendo o principal serviço de identidade para 90% das organizações em todo o mundo, o AD fornece autenticação de utilizadores e acesso a aplicações e serviços críticos para a empresa. Um comprometimento do AD pode causar semanas de inactividade. As organizações que não protegem adequadamente o AD são susceptíveis de acabar por pagar um resgate para restaurar os dados e retomar as operações comerciais.
A Semperis, líder em Segurança de Identidade Alimentada por IA e Resiliência Cibernética para empresas, oferece serviços de Forense de Identidade e Resposta a Incidentes (IFIR), combinando insights de especialistas em segurança e resposta a incidentes (IR) do Active Diretory (AD) testados em batalha com soluções líderes do setor para prevenir, remediar e se recuperar de ataques ao AD. Estes serviços permitem-lhe tirar partido da experiência da Semperis antes, durante e após um ataque, para que possa beneficiar das décadas de experiência combinada da nossa equipa na resposta a incidentes cibernéticos.
Serviços de preparação
Mantenha-se à frente dos atacantes com serviços especializados de preparação para violações, incluindo programas abrangentes para descobrir pontos fracos de segurança na sua infra-estrutura AD e melhorar a postura geral de segurança.
Serviços de resposta
Com 100 anos de experiência combinada de Microsoft MVP em serviços de diretório, a nossa equipa tem uma visão em primeira mão de onde se encontram os problemas no caso de um ataque de AD, juntamente com uma profunda experiência e conhecimentos em limpeza de AD, mitigação de riscos e correção de ameaças. de um ataque ao AD, juntamente com uma profunda experiência e conhecimento em limpeza do AD, mitigação de riscos e correção de ameaças. A experiência colectiva da equipa vai desde a conceção, configuração e segurança do Active Directory até à investigação de vulnerabilidades e testes de penetração da equipa vermelha. A nossa equipa também ajuda as organizações a recuperar o Active Directory de ataques de ransomware e de ameaças internas.
O Active Diretory é um sistema complexo com inúmeras definições e funcionalidades configuráveis, o que o torna difícil de proteger. As falhas de conceção, os erros operacionais e as configurações incorrectas acumulam-se ao longo dos anos para criar uma dívida técnica que é muitas vezes difícil de resolver e expõe o AD a um espetro de ataques. Essas vulnerabilidades fazem do AD o caminho de menor resistência para um invasor atingir sistemas críticos e dados confidenciais. A nossa equipa ajuda com dois passos importantes para reduzir a probabilidade de um atacante destruir ou encriptar com sucesso o seu ambiente: A primeira é encontrar configurações incorrectas e caminhos de ataque que um atacante poderia utilizar para comprometer o seu ambiente. Em segundo lugar, preparar-se para o pior cenário possível de um atacante destruir ou bloquear os administradores e utilizadores do AD. A equipa de Identity Forensics & Incident Response (IFIR) Services da Semperis ajuda-o a identificar e a fechar caminhos de ataque no seu ambiente AD e Azure AD com avaliações de segurança do Active Diretory, mitigação de ameaças do AD e planeamento e exercícios de recuperação de desastres (DR) do AD.
A Avaliação de Segurança do Active Directory (ADSA) dá-lhe uma imagem clara da sua postura de segurança do AD e um roteiro para abordar as exposições aos níveis estratégico, operacional e tático. Os nossos especialistas em segurança do AD utilizam entrevistas, questionários e várias ferramentas de análise automatizadas e manuais para efetuar a avaliação.
Este serviço ajuda as organizações a prevenir e a preparar-se para um ataque. Desenvolvido para os clientes da Semperis Directory Services Protector (DSP), este serviço inclui uma avaliação anual de segurança padrão do Active Directory, sessões periódicas de redução da superfície de ataque e otimização personalizada de DSP, a solução de deteção e resposta a ameaças AD reconhecida pela Gartner da Semperis.
Este serviço ajuda as organizações a alinhar os parâmetros do objetivo de tempo de recuperação (RTO) e do objetivo de ponto de recuperação (RPO) e identifica as dependências implícitas que podem impedir a execução do plano durante um incidente. Este esforço inclui uma revisão do plano de recuperação, um workshop de planeamento e um teste de stress do plano de recuperação, incluindo uma encriptação simulada da organização.
A Revisão da Arquitetura de Segurança é uma revisão de alto nível do ambiente e das considerações que levaram ao projeto atual. A equipe da Semperis realiza entrevistas com os principais membros da sua equipe e uma análise dos artefatos relevantes, como diagramas de arquitetura. Antes de cada entrevista, a sua equipa preenche um questionário de recolha de informações que ajuda a equipa da Semperis a direccionar a entrevista para áreas de interesse, a obter informações em falta e a garantir que as pessoas certas estão presentes na entrevista. Os principais aspectos capturados ou produzidos nesta fase são:
A Revisão dos Procedimentos Operacionais é uma avaliação dos seus procedimentos operacionais actuais. A equipe da Semperis realiza essa revisão por meio de entrevistas com os principais membros da sua equipe e de uma análise dos artefatos relevantes, como diagramas de fluxo, scripts etc. Tal como acontece com a Revisão da Arquitectura de Segurança, antes de cada entrevista, a sua equipa preencherá um questionário que ajuda a equipa da Semperis a direccionar a entrevista para áreas de interesse, a recolher informações em falta e a garantir que as pessoas certas estão presentes na entrevista. Os principais elementos capturados ou produzidos nesta fase são:
Na Revisão da Configuração de Segurança, a equipa da Semperis utiliza ferramentas automatizadas (como Purple Knight, uma ferramenta de avaliação da segurança do AD criada por especialistas da Semperis) e métodos manuais para identificar indicadores de exposição (IOE) e indicadores de compromisso (IOC) no seu ambiente AD. Os elementos capturados ou produzidos nesta fase são:
A análise da via de ataque visa identificar vias de ataque perigosas ou não intencionais para os activos da camada 0 e outros activos críticos. Os atacantes podem abusar desses caminhos para elevar privilégios e podem introduzir esses caminhos para instalar a persistência do domínio e recuperar o acesso privilegiado. Nesta fase, a equipa da Semperis recolhe e analisa dados utilizando ferramentas internas e de código aberto. Os elementos capturados ou produzidos nesta fase são:
Na fase de Análise e Elaboração de Relatórios, a equipa da Semperis analisa os dados e as conclusões obtidos na avaliação num relatório accionável que descreve o estado actual, fornece um estado recomendado alcançável para o ambiente e oferece um roteiro para alcançar o estado recomendado. O roteiro inclui "linhas de esforço" e "linhas de operação" para alcançar o estado recomendado:
A Semperis oferece workshops opcionais de planeamento de correcção com os nossos especialistas em segurança AD. Esses workshops podem ser realizados após ou durante a avaliação para abordar prontamente os problemas críticos e os problemas mais comuns. Nessas sessões interativas de consultoria, os especialistas da Semperis trabalham com sua equipe de AD para:
O serviço de Redução da Superfície de Ataque é um esforço periódico que envolve um ADSA padrão anual e sessões trimestrais em que os especialistas da Semperis trabalham consigo para analisar IOCs, IOEs e indicadores de ataque (IOAs) recolhidos por DSP, bem como dados recolhidos com outras ferramentas. A equipa da Semperis fornecerá recomendações para reduzir a superfície de ataque e eliminar as exposições de segurança no ambiente AD. Além disso, a equipa da Semperis pode efectuar uma análise do percurso de ataque para identificar percursos de ataque perigosos ou não intencionais a activos de Nível 0 e outros activos críticos, bem como direitos delegados anormais.
Concebido para os clientes da Semperis Directory Services Protector (DSP), este serviço assegura que a implementação DSP é optimizada para satisfazer os seus requisitos de protecção AD. O objectivo é maximizar o resultado da sua postura de segurança, garantindo que o DSP fornece protecção adaptada ao seu ambiente. Essa revisão de otimização está alinhada com as práticas recomendadas da Semperis, que incluem:
Os especialistas da Semperis analisam o plano de recuperação de desastres do AD existente para entender as metas comerciais, o SLA, os cenários de desastres e os métodos atualmente em vigor para recuperar o AD em caso de desastre.
Os especialistas da Semperis trabalham consigo para analisar os seus objectivos comerciais numa catástrofe, tais como os objectivos de ponto de recuperação/tempo de recuperação, locais remotos, número de utilizadores que necessitam de acesso inicial e prioridade de recuperação do ambiente no caso de uma catástrofe em várias florestas. O workshop também mapeia as dependências para o processo de recuperação. A equipa da Semperis irá ajudá-lo a planear diferentes cenários de desastres cibernéticos e operacionais como parte do workshop, incluindo a revisão do armazenamento offline/backups offsite, a recuperação de backups online quando necessário e actividades de recuperação semelhantes. O resultado do workshop é um plano de recuperação de AD documentado que está pronto para ser apresentado aos proprietários da empresa e inclui:
Recomendamos a realização de um teste completo do seu plano de recuperação de desastres do AD pelo menos uma vez por ano ou quando ocorrer uma grande alteração na configuração do AD. O exercício de recuperação de desastres do Active Directory inclui uma criptografia simulada de toda a organização e o processo de recuperação e retomada do controle sobre o AD. Durante esse exercício, os especialistas da Semperis recuperam seus backups de produção em um ambiente de laboratório isolado. No final do exercício, a equipa da Semperis fornece um relatório que descreve os resultados do teste e documenta os problemas, revendo depois o plano de recuperação de desastres em conformidade. Este relatório pode ser utilizado para ajudar a cumprir os requisitos de governação e conformidade.
Se o AD for violado, o tempo está a passar. As organizações que estão a sofrer um ataque informático em curso estão sob uma pressão sem precedentes. Quando um ataque visa o sistema de identidade, as operações mais críticas não podem funcionar até que ele seja reconstruído e se torne confiável novamente. E a reconstrução da identidade pode levar semanas para ser realizada - enquanto todo o resto espera. A Semperis oferece serviços de resposta a incidentes de AD de classe mundial, incluindo recuperação de desastres com prioridade cibernética, investigação de incidentes de AD e análise forense de ataques.
Se o seu ambiente AD estiver gravemente danificado, os especialistas da Semperis utilizam Active Directory Forest Recovery (ADFR) para efectuar uma recuperação parcial ou total da floresta numa nova infra-estrutura isolada, sem transportar o código executável do sistema operativo dos DCs. Essa abordagem elimina a reintrodução de malware. O processo de recuperação inclui o restabelecimento da funcionalidade do AD com base nos procedimentos desenvolvidos no planeamento de DR do Active Directory.
Após um incidente de segurança que afeta negativamente o AD, a primeira etapa crucial de recuperação é investigar se a intenção maliciosa e a inteligência estavam por trás do incidente, constituindo um ataque. Os nossos especialistas utilizam o Semperis Directory Solutions Protector (DSP) e outras ferramentas para analisar os dados de replicação do AD e os registos de eventos correspondentes e recomendam o melhor curso de acção para erradicar totalmente a ameaça do ambiente do AD.
Na sequência de uma investigação forense de um ataque ao AD, os especialistas da Semperis recomendam passos para recuperar o controlo do ambiente AD e eliminar a ameaça, incluindo a erradicação de agentes de ameaça e objectos comprometidos/expostos para evitar que o atacante recupere o controlo, a realização de uma avaliação de segurança para identificar vulnerabilidades e exposições após a contenção e o fornecimento de passos de mitigação para a redução da superfície de ataque ao AD.
A maioria das organizações tem planos de continuidade de negócios em vigor. Mas estes planos raramente têm em conta cenários em que o malware derruba a infraestrutura de identidade da empresa - da qual o Active Directory (AD) é um componente central em 90% das organizações em todo o mundo. Os cibercriminosos visam deliberadamente o AD porque essa tática funciona.
Nenhum fornecedor ou prestador de serviços pode superar a experiência coletiva de Microsoft MVP da Semperis em Serviços de Diretório e Política de Grupo. A equipa de Identity Forensics & Incident Response (IFIR) Services da Semperis é composta por Microsoft MVPs e antigos Microsoft Premier Field Engineers (PFEs) com um historial inigualável de proteção dos ambientes Active Diretory mais sensíveis do mundo e uma profunda experiência em AD on-prem, Azure AD, Okta e outros sistemas de identidade empresarial.
Active Directory comprometido, não inoperante, mas corrigível
Os especialistas em resposta a incidentes da Semperis concentram-se em avaliar o ambiente AD actual, colmatar as lacunas de segurança existentes, erradicar o acesso de agentes de ameaça e criar um backup AD limpo.
Active Directory comprometido, não inativo, não corrigível
O objetivo aqui é realizar rapidamente uma avaliação de segurança do AD, recuperar o AD para um ambiente isolado, realizar a remoção de ameaças e restaurar o AD para um ambiente limpo.
Active Directory inoperacional (cenário mais comum)
O primeiro passo é recuperar o AD para um ambiente isolado e efectuar a análise forense e a correcção da violação, seguida de uma avaliação do AD, remoção de ameaças e recuperação para produção.
Para o ajudar a responder a um ataque em curso, a Semperis combina conhecimentos de especialistas em segurança de identidade e resposta a incidentes testados em combate com soluções líderes da indústria para proteger o Active Directory híbrido das organizações antes, durante e depois de um ataque informático. Obterá uma resposta imediata e especializada ao incidente actual e uma avaliação e correcção abrangentes para se proteger contra ameaças futuras.
Fale com a nossa equipa especializada de resposta a incidentes de AD para agir rapidamente sobre um ataque em curso ou para desenvolver um plano para melhorar a sua postura de segurança global.
Contactar a nossa equipa
Saiba mais sobre como acelerar a resposta a incidentes do AD
Solicite uma demonstração e um dos nossos especialistas em produtos dar-lhe-á a conhecer as nossas soluções.
A Semperis tem uma experiência inigualável na resposta a violações de AD