Detectar un ciberataque en curso es un componente esencial de cualquier estrategia de seguridad. Pero cada vez es más difícil detectar a los atacantes malintencionados que acceden a los sistemas de información a través de brechas en el sistema de identidad, y luego se mueven sigilosamente por el entorno -a menudo sin ser detectados durante semanas o meses- antes de lanzar el malware. Para detectar los ataques al sistema de identidad, muchas empresas confían en la consolidación de registros de eventos de CC y en las soluciones SIEM. Pero algunas técnicas de ataque no dejan pruebas de actividad maliciosa.
En esta sesión, Tal Sarid repasará algunas técnicas de ataque que eluden las soluciones de supervisión tradicionales.
Obtendrá directrices para protegerse de los ciberataques que no dejan rastro:
- Comprender cómo funcionan las técnicas de ataque habituales que eluden el registro, como DCShadow, los cambios en las directivas de grupo (como en el caso del ransomware Ryuk) y los ataques Zerologon.
- Cómo proteger proactivamente su Active Directory contra ataques de tipo "no dejar rastro" centrándose en el tráfico de replicación de los DC para detectar cambios en la directiva de grupo y cambios en objetos específicos.
- Cómo deshacer cambios malintencionados en AD
- Cómo acelerar su respuesta a los cambios maliciosos una vez detectados con análisis forenses específicos.
