Rilevare un attacco informatico in corso è una componente essenziale di qualsiasi strategia di sicurezza. Ma è sempre più difficile individuare gli aggressori malintenzionati che accedono ai sistemi informativi attraverso lacune nel sistema di identità e poi si muovono furtivamente nell'ambiente, spesso senza essere individuati per settimane o mesi, prima di rilasciare il malware. Per rilevare gli attacchi ai sistemi di identità, molte aziende si affidano al consolidamento dei log degli eventi DC e alle soluzioni SIEM. Ma alcune tecniche di attacco non lasciano tracce di attività dannose.
In questa sessione, Tal Sarid illustrerà alcune tecniche di attacco che eludono le soluzioni di monitoraggio tradizionali.
Ne uscirete con delle linee guida per difendervi dagli attacchi informatici che non lasciano traccia:
- Capire come funzionano le tecniche di attacco più comuni che aggirano la registrazione, tra cui DCShadow, modifiche ai Criteri di gruppo (come nel caso del ransomware Ryuk) e attacchi Zerologon.
- Come proteggere proattivamente Active Directory dagli attacchi leave-no-trace concentrandosi sul traffico di replica dei DC per rilevare le modifiche ai Criteri di gruppo e le modifiche a oggetti specifici.
- Come annullare le modifiche dannose all'AD
- Come accelerare la risposta alle modifiche dannose una volta che sono state rilevate con un'analisi forense mirata