Rastrear e corrigir alterações maliciosas no AD

Auditoria e reversão de alterações do Active Directory

Auditar e remediar alterações maliciosas no Active Directory e no Azure Active Directory.

Solicitar uma demonstração

Impeça ataques rápidos ao Active Directory

Grupos sofisticados de ransomware-as-a-service (RaaS) estão a visar o Active Directory, o principal serviço de identidade para 90% das organizações em todo o mundo, com ataques que se movem através das redes com uma velocidade espantosa. Para impedir os ataques, as organizações precisam rastrear alterações maliciosas em tempo real e reverter rapidamente as alterações.

Relatório Semperis:

73%

das organizações NÃO estão confiantes de que poderiam evitar ataques ao Azure AD

Testadores de segurança conseguem comprometer o AD em

82%

das suas tentativas, de acordo com a Enterprise Management Associates

Relatório de Defesa Digital da Microsoft:

1 hora, 42 minutos

o tempo médio para um atacante começar a mover-se lateralmente após o comprometimento do dispositivo

7 minutos

O tempo que o ataque NotPetya de 2017 demorou a paralisar a rede da Maersk; a recuperação do Active Directory demorou 9 dias

Defenda o AD com auditoria avançada de alterações e correcção

A auditoria e a correcção de alterações maliciosas no Active Directory requerem soluções criadas especificamente para lidar com ataques sofisticados que visam tanto o AD no local como o Azure AD. O primeiro passo é implementar ferramentas de monitorização que possam detectar alterações em todo o ambiente AD híbrido, incluindo modificações de contas de utilizador, alterações da Política de Grupo e alterações nos controladores de domínio (DCs). Essas ferramentas também podem fornecer visibilidade sobre quem fez as alterações e quando elas ocorreram. Uma vez detectadas as alterações, é necessário responder de forma rápida e precisa. Em muitos casos, os ataques deslocam-se através das redes com demasiada rapidez para permitir a intervenção humana, pelo que é fundamental dispor de uma correcção automatizada.

Monitor

Monitorizar continuamente o AD e o Azure AD quanto a alterações maliciosas.

Auditoria

Auditar as alterações que passam pela infraestrutura do AD.

Remediar

Reverter alterações maliciosas no AD local e no Azure AD.

Acompanhamento de alterações no AD e no Azure AD

O paradigma de segurança do Azure AD é diferente

Muitas organizações estão a adoptar ambientes de identidade híbrida, implementando o Active Directory no local e o Azure AD. Embora a flexibilidade dos ambientes de identidade híbrida traga enormes benefícios, esta abordagem também acarreta um risco acrescido. Assim como o AD local, o Azure AD tem seus pontos fracos, e a combinação híbrida cria oportunidades adicionais para os invasores. Tal como aconteceu com as violações da Kaseya e da SolarWinds, os cibercriminosos estão a explorar as fragilidades de segurança nos sistemas de identidade híbridos, entrando na nuvem e passando para o sistema no local - ou vice-versa. A auditoria e a correcção de alterações maliciosas no Azure AD requerem uma abordagem completamente diferente da gestão de segurança do AD no local.

O novo modelo de autenticação significa que os conceitos familiares, como florestas e Objectos de Política de Grupo, já não se aplicam ao ambiente do Azure AD.
Decisões como a fusão do AD local e do Azure AD com o Azure Connect podem ter consequências significativas em termos de segurança.
A noção de perímetro de rede tradicional não existe no Azure AD, pelo que as equipas de TI e de segurança têm de se defender contra um conjunto interminável de potenciais pontos de entrada.
A mudança para o Azure AD traz alterações significativas ao modelo de permissões: Num ambiente AD híbrido, as identidades são armazenadas na nuvem, potencialmente vulneráveis a ataques semelhantes aos ataques da SolarWinds e da Kaseya.
A falta de visibilidade de alterações potencialmente maliciosas no ambiente AD híbrido pode comprometer a segurança.

Saiba mais

É difícil auditar as alterações do Azure AD e do AD no local

A falta de visibilidade no ambiente AD híbrido significa que os ataques podem entrar através do Azure AD e passar para o AD no local, ou vice-versa. As organizações precisam de soluções que as ajudem a auditar e corrigir ataques, quer tenham origem na nuvem ou no ambiente de identidade no local.

A visão única das alterações no Azure AD e no AD no local pode revelar os ataques que se deslocam através do ambiente.
A auditoria de alterações do Azure AD em tempo real pode ajudar a monitorizar alterações maliciosas.
A capacidade de reverter alterações no AD local e no Azure AD ajuda a responder a ataques em rápida evolução no ambiente AD híbrido.

Saiba mais

Auditoria de alterações do AD que contornam os SIEM

Os ataques avançados podem evitar o rastreio

Ter a capacidade de detectar atacantes a entrar, a deslocar-se ou, pior ainda, a administrar o seu sistema de identidade é fundamental para uma resposta rápida. Dado o longo tempo de permanência do malware, é evidente que os cibercriminosos são muito bons a trabalhar em segredo. Para detectar ataques avançados que escapam aos sistemas baseados em registos ou eventos, é necessária uma solução que utilize tácticas diferentes para localizar ameaças à segurança do AD e do Azure AD.

Utiliza várias fontes de dados, incluindo o fluxo de replicação do AD, para auditar alterações, tais como alterações à Política de Grupo, alterações a membros de grupos de Administradores de Domínio e outras alterações que escapam a muitos sistemas de monitorização.
Utiliza o rastreio inviolável para capturar alterações mesmo que o registo de segurança seja desactivado, os registos sejam eliminados, os agentes sejam desactivados ou deixem de funcionar, ou as alterações sejam injectadas directamente no AD.
Oferece análise forense para identificar alterações suspeitas, isolar alterações efectuadas por contas comprometidas e localizar outras fontes e detalhes de incidentes.
Fornecer notificações em tempo real à medida que ocorrem alterações operacionais e relacionadas com a segurança no AD.

Saiba mais

Corrigir alterações maliciosas no AD e no Azure AD

Parar os ataques de AD requer uma acção rápida

Os ciberataques relacionados com o AD podem paralisar as operações comerciais em minutos. Para impedir os ataques, as organizações precisam de soluções que ofereçam correção automatizada de alterações indesejadas.

A reversão automatizada de alterações maliciosas impede ataques que se movem através de redes demasiado rápidas para intervenção humana.
As capacidades de pesquisa instantânea de localização e correcção ajudam as organizações a resolver alterações indesejadas de objectos e atributos do AD em minutos.
As capacidades de reversão granular ajudam as equipas de TI e de segurança a desfazer alterações a atributos individuais, membros de grupos, objectos e contentores em qualquer momento.

A nossa missão tem eco junto dos líderes do setor

Temos muitas alterações a acontecer no nosso ambiente Active Directory, adicionando servidores Linux, etc... [Directory Services Protector] ajuda-nos a monitorizar e a reverter alterações perigosas com um clique num botão.
Ler a crítica Membro da equipa de TI, organização empresarial

A Semperis oferece tecnologia superior e o seu Directory Services Protector é uma mais-valia tremenda para qualquer empresa que utilize o Active Directory.
Saiba mais Chen Amran Director Adjunto de Infra-estruturas e Comunicação, El Al Airlines

Utilizamos o Directory Services Protector para nos alertar sobre as alterações da Política de Grupo. Permitiu-nos implementar um controlo de alterações internas mais forte e processos de melhoria para evitar actividades de TI desonestas que podem ser convenientes para nós mas não são seguras.
Director de Tecnologia Prática Médica Especializada em Ortopedia

Directory Services Protector é excepcional com relatórios, monitorização e correcção em tempo real, relatórios activos e notificações instantâneas quando os objectos são modificados ou alterados.
Ler a crítica Administrador Sénior de Sistemas Windows Organização Empresarial

Perguntas frequentes sobre auditoria de alterações e reversão do AD

O que é a auditoria do Active Directory?

A auditoria do Active Directory é o processo de monitorização do AD para detectar vulnerabilidades e erros comuns de configuração e gestão que podem abrir a porta a compromissos de segurança. Muitas organizações têm ambientes AD antigos com dezenas ou centenas de configurações incorrectas que se acumularam ao longo do tempo. Devido a recursos limitados e à falta de competências em AD na equipa, a auditoria contínua do AD e do Azure AD para detectar falhas de segurança é frequentemente negligenciada. Os cibercriminosos sabem que muitas lacunas de segurança comuns do AD não são corrigidas, o que faz do AD o alvo número 1 dos ciberataques: Os investigadores da Mandiant referem que 9 em cada 10 ataques envolveram o AD de alguma forma. Para compreender as vulnerabilidades de segurança do AD na sua organização, descarregue Purple Knight, uma ferramenta de avaliação de segurança do AD gratuita que analisa o ambiente do AD em busca de centenas de Indicators of Exposure (IOEs) and Compromise (IOCs), fornece uma pontuação de segurança global e fornece orientações de correcção prioritárias de especialistas em segurança do AD.

Como é que se auditam as alterações à Política de Grupo?

A auditoria das alterações à Política de Grupo é uma parte crítica do reforço da segurança do Active Directory e é um desafio porque as soluções tradicionais de monitorização baseadas em eventos não incluem normalmente detalhes sobre as alterações numa Política de Grupo. Por exemplo, se um atacante fizer uma alteração maliciosa com o Ryuk ransomware, o único sinal será que uma conta com acesso à Política de Grupo fez uma alteração, o que provavelmente não accionará um alerta. Para detectar alterações maliciosas à Política de Grupo, é necessária uma solução que utilize várias fontes de dados, incluindo o fluxo de replicação do AD, para obter um contexto adicional que indique um potencial ataque em curso. Para compreender as lacunas de segurança no AD relacionadas com as configurações incorrectas da Política de Grupo, transfira Purple Knight, uma ferramenta de avaliação de segurança do AD gratuita que analisa o ambiente do AD em busca de centenas de Indicators of Exposure (IOEs) and Compromise (IOCs). Purple Knight analisa várias configurações incorrectas da Política de Grupo, incluindo alterações executáveis SYSVOL, delegação de ligação de GPO ao nível do site do AD e palavras-passe reversíveis encontradas em GPOs.

Como posso acompanhar as alterações no Active Directory?

Para acompanhar as alterações no Active Directory, é necessário monitorizar continuamente o ambiente do AD para Indicators of Exposure (IOEs) and Compromise (IOCs) relacionados com a segurança da conta do Active Directory, delegação do AD, Política de Grupo, Kerberos, segurança do Azure AD e segurança da infra-estrutura do AD. Os grupos de ransomware estão constantemente a desenvolver novos métodos para comprometer o AD, que é o principal armazenamento de identidades para 90% das organizações em todo o mundo. Com acesso privilegiado ao AD, os criminosos virtuais podem obter acesso a toda a rede, paralisando as operações comerciais. Para uma avaliação pontual das lacunas de segurança do AD, descarregue Purple Knight, uma ferramenta gratuita de avaliação da segurança do AD que analisa o ambiente do AD em busca de centenas de Indicators of Exposure (IOEs) and Compromise (IOCs), fornece uma pontuação geral de segurança e fornece orientações de correcção prioritárias de especialistas em segurança do AD. Para acompanhar continuamente as alterações no AD e no Azure AD, consulte Directory Services Protectoruma solução de monitorização e detecção de ameaças do AD que rastreia alterações no AD e no Azure AD e fornece reversão automática de alterações maliciosas do AD.

Como posso monitorizar as vulnerabilidades de segurança no Azure AD?

Você pode usar a ferramenta gratuita de avaliação de segurança do AD Purple Knight para analisar o seu ambiente do Azure AD em busca de vários IOEs e IOCs, incluindo contas de convidado inactivas, políticas de acesso condicional mal configuradas e utilizadores privilegiados do Azure AD que também são utilizadores privilegiados no AD local, o que pode resultar no comprometimento de ambos os ambientes. Pode utilizar Directory Services Protector para acompanhar as alterações do Azure AD em tempo real; para obter mais informações, consulte "5 novas formas de proteger o AD e o Azure AD".

Como posso auditar as alterações do Active Directory, como o DCShadow?

O DCShadow é um dos poucos tipos de ataques que não deixam evidência de actividade maliciosa, pelo que são difíceis de detectar com sistemas tradicionais baseados em eventos ou registos. Esta técnica de ataque contorna o registo tradicional baseado em SIEM. Em vez disso, as alterações são injectadas directamente no fluxo de replicação dos controladores de domínio de produção. Para se protegerem contra ataques que contornam a monitorização tradicional, as organizações necessitam de soluções que utilizem várias fontes de dados, incluindo o fluxo de replicação do AD. Para uma detecção e resposta abrangentes a ameaças ao AD, incluindo a capacidade de auditar o AD para detectar ataques que escapam aos SIEMs e a outras ferramentas de monitorização tradicionais, consulte Directory Services Protector.