NOVO estudo da Semperis sobre ransomware: As organizações globais devem preparar-se para os ciberataques da época festiva
Deteção de padrões de ataque com base em ML

Detetar e prevenir ataques baseados na identidade

Utilize a deteção de ataques baseada em ML com um foco especializado no risco de identidade para eliminar o ruído e acelerar a resposta a incidentes para os ataques mais generalizados e bem-sucedidos.

Solicitar uma demonstração

O Lightning IRP traz o contexto crítico da identidade para a deteção de padrões de ataque e anomalias

Muitos ciberataques passam despercebidos até os danos estarem feitos. Técnicas de ataque de identidade testadas e comprovadas, como a pulverização de senhas, continuam a ser extremamente bem-sucedidas devido à dificuldade de detetar e responder ao grande volume de sinal e ruído. O Lightning Identity Runtime Protection (IRP) usa modelos de aprendizado de máquina desenvolvidos por especialistas em segurança de identidade para detetar padrões de ataque generalizados e bem-sucedidos, como pulverização de senha, preenchimento de credenciais, outros ataques de força bruta e anomalias de risco.

31%
dos vectores de ataque iniciais são ataques de força bruta
90 dias
tempo médio para detetar um ataque de força bruta
1/3
de todos os comprometimentos de contas são ataques de pulverização de palavras-passe
86%
dos ciberataques envolvem credenciais roubadas

Detetar ataques que as soluções tradicionais de ML não detectam

Utilizando algoritmos treinados com base nas experiências reais da Semperis na resposta a ataques de identidade e no apoio às maiores empresas e agências governamentais do mundo, o Lightning IRP detecta ataques de identidade sofisticados que as soluções tradicionais de ML não detectam. O Lightning IRP concentra-se nos alertas de ataques de identidade mais críticos e reduz o ruído, colocando em camadas um tecido de risco de identidade, que extrai informações de várias fontes.

DADOS DE IDENTIDADE

Dados de rastreio de alterações de directórios em ambientes híbridos Active Directory e Entra ID

INDICADORES DE SEGURANÇA

Centenas de IOEs e IOCs, regularmente actualizados pela equipa de investigação de ameaças à identidade da Semperis

CAMINHOS DE ATAQUE

Análise do percurso de ataque de nível 0 para mapear relações de risco com grupos privilegiados com acesso a dados sensíveis

Deteção de padrões de ataque com base em ML criada por especialistas em segurança de identidade

O Lightning IRP captura, analisa e correlaciona atividades de autenticação com a inteligência de ameaças à identidade da Semperis para detetar padrões de ataque conhecidos e sinalizar comportamentos maliciosos.

  • Ataques de pulverização de palavra-passe: Monitoriza as tentativas de início de sessão para detetar padrões indicativos de um ataque de pulverização de palavra-passe
  • Ataques de força bruta: Monitoriza tentativas repetidas e rápidas de início de sessão contra um único utilizador para detetar potenciais ataques de força bruta
  • Logons anómalos: Procura anomalias de início de sessão do utilizador que indiquem um início de sessão anómalo no AD
  • Acesso anómalo a recursos: Monitoriza a atividade de um utilizador e qualquer interação com serviços que indiquem um ataque aos serviços AD
  • Anomalias nos bilhetes de serviço: Procura requisitos suspeitos de bilhetes de serviço que indiquem um ataque Kerberoasting no AD
Saiba mais
Deteção de padrões de ataque do Semperis Lightning Identity Runtime Protection (IRP)

Poupe tempo e reduza o risco na deteção e resposta a ataques de identidade de alto risco

O Lightning IRP utiliza modelos de aprendizagem automática desenvolvidos por especialistas em segurança de identidade para detetar padrões de ataque generalizados e bem sucedidos - tais como ataques de força bruta e anomalias de início de sessão no sistema de identidade - e incorpora essas descobertas numa pontuação global de postura de segurança.

Saiba mais
A nossa missão tem eco junto dos líderes do setor

Detetar uma anomalia é relativamente fácil. Colocá-la em contexto é que é o desafio. Combinámos uma profunda experiência em aprendizagem automática com o nosso conhecimento em primeira mão de como funcionam os ataques reais aos sistemas de identidade para fornecer um contexto significativo que ajuda as organizações a isolar e a lidar com ameaças de alto risco.

Mickey Bresman Diretor Executivo da Semperis

O IRP usa uma biblioteca crescente de ameaças de exposições, comprometimentos e padrões de ataque em paralelo com um fluxo contínuo de dados de segurança de identidade para acelerar significativamente uma resposta eficaz às ameaças ao sistema de identidade. A Proteção do Tempo de Execução da Identidade centra-se em vários casos de utilização, incluindo inícios de sessão anómalos e anomalias nos bilhetes de serviço, que têm sido problemáticos durante anos porque são difíceis de detetar e de responder à escala.

Igor Baikalov Semperis Investigador principal

O Lightning IRP baseia-se em nossas ofertas atuais de varredura pré-ataque para indicadores de exposição e comprometimento e nossa capacidade de ver mudanças acontecendo no Active Directory local e no Entra ID. Estamos ampliando nossos recursos de deteção de padrões de ataque ao vivo, mudando a forma como o setor aplica o aprendizado de máquina para detetar ataques cibernéticos.

Darren Mar-Elia VP de Produtos da Semperis
Emergência

Purple Knight é o primeiro utilitário que utilizei que vai tão fundo no Active Directory. Funciona tão bem que não precisei de encontrar mais nada.

Saiba mais Micah Clark Gestor de TI, Central Utah Emergency Communications

Perguntas frequentes sobre a deteção de padrões de ataque com base em ML

O que é diferente na abordagem da Semperis à deteção de padrões de ataque?

O Lightning IRP combina a profunda experiência da nossa equipa na criação de modelos de aprendizagem automática para informações sobre ameaças e a nossa experiência real de resposta a incidentes para detetar os padrões de ataque de identidade mais generalizados e problemáticos. O Lightning IRP concentra os defensores nos alertas de ataque de identidade mais críticos e reduz o ruído através de uma estrutura de risco de identidade que extrai informações de várias fontes:

  1. Dados de rastreio de alterações de directórios em ambientes híbridos Active Directory e Entra ID
  2. Centenas de indicadores de segurança de exposição e comprometimento, regularmente actualizados pela equipa de investigação de ameaças à identidade da Semperis
  3. Análise do percurso de ataque de nível 0 para mapear relações de risco com grupos privilegiados com acesso a dados sensíveis
Que padrões de ataque são abordados pelo Lightning IRP?

O Lightning Identity Runtime Protection (IRP) concentra-se em alguns dos ataques mais difundidos e problemáticos, incluindo:

  • Ataques de pulverização de palavra-passe: Monitoriza as tentativas de início de sessão para detetar padrões indicativos de um ataque de pulverização de palavra-passe
  • Ataques de força bruta: Monitoriza tentativas repetidas e rápidas de início de sessão contra um único utilizador para detetar potenciais ataques de força bruta
  • Logons anómalos: Procura anomalias de início de sessão do utilizador que indiquem um início de sessão anómalo no AD
  • Acesso anómalo a recursos: Monitoriza a atividade de um utilizador e qualquer interação com serviços que indiquem um ataque aos serviços AD
  • Anomalias nos bilhetes de serviço: Procura requisitos suspeitos de bilhetes de serviço que indiquem um ataque Kerberoasting no AD

 

A pulverização de palavras-passe e os ataques de força bruta existem há anos, por isso, porque é que continuam a ser um problema?

As técnicas de ataque já testadas e comprovadas, como a pulverização de palavras-passe e os ataques de força bruta, ainda funcionam porque o grande volume de ruído que geram torna-as difíceis de detetar. Cerca de 31% dos vectores de ataque iniciais são ataques de força bruta e quase um terço de todas as contas comprometidas são ataques de pulverização de palavras-passe. 

Num ataque de pulverização de palavras-passe, um adversário tenta repetidamente iniciar sessão num grande número de contas-alvo utilizando um conjunto limitado de palavras-passe até violar o sistema de autenticação-alvo para obter acesso à conta e ao sistema. Num ataque de força bruta, um atacante tenta repetidamente iniciar sessão utilizando diferentes palavras-passe até violar o sistema de autenticação alvo para obter acesso à conta e ao sistema.

Em ambos os casos, estas técnicas geram um elevado volume de dados, tornando a análise morosa e entediante.

Porque é que é importante detetar comportamentos anómalos para evitar ataques de identidade?

Um comportamento anómalo pode sinalizar um ataque iminente. Por exemplo, um início de sessão anómalo pode indicar um acesso não autorizado ao sistema de identidade. As anomalias de bilhetes de serviço assinalam pedidos de bilhetes de serviço suspeitos que podem indicar uma tentativa de abuso do mecanismo de bilhetes do Active Directory como parte de um ciberataque, como o Kerberoasting. Esses pedidos anómalos incluem o pedido de um bilhete para serviços raramente utilizados ou o pedido de um bilhete com um algoritmo criptográfico desclassificado.

Poupe tempo a detetar e a responder a ataques baseados na identidade

Saiba mais
A nossa missão tem eco junto dos líderes do setor

Explore mais soluções de segurança e recuperação do AD

Redução da trajectória de ataque de nível 0

Cópia de segurança e recuperação do AD

Consolidação e migração do AD

Mais recursos

Saiba mais sobre como prevenir, detetar e responder a ataques baseados em identidade.

Conheça o Silver SAML: Golden SAML na nuvem

Conheça o Silver SAML: Golden SAML na nuvem

  • Blog
Defesa contra ataques de injeção de LDAP: Segurança do AD 101

Defesa contra ataques de injeção de LDAP: Segurança do AD 101

  • Blog
Semperis DSP: Reforçar a proteção do AD e do Entra ID contra ameaças cibernéticas

Semperis DSP: Reforçar a proteção do AD e do Entra ID contra ameaças cibernéticas

  • Blog
Ataques ao Active Diretory: 5 métodos comuns de ataque ao AD

Ataques ao Active Diretory: 5 métodos comuns de ataque ao AD

  • Blog
Ver tudo