NUOVO studio Semperis sul ransomware: Le organizzazioni globali devono prepararsi agli attacchi informatici della stagione delle vacanze
Rilevamento di schemi di attacco basato su ML

Rilevare e prevenire gli attacchi basati sull'identità

Utilizzate il rilevamento degli attacchi basato su ML con un focus specializzato sul rischio di identità per eliminare il rumore e accelerare la risposta agli incidenti per gli attacchi più diffusi e di successo.

Richiedi una demo

Lightning IRP porta il contesto critico dell'identità al rilevamento dei modelli di attacco e delle anomalie

Molti attacchi informatici non vengono rilevati fino a quando il danno non è stato fatto. Tecniche di attacco all'identità collaudate, come lo spraying delle password, continuano a riscuotere un grande successo a causa della difficoltà di rilevare e rispondere all'enorme volume di segnali e al rumore. Lightning Identity Runtime Protection (IRP) utilizza modelli di apprendimento automatico sviluppati da esperti di sicurezza dell'identità per rilevare modelli di attacco diffusi e di successo come password spray, credential stuffing, altri attacchi brute force e anomalie rischiose.

31%
dei vettori di attacco iniziali sono gli attacchi brute force
90 giorni
tempo medio di rilevamento di un attacco brute force
1/3
di tutti gli account compromessi sono attacchi con password spray
86%
dei cyberattacchi coinvolge credenziali rubate

Cogliere gli attacchi che le soluzioni di ML tradizionali non riescono a cogliere

Utilizzando algoritmi addestrati basati sull'esperienza reale di Semperis nel rispondere agli attacchi di identità in natura e nel supportare le più grandi aziende e agenzie governative del mondo, Lightning IRP rileva gli attacchi di identità sofisticati che le tradizionali soluzioni di ML non riescono a individuare. Lightning IRP si concentra sugli avvisi di attacco all'identità più critici e riduce il rumore stratificando un tessuto di rischio dell'identità che attinge a diverse fonti.

DATI IDENTIFICATIVI

Dati di tracciamento delle modifiche alla directory in ambienti ibridi Active Directory ed Entra ID

INDICATORI DI SICUREZZA

Centinaia di IOE e IOC, regolarmente aggiornati dal team di ricerca Semperis sulle minacce all'identità

PERCORSI DI ATTACCO

Analisi dei percorsi di attacco di livello 0 per mappare le relazioni a rischio con i gruppi privilegiati che hanno accesso ai dati sensibili.

Rilevamento dei modelli di attacco basato su ML e costruito da esperti di sicurezza dell'identità

Lightning IRP cattura, analizza e mette in relazione le attività di autenticazione con le informazioni sulle minacce all'identità di Semperis per rilevare modelli di attacco noti e segnalare comportamenti dannosi.

  • Attacchi spray con password: Monitora i tentativi di accesso per rilevare gli schemi indicativi di un attacco con password spray.
  • Attacchi di forza bruta: Monitora i tentativi di accesso ripetuti e rapidi contro un singolo utente per rilevare potenziali attacchi di forza bruta.
  • Accesso anomalo: Cerca le anomalie di accesso degli utenti che indicano un accesso anomalo all'AD.
  • Accesso anomalo alle risorse: Monitora l'attività di un utente e qualsiasi interazione con i servizi che indichi un attacco ai servizi AD.
  • Anomalie dei ticket di servizio: Cerca requisiti di ticket di servizio sospetti che indicano un attacco Kerberoasting su AD.
Scopri di più
Rilevamento dei modelli di attacco Semperis Lightning Identity Runtime Protection (IRP)

Risparmiare tempo e ridurre i rischi nel rilevare e rispondere agli attacchi di identità ad alto rischio.

Lightning IRP utilizza modelli di apprendimento automatico sviluppati da esperti di sicurezza delle identità per rilevare modelli di attacco diffusi e di successo, come gli attacchi brute force e le anomalie di accesso al sistema di identità, e incorpora tali risultati in un punteggio complessivo della postura di sicurezza.

Per saperne di più
La nostra mission è acclamata dai leader del settore

Rilevare un'anomalia è relativamente facile. La sfida è contestualizzarla. Abbiamo combinato la profonda esperienza nell'apprendimento automatico con la nostra conoscenza diretta di come funzionano gli attacchi ai sistemi di identità nella vita reale per fornire un contesto significativo che aiuti le organizzazioni a isolare e affrontare le minacce ad alto rischio.

Mickey Bresman CEO di Semperis

L'IRP utilizza una libreria di minacce in continua crescita, composta da esposizioni, compromissioni e modelli di attacco, in parallelo a un flusso continuo di dati sulla sicurezza dell'identità, per accelerare in modo significativo una risposta efficace alle minacce del sistema di identità. Identity Runtime Protection si concentra su diversi casi d'uso, tra cui i logon anomali e le anomalie dei ticket di servizio, che per anni sono stati problematici perché difficili da rilevare e rispondere su scala.

Igor Baikalov Semperis Scienziato capo

Lightning IRP si basa sulle nostre attuali offerte di scansione pre-attacco per gli indicatori di esposizione e compromissione e sulla nostra capacità di vedere le modifiche che avvengono in Active Directory on-premises e Entra ID. Stiamo ampliando le nostre capacità di rilevamento dei modelli di attacco dal vivo, cambiando il modo in cui il settore applica l'apprendimento automatico per rilevare i cyberattacchi.

Darren Mar-Elia Semperis vicepresidente dei prodotti
Emergenza

Purple Knight è la prima utility che ho usato che va così a fondo in Active Directory. Funziona così bene che non ho avuto bisogno di cercare altro.

Per saperne di più Micah Clark IT Manager, Central Utah Emergency Communications

Domande frequenti sul rilevamento dei modelli di attacco tramite ML

Cosa c'è di diverso nell'approccio di Semperis al rilevamento dei modelli di attacco?

Lightning IRP combina la profonda esperienza del nostro team nella creazione di modelli di apprendimento automatico per l'intelligence delle minacce e la nostra esperienza di risposta agli incidenti nel mondo reale per rilevare i modelli di attacco all'identità più diffusi e problematici. Lightning IRP concentra i difensori sugli avvisi di attacco all'identità più critici e riduce il rumore stratificando un tessuto di rischio dell'identità che trae spunti da più fonti:

  1. Dati di tracciamento delle modifiche alla directory in ambienti ibridi Active Directory ed Entra ID
  2. Centinaia di indicatori di sicurezza di esposizione e compromissione, regolarmente aggiornati dal team di ricerca sulle minacce all'identità di Semperis
  3. Analisi dei percorsi di attacco di livello 0 per mappare le relazioni rischiose con gruppi privilegiati con accesso a dati sensibili.
Quali modelli di attacco affronta Lightning IRP?

Lightning Identity Runtime Protection (IRP) si concentra su alcuni degli attacchi più diffusi e problematici, tra cui:

  • Attacchi spray con password: Monitora i tentativi di accesso per rilevare gli schemi indicativi di un attacco con password spray.
  • Attacchi di forza bruta: Monitora i tentativi di accesso ripetuti e rapidi contro un singolo utente per rilevare potenziali attacchi di forza bruta.
  • Accesso anomalo: Cerca le anomalie di accesso degli utenti che indicano un accesso anomalo all'AD.
  • Accesso anomalo alle risorse: Monitora l'attività di un utente e qualsiasi interazione con i servizi che indichi un attacco ai servizi AD.
  • Anomalie dei ticket di servizio: Cerca requisiti di ticket di servizio sospetti che indicano un attacco Kerberoasting su AD.

 

Gli attacchi con password spray e brute force esistono da anni, quindi perché sono ancora un problema?

Le tecniche di attacco collaudate, come gli attacchi spray alle password e gli attacchi di forza bruta, funzionano ancora perché la mole di rumore che generano li rende difficili da rilevare. Circa il 31% dei vettori di attacco iniziali è costituito da attacchi brute force e quasi un terzo di tutte le compromissioni di account è costituito da attacchi password spray. 

In un attacco di tipo password spray, un avversario tenta ripetutamente di accedere a un gran numero di account di destinazione utilizzando un insieme limitato di password fino a violare il sistema di autenticazione di destinazione per ottenere l'accesso all'account e al sistema. In un attacco brute-force, un aggressore tenta ripetutamente di accedere utilizzando password diverse fino a violare il sistema di autenticazione dell'obiettivo per ottenere l'accesso all'account e al sistema.

In entrambi i casi, queste tecniche generano un elevato volume di dati, rendendo l'analisi lunga e noiosa.

Perché è importante rilevare i comportamenti anomali per prevenire gli attacchi di identità?

Un comportamento anomalo potrebbe segnalare un attacco imminente. Ad esempio, un accesso anomalo potrebbe segnalare un accesso non autorizzato al sistema di identità. Le anomalie dei ticket di servizio segnalano le richieste di ticket di servizio sospette che potrebbero indicare un tentativo di abuso del meccanismo di ticketing di Active Directory come parte di un attacco informatico, ad esempio Kerberoasting. Tali richieste anomale includono la richiesta di un ticket per servizi usati raramente o la richiesta di un ticket con un algoritmo crittografico declassato.

Risparmiare tempo nel rilevamento e nella risposta agli attacchi basati sull'identità

Per saperne di più
La nostra mission è acclamata dai leader del settore

Scopri altre soluzioni di sicurezza e ripristino dell'ambiente AD

Riduzione del percorso di attacco Tier 0

Backup e ripristino di AD

Consolidamento e migrazione AD

Altre risorse

Per saperne di più su come prevenire, rilevare e rispondere agli attacchi basati sull'identità.

Ecco Silver SAML: SAML d'oro nel cloud

Ecco Silver SAML: SAML d'oro nel cloud

  • Blog
Difesa dagli attacchi di iniezione LDAP: Sicurezza AD 101

Difesa dagli attacchi di iniezione LDAP: Sicurezza AD 101

  • Blog
Semperis DSP: migliorare la protezione di AD e Entra ID dalle minacce informatiche

Semperis DSP: migliorare la protezione di AD e Entra ID dalle minacce informatiche

  • Blog
Attacchi ad Active Directory: 5 metodi di attacco AD comuni

Attacchi ad Active Directory: 5 metodi di attacco AD comuni

  • Blog
Visualizza tutti