A deteção de um ciberataque em curso é uma componente essencial de qualquer estratégia de segurança. Mas está a tornar-se cada vez mais difícil detetar atacantes maliciosos que obtêm acesso a sistemas de informação através de lacunas no sistema de identidade, movendo-se depois furtivamente pelo ambiente - muitas vezes sem serem detectados durante semanas ou meses - antes de lançarem o malware. Para detetar ataques ao sistema de identidade, muitas empresas confiam na consolidação do registo de eventos DC e em soluções SIEM. Mas algumas técnicas de ataque não deixam provas de atividade maliciosa.
Nesta sessão, Tal Sarid apresentará algumas técnicas de ataque que contornam as soluções de monitorização tradicionais.
O leitor terá orientações para se proteger contra ciberataques que não deixam rasto:
- Compreender como funcionam as técnicas de ataque comuns que contornam o registo, incluindo DCShadow, alterações da Política de Grupo (como no caso do ransomware Ryuk) e ataques Zerologon
- Como proteger proactivamente o seu Active Directory contra ataques leave-no-trace, concentrando-se no tráfego de replicação dos DCs para detetar alterações na Política de Grupo e alterações em objectos específicos
- Como reverter alterações maliciosas no AD
- Como acelerar a sua resposta a alterações maliciosas assim que estas são detectadas com uma análise forense orientada