NOVO estudo da Semperis sobre ransomware: As organizações globais devem preparar-se para os ciberataques da época festiva

Análise do caminho de ataque

Identificar e fechar caminhos para activos do Active Directory de nível 0

Descubra e gerencie os caminhos que os agentes de ameaças usam para obter o controle de sua infraestrutura crítica do Active Directory por meio da análise do caminho de ataque de Nível 0.

Saiba mais

Poupe tempo na gestão do percurso de ataque do AD

Poucos atacantes ganham o controlo do Active Directory imediatamente. Em vez disso, começam com credenciais de utilizador não privilegiado comprometidas para o acesso inicial a activos críticos. Em seguida, eles passam de sistema para sistema, usando configurações incorretas e vulnerabilidades para descobrir possíveis caminhos de ataque, até que possam escalar seus privilégios para controlar seu ativo mais crítico: o Active Directory. Ao concentrar-se nos activos que estão mais próximos dos activos de Nível 0, pode poupar tempo na identificação e redução dos caminhos que os atacantes tomam para obter o controlo do Active Directory.

Segundo a Enterprise Management Associates, os testadores de penetração são bem sucedidos em
82%
das suas tentativas de explorar o Active Directory
Relatório de Defesa Digital da Microsoft:
3,47 mil milhões de euros
as ameaças de identidade foram bloqueadas no ecossistema Microsoft de julho de 2021 a junho de 2022
Enterprise Management Associates:
40%
das organizações que sofreram um ataque de AD comunicaram que o ataque foi bem sucedido

Redução do caminho de ataque de nível 0 - de dentro para fora

Ajude a sua equipa de segurança a descobrir os seus activos do Active Directory de Nível 0 (as chaves do reino), quem pode obter acesso aos mesmos e como minimizar esses caminhos de acesso.

Descobrir

Utilize ferramentas gratuitas, como Forest Druid , para compreender o seu verdadeiro limite Tier 0 e os potenciais caminhos de ataque que conduzem a ele.

Remediar

Utilize os resultados do Purple Knight e as melhores práticas de segurança do Microsoft AD para corrigir caminhos de ataque para o Nível 0, incluindo potenciais vectores de ataque inesperados.

ícone do globo ocular
Monitor

Monitorizar continuamente o "desvio de configuração" que pode introduzir novas vias de ataque potenciais com Directory Services Protector

Descubra o seu verdadeiro limite de Nível 0

É mais do que apenas os seus controladores de domínio

O Centro Nacional de Cibersegurança do Reino Unido define o Nível 0 como "a raiz de confiança em que assenta toda a restante administração". Para o Active Directory, isto inclui contas privilegiadas (como Admins do Domínio) e controladores de domínio (DCs). Uma analogia medieval do Tier 0 é a do castelo de um reino, onde o rei e os seus conselheiros de confiança residem em segurança. Se um agente de ameaça ganhar o controlo de um ativo de Nível 0, tem o controlo do Active Directory (ou potencialmente do reino). Mas o Nível 0 no AD abrange mais do que apenas administradores de domínio e DCs. E a capacidade de alterar as permissões nos contentores do AD que contêm contas privilegiadas ou DCs? E quanto ao controlo dos objectos de Política de Grupo (GPOs) que estão ligados, ou podem ser ligados, a um objeto ou contentor privilegiado? E o servidor Azure AD Connect e a conta de serviço que sincroniza os utilizadores com o Azure AD? Cada um destes é um potencial vetor de ataque - e existem mais ameaças cibernéticas ao seu Active Directory.

Saiba mais
Concentre-se nos caminhos de ataque que interessam

As ferramentas convencionais de análise de caminhos de ataque do AD adoptam uma abordagem "de fora para dentro" e analisam todo o ambiente para descobrir o pequeno subconjunto de caminhos para o Nível 0. Forest Druid, uma ferramenta gratuita criada pelos especialistas em segurança de identidade da Semperis, aborda a análise de caminhos de ataque do Nível 0 na outra direcção. Para quê dar-se ao trabalho de analisar todas as ruas e caminhos do reino quando só se preocupa em proteger a fortaleza? É essa a abordagem adoptada pelo Forest Druid . Primeiro, o Forest Druid apresenta uma análise padrão de Nível 0. Depois, analisa todos os objectos que têm caminhos para o Nível 0 e..:

  • Adicione-os ao Nível 0 (por exemplo, o contentor incorporado que contém os grupos privilegiados)
  • Anote-os conforme necessário, mas monitorize cuidadosamente o caminho (por exemplo, uma aplicação de linha de negócio antiga)
  • Ou fechar o caminho (um caminho de ataque potencial desnecessário ou não autorizado)
Descarregar Forest Druid
A nossa missão tem eco junto dos líderes do setor
Retalho

Hoje é o primeiro dia em que utilizo Forest Druid e estou muito impressionado. Nunca tive tempo para aprender a usar o Bloodhound, por isso gostei muito do facto de só ter de executar a ferramenta e depois clicar na GUI para começar a encontrar problemas.

Engenheiro SOC Empresa de retalho e de produtos embalados
Microsoft

"Os agentes avançados estão a atacar as implementações de identidade no local para efetuar uma violação sistémica e fazer a ponte para o acesso de administrador à nuvem. As organizações em ambientes híbridos do Active Directory precisam de uma segurança que coloque a identidade em primeiro lugar para proteger os seus sistemas AD e Azure AD contra ataques. Isto requer uma monitorização e avaliação contínuas da postura de segurança do AD e do Azure AD para defender contra ataques baseados na identidade, em parceria com as equipas de segurança convencionais."

Alex Weinert VP de Segurança de Identidade, Microsoft
Insights dos pares da Gartner

A melhor ferramenta de recuperação de AD em caso de ataque de ransomware!

Ler a crítica Director de Directórios e Soluções IAMOrganização Bancária Empresarial de Segurança de TI e Gestão de Riscos

Perguntas frequentes sobre a análise do percurso de ataque de Nível 0

O que são activos da Lista 0?

Os activos de Nível 0 são as contas, grupos e outros activos que têm controlo administrativo directo ou indirecto de uma floresta, domínios e controladores de domínio do Active Directory. Com acesso a estes activos de Nível 0, os atacantes podem assumir o controlo de toda a rede.

O que são níveis administrativos?

A Microsoft desenvolveu o modelo de administração por níveis para o Active Directory para aumentar a dificuldade de os agentes de ameaças efectuarem o escalonamento de privilégios, ou seja, passarem da estação de trabalho para os servidores e dominarem o domínio AD. Este modelo tem três níveis:

  • O Nível 2 é composto por clientes de domínio associado, impressoras, dispositivos móveis e as contas que os administram.
  • O nível 1 contém os servidores e as aplicações, bem como as respectivas contas administrativas.
  • O Nível 0 contém os servidores (por exemplo, controladores de domínio), estruturas do AD (como o GPO da Política de Domínio Predefinida) e contas privilegiadas que suportam o próprio serviço do Active Directory.

Esta hierarquia é imposta de forma a que as credenciais de níveis superiores não possam ser acedidas a partir de níveis inferiores (por exemplo, uma conta de administrador de domínio que inicie sessão num PC cliente, onde essas credenciais privilegiadas poderiam ser posteriormente recolhidas por malware como o mimikatz). Para ambientes híbridos, este modelo foi expandido para ter em conta a sua complexidade acrescida e é designado por modelo de acesso empresarial.

 

 

Porque é que a protecção dos activos de Nível 0 é importante para a segurança da identidade?

Os activos de nível 0 têm controlo administrativo do Active Directory. Se um destes activos for comprometido, um agente de ameaça pode obter o controlo do Active Directory e, consequentemente, de todos os activos - servidores, aplicações, bases de dados, clientes, outras contas do Active Directory - dentro do Active Directory para atingir os seus objectivos.

 

Por que razão é importante definir o perímetro do Nível 0?

Devido a configurações incorrectas que se acumulam ao longo do tempo, muitas organizações têm contas e grupos com acesso privilegiado - ou seja, são activos de Nível 0 - mas estes privilégios excessivos são ignorados ou as equipas de TI e de segurança não têm os recursos necessários para os analisar. Descobrir esses activos pode ser um desafio. Forest Druid A ferramenta comunitária gratuita da Semperis, o Tier 0, permite identificar contas sensíveis para que as equipas de TI/segurança possam marcá-las como "Tier 0" e aplicar as medidas de protecção adequadas, incluindo o bloqueio de privilégios ou a eliminação total de contas desnecessárias.

O que são caminhos de ataque?

Os caminhos de ataque são percursos que um agente de ameaça pode seguir desde o acesso inicial ao ambiente (como um PC cliente), passando por etapas intermédias, até ao domínio do domínio de nível 0.

Existem ferramentas para facilitar a redução do caminho de ataque do Active Directory?

A Semperis fornece uma ferramenta gratuita de descoberta de caminhos de ataque de Nível 0 chamada Forest Druid que o ajuda a descobrir activos vulneráveis de Nível 0, bloquear privilégios excessivos e descobrir e corrigir rapidamente os caminhos mais perigosos - não apenas os mais comuns.(Clique aqui para saber mais sobre Forest Druid.)

Reduzir as vias de ataque da Categoria 0

Pronto para economizar tempo fechando caminhos de ataque aos ativos do Active Directory de Nível 0?

Descarregar Forest Druid
A nossa missão tem eco junto dos líderes do setor

Explore mais soluções de segurança e recuperação do AD

Detecção e resposta a ameaças AD

Cópia de segurança e recuperação do AD

Consolidação e migração do AD

Mais recursos

Saiba mais sobre como reduzir a superfície de ataque do AD e melhorar a postura geral de segurança.

Fechando os caminhos de ataque do Active Directory de Nível 0 com Forest Druid

Fechando os caminhos de ataque do Active Directory de Nível 0 com Forest Druid

  • Webinar
Proteja os seus activos de identidade com Purple Knight e Forest Druid

Proteja os seus activos de identidade com Purple Knight e Forest Druid

  • Webinar
Encerrar as vias de ataque aos activos de nível 0 com Forest Druid

Encerrar as vias de ataque aos activos de nível 0 com Forest Druid

  • Blog
Passar da Floresta Vermelha do Active Directory

Passar da Floresta Vermelha do Active Directory

  • Blog
Ver tudo