Inscrições abertas: Conferência sobre Proteção da Identidade Híbrida em Nova Orleães, 13 e 14 de novembro

Análise do caminho de ataque

Identificar e fechar caminhos para activos do Active Directory de nível 0

Descubra e gerencie os caminhos que os agentes de ameaças usam para obter o controle de sua infraestrutura crítica do Active Directory.

Saiba mais

Poupar tempo na redução do percurso de ataque AD

Poucos atacantes ganham o controlo do Active Directory imediatamente. Em vez disso, começam com credenciais de utilizador não privilegiado comprometidas para o acesso inicial. Depois, passam de sistema para sistema, utilizando configurações incorrectas e vulnerabilidades, até conseguirem aumentar os seus privilégios para controlar o Active Directory. Ao concentrar-se nos activos mais próximos dos seus activos de Nível 0, pode poupar tempo na identificação e redução dos caminhos que os atacantes tomam para obter o controlo do seu Active Directory.

Segundo a Enterprise Management Associates, os testadores de penetração são bem sucedidos em
82%
das suas tentativas de explorar o Active Directory
Relatório de Defesa Digital da Microsoft:
3,47 mil milhões de euros
as ameaças de identidade foram bloqueadas no ecossistema Microsoft de julho de 2021 a junho de 2022
Enterprise Management Associates:
40%
das organizações que sofreram um ataque de AD comunicaram que o ataque foi bem sucedido

Redução do caminho de ataque de nível 0 - de dentro para fora

Descubra seus ativos do Active Directory de Nível 0 (as chaves do reino), quem pode obter acesso a eles e como minimizar esses caminhos de acesso.

Descobrir

Utilize ferramentas gratuitas como Forest Druid para compreender o seu verdadeiro limite de Nível 0 e os caminhos que conduzem a ele.

Remediar

Utilize os resultados de Purple Knight e as melhores práticas de segurança do Microsoft AD para eliminar caminhos inesperados para o Nível 0.

ícone do globo ocular
Monitor

Monitorizar continuamente o "desvio de configuração" que pode introduzir novos caminhos de ataque com Directory Services Protector

Descubra o seu verdadeiro limite de Nível 0

É mais do que apenas os seus controladores de domínio

O Centro Nacional de Cibersegurança do Reino Unido define o Nível 0 como "a raiz de confiança em que assenta toda a restante administração". Para o Active Directory, isto inclui contas privilegiadas (como Admins do Domínio) e controladores de domínio (DCs). Uma analogia medieval do Tier 0 é a do castelo de um reino, onde o rei e os seus conselheiros de confiança residem em segurança. Se um agente de ameaça ganhar o controlo de um activo de Nível 0, tem o controlo do Active Directory (ou potencialmente do reino). Mas o Nível 0 no AD abrange mais do que apenas administradores de domínio e DCs. E a capacidade de alterar as permissões nos contentores do AD que contêm contas privilegiadas ou DCs? E quanto ao controlo dos objectos de Política de Grupo (GPOs) que estão ligados, ou podem ser ligados, a um objecto ou contentor privilegiado? E o servidor Azure AD Connect e a conta de serviço que sincroniza os utilizadores com o Azure AD? Todos estes são potenciais caminhos de ataque ao AD - e há mais.

Saiba mais
Concentre-se nos caminhos de ataque que interessam

As ferramentas convencionais de análise de caminhos de ataque do AD adoptam uma abordagem "de fora para dentro" e analisam todo o ambiente para descobrir o pequeno subconjunto de caminhos para o Nível 0. Forest Druid, uma ferramenta gratuita criada pelos especialistas em segurança de identidade da Semperis, aborda a análise de caminhos de ataque do Nível 0 na outra direcção. Para quê dar-se ao trabalho de analisar todas as ruas e caminhos do reino quando só se preocupa em proteger a fortaleza? É essa a abordagem adoptada pelo Forest Druid . Primeiro, o Forest Druid apresenta uma análise padrão de Nível 0. Depois, analisa todos os objectos que têm caminhos para o Nível 0 e..:

  • Adicione-os ao Nível 0 (por exemplo, o contentor incorporado que contém os grupos privilegiados)
  • Anote-os conforme necessário, mas monitorize cuidadosamente o caminho (por exemplo, uma aplicação de linha de negócio antiga)
  • Ou fechar o caminho (um caminho de ataque potencial desnecessário ou não autorizado)
Descarregar Forest Druid
A nossa missão tem eco junto dos líderes do setor
Retalho

Hoje é o primeiro dia em que utilizo Forest Druid e estou muito impressionado. Nunca tive tempo para aprender a usar o Bloodhound, por isso gostei muito do facto de só ter de executar a ferramenta e depois clicar na GUI para começar a encontrar problemas.

Engenheiro SOC Empresa de retalho e de produtos embalados
Microsoft

"Os agentes avançados estão a atacar as implementações de identidade no local para efetuar uma violação sistémica e fazer a ponte para o acesso de administrador à nuvem. As organizações em ambientes híbridos do Active Directory precisam de uma segurança que coloque a identidade em primeiro lugar para proteger os seus sistemas AD e Azure AD contra ataques. Isto requer uma monitorização e avaliação contínuas da postura de segurança do AD e do Azure AD para defender contra ataques baseados na identidade, em parceria com as equipas de segurança convencionais."

Alex Weinert VP de Segurança de Identidade, Microsoft
Insights dos pares da Gartner

A melhor ferramenta de recuperação de AD em caso de ataque de ransomware!

Ler a crítica Director de Directórios e Soluções IAMOrganização Bancária Empresarial de Segurança de TI e Gestão de Riscos

Perguntas frequentes sobre a análise do percurso de ataque de Nível 0

O que são activos da Lista 0?

Os activos de Nível 0 são as contas, grupos e outros activos que têm controlo administrativo directo ou indirecto de uma floresta, domínios e controladores de domínio do Active Directory. Com acesso a estes activos de Nível 0, os atacantes podem assumir o controlo de toda a rede.

O que são níveis administrativos?

A Microsoft desenvolveu o modelo de administração por níveis para o Active Directory para aumentar a dificuldade de os agentes de ameaças efectuarem o escalonamento de privilégios, ou seja, passarem da estação de trabalho para os servidores e dominarem o domínio AD. Este modelo tem três níveis:

  • O Nível 2 é composto por clientes de domínio associado, impressoras, dispositivos móveis e as contas que os administram.
  • O nível 1 contém os servidores e as aplicações, bem como as respectivas contas administrativas.
  • O Nível 0 contém os servidores (por exemplo, controladores de domínio), estruturas do AD (como o GPO da Política de Domínio Predefinida) e contas privilegiadas que suportam o próprio serviço do Active Directory.

Esta hierarquia é imposta de forma a que as credenciais de níveis superiores não possam ser acedidas a partir de níveis inferiores (por exemplo, uma conta de administrador de domínio que inicie sessão num PC cliente, onde essas credenciais privilegiadas poderiam ser posteriormente recolhidas por malware como o mimikatz). Para ambientes híbridos, este modelo foi expandido para ter em conta a sua complexidade acrescida e é designado por modelo de acesso empresarial.

 

 

Porque é que a protecção dos activos de Nível 0 é importante para a segurança da identidade?

Os activos de nível 0 têm controlo administrativo do Active Directory. Se um destes activos for comprometido, um agente de ameaça pode obter o controlo do Active Directory e, consequentemente, de todos os activos - servidores, aplicações, bases de dados, clientes, outras contas do Active Directory - dentro do Active Directory para atingir os seus objectivos.

 

Por que razão é importante definir o perímetro do Nível 0?

Devido a configurações incorrectas que se acumulam ao longo do tempo, muitas organizações têm contas e grupos com acesso privilegiado - ou seja, são activos de Nível 0 - mas estes privilégios excessivos são ignorados ou as equipas de TI e de segurança não têm os recursos necessários para os analisar. Descobrir esses activos pode ser um desafio. Forest Druid A ferramenta comunitária gratuita da Semperis, o Tier 0, permite identificar contas sensíveis para que as equipas de TI/segurança possam marcá-las como "Tier 0" e aplicar as medidas de protecção adequadas, incluindo o bloqueio de privilégios ou a eliminação total de contas desnecessárias.

O que são caminhos de ataque?

Os caminhos de ataque são percursos que um agente de ameaça pode seguir desde o acesso inicial ao ambiente (como um PC cliente), passando por etapas intermédias, até ao domínio do domínio de nível 0.

Existem ferramentas para facilitar a redução do caminho de ataque do Active Directory?

A Semperis fornece uma ferramenta gratuita de descoberta de caminhos de ataque de Nível 0 chamada Forest Druid que o ajuda a descobrir activos vulneráveis de Nível 0, bloquear privilégios excessivos e descobrir e corrigir rapidamente os caminhos mais perigosos - não apenas os mais comuns.(Clique aqui para saber mais sobre Forest Druid.)

Reduzir as vias de ataque da Categoria 0

Pronto para economizar tempo fechando caminhos de ataque aos ativos do Active Directory de Nível 0?

Descarregar Forest Druid
A nossa missão tem eco junto dos líderes do setor

Explore mais soluções de segurança e recuperação do AD

Detecção e resposta a ameaças AD

Cópia de segurança e recuperação do AD

Consolidação e migração do AD

Mais recursos

Saiba mais sobre como reduzir a superfície de ataque do AD e melhorar a postura geral de segurança.

Fechando os caminhos de ataque do Active Directory de Nível 0 com Forest Druid

Fechando os caminhos de ataque do Active Directory de Nível 0 com Forest Druid

  • 2 de Dezembro de 2022
  • Webinar
Proteja os seus activos de identidade com Purple Knight e Forest Druid

Proteja os seus activos de identidade com Purple Knight e Forest Druid

  • 9 de Dezembro de 2022
  • Webinar
Encerrar as vias de ataque aos activos de nível 0 com Forest Druid

Encerrar as vias de ataque aos activos de nível 0 com Forest Druid

  • 8 de Dezembro de 2022
Passar da Floresta Vermelha do Active Directory

Passar da Floresta Vermelha do Active Directory

  • 25 de Janeiro de 2021
Ver tudo