Die Erkennung eines laufenden Cyberangriffs ist ein wesentlicher Bestandteil jeder Sicherheitsstrategie. Es wird jedoch immer schwieriger, böswillige Angreifer zu erkennen, die sich durch Lücken im Identitätssystem Zugang zu Informationssystemen verschaffen und sich dann heimlich durch die Umgebung bewegen - oft wochen- oder monatelang unentdeckt - bevor sie Malware absetzen. Um Angriffe auf Identitätssysteme zu erkennen, verlassen sich viele Unternehmen auf die Konsolidierung von DC-Ereignisprotokollen und SIEM-Lösungen. Einige Angriffstechniken hinterlassen jedoch keine Beweise für bösartige Aktivitäten.

In dieser Sitzung wird Tal Sarid einige Angriffstechniken vorstellen, mit denen herkömmliche Überwachungslösungen umgangen werden können.

Sie erhalten einen Leitfaden zum Schutz vor Cyberangriffen, die keine Spuren hinterlassen:

  • Verstehen, wie gängige Angriffstechniken zur Umgehung der Protokollierung funktionieren, einschließlich DCShadow, Änderungen der Gruppenrichtlinien (wie im Fall der Ryuk-Ransomware) und Zerologon-Angriffe
  • Wie Sie Ihr Active Directory proaktiv gegen Leave-No-Trace-Angriffe schützen können, indem Sie sich auf den Replikationsverkehr der DCs konzentrieren, um Änderungen in der Gruppenrichtlinie und Änderungen an bestimmten Objekten zu erkennen
  • Wie man bösartige Änderungen an AD rückgängig macht
  • Wie Sie mit gezielter forensischer Analyse schneller auf bösartige Änderungen reagieren können, sobald diese entdeckt wurden