A resposta a incidentes (IR) é uma corrida contra o tempo. Você envolve sua equipe interna ou externa porque há evidências suficientes de que um pouco ruim está acontecendo, mas ainda está cego para o escopo, o impacto e a motivo raiz. O conjunto geral de ferramentas e práticas de RI fornece às equipes de RI a capacidade de desvendar arquivos maliciosos e conexões de rede de saída. No entanto, o paisagem da identidade – nomeadamente a identificação de contas de utilizadores comprometidas que foram usadas para se espalhar na sua rede – infelizmente permanece desacompanhado. Essa tarefa prova ser a mais demorada para as equipes de IR e se tornou uma guerra difícil e difícil que permite aos invasores lucrar um tempo valedoiro no qual ainda podem originar danos.
Neste cláusula, analisamos a motivo raiz da identidade dos pontos cegos de IR e fornecemos exemplos de cenários de IR nos quais ele atua porquê um inibidor de um processo rápido e eficiente. Em seguida, apresentamos a Plataforma Unificada de Proteção de Identidade da Silverfort e mostramos porquê sua MFA em tempo real e segmentação de identidade podem superar esse ponto cego e fazer a diferença entre um incidente contido e uma violação dispendiosa.
IR 101: Conhecimento é Poder. O tempo é tudo
O desencadeamento de um processo de IR pode assumir um milhão de formas. Todos eles compartilham uma semelhança no sentido de que você pensa – ou até tem certeza – de que um pouco está falso, mas você não sabe exatamente o que, ondee porquê. Se você tiver sorte, sua equipe detectou a ameaço quando ela ainda estava aumentando seu poder internamente, mas ainda não executou seu objetivo malicioso. Se vocês são não tanta sorte que você só toma conhecimento da presença do competidor depois que seu impacto já ocorreu – máquinas criptografadas, dados perdidos e qualquer outra forma de atividade maliciosa.
De uma forma ou de outra, a tarefa mais urgente quando o IR iniciar a funcionar é dissolver a negrume e obter insights claros sobre as entidades comprometidas em seu envolvente. Uma vez localizados e validados, podem ser tomadas medidas para sofrear os ataques, colocando máquinas em quarentena, bloqueando o tráfico de saída, removendo arquivos maliciosos e redefinindo contas de usuários.
Na verdade, a última tarefa está longe de ser trivial ao mourejar com contas de usuários comprometidas e apresenta um duelo ainda não resolvido. Vamos entender por que isso acontece.
Vácuo de IR de identidade nº 1: nenhuma mudança no manual para detectar contas comprometidas
Ao contrário de arquivos de malware ou conexões de rede de saída maliciosas, uma conta comprometida não faz zero que seja essencialmente malicioso – ela exclusivamente faz login nos recursos da mesma maneira que uma conta normal faria. Se for uma conta de gestor que acessa diversas estações de trabalho e servidores diariamente – o que acontece em muitos ataques – seu movimento lateral nem parecerá anômalo.
Quer saber mais sobre os recursos de resposta a incidentes da plataforma Silverfort? Agende uma prova hoje!
O resultado é que a invenção da conta comprometida ocorre exclusivamente depois as máquinas comprometidas são localizadas e colocadas em quarentena e, mesmo assim, é necessário verificar manualmente todas as contas ali registradas. E mais uma vez: ao passar contra o tempo, a subordinação da investigação manual e propensa a erros cria um tardança crítico.
Vácuo de IR de identidade nº 2: nenhuma mudança no manual para sofrear imediatamente o ataque e evitar maior propagação
Porquê na vida real, existe uma lanço de primeiros socorros imediatos que antecede o tratamento completo. O equivalente no mundo das RI é sofrear o ataque dentro dos seus limites atuais e prometer que ele não se espalhe ainda mais, mesmo antes de desvendar os seus componentes ativos. No nível da rede, isso é feito isolando temporariamente segmentos que potencialmente hospedam atividades maliciosas daqueles que ainda não estão comprometidos. No nível do endpoint, isso é feito colocando em quarentena as máquinas onde o malware está localizado.
Cá, novamente, o paisagem da identidade precisa ser atualizado. A única contenção disponível é desabilitar a conta do usuário no AD ou redefinir sua senha. A primeira opção é proibida devido à perturbação operacional que introduz, principalmente no caso de falsos positivos. A segunda opção também não é boa; se a conta suspeita for uma conta de serviço máquina a máquina, a redefinição de sua senha provavelmente interromperá os processos críticos que ela gerencia, resultando em danos adicionais além daqueles que o ataque causou. Se o competidor conseguir comprometer a própria infraestrutura de identidade, a redefinição da senha será imediatamente resolvida mudando para outra conta.
Vácuo de IR de identidade nº 3: nenhuma mudança no manual para reduzir as superfícies de ataque de identidade expostas que os adversários visam no ataque
As fraquezas que expõem a superfície de ataque de identidade ao chegada malicioso a credenciais, ao escalonamento de privilégios e ao movimento lateral são pontos cegos para a postura e os produtos de higiene na rima de segurança. Isto priva a equipa de RI de indicações críticas de compromisso que poderiam ter depressa significativamente o processo.
Exemplos proeminentes são protocolos de autenticação vulneráveis porquê NTLM (ou, pior ainda, NTLMv1), configurações incorretas porquê contas definidas com delegação irrestrita, administradores sombra, usuários obsoletos e muito mais. Os adversários deleitam-se com essas fraquezas enquanto seguem a rota de Viver Fora da Terreno. A incapacidade de localizar e reconfigurar ou proteger contas e máquinas que apresentam essas fraquezas transforma o IR em um rebanho de gatos, onde enquanto o exegeta está ocupado analisando para ver se a Conta A está comprometida, os adversários já estão aproveitando a Conta B comprometida.
Desenlace: sem ferramentas. Sem atalhos. Somente estudo de log lenta e manual enquanto o ataque está a todo vapor
Logo, esse é o status quo: quando a equipe de RI precisa finalmente desvendar quem são as contas de usuário comprometidas que o invasor está usando para se espalhar em seu envolvente. Oriente é um sigilo sobre o qual ninguém fala e a verdadeira motivo raiz do motivo pelo qual os ataques de movimento lateral são tão bem-sucedidos e difíceis de sofrear, mesmo quando o processo de IR está ocorrendo.
Oriente é o duelo que Silverfort resolve.
Silverfort Unified Identity Protection para operações de IR
A plataforma Unified Identity Protection da Silverfort integra-se à infraestrutura de identidade sítio e na nuvem (Active Directory, Entra ID, Okta, Ping, etc.). Essa integração permite que o Silverfort tenha visibilidade totalidade de qualquer tentativa de autenticação e chegada, emprego de chegada em tempo real para evitar chegada malicioso com MFA ou bloqueio de chegada e invenção automatizada e proteção de contas de serviço.
Vamos ver porquê esses recursos aceleram e otimizam o processo de IR de identidade:
Detecção de contas comprometidas com MFA sem interrupção operacional
Silverfort é a única solução que pode impor proteção MFA em todas as autenticações AD, incluindo ferramentas de risco de comando porquê PsExec e PowerShell. Com esse recurso, uma única política que exige que todas as contas de usuário verifiquem sua identidade com MFA pode detectar todas as contas comprometidas em minutos.
Depois que a política estiver configurada, o fluxo é simples:
- O competidor tenta continuar com seu chegada malicioso e faz login em uma máquina com as credenciais da conta comprometidas.
- O usuário verdadeiro recebe MFA e nega que tenha solicitado chegada ao recurso especificado.
Meta nº 1 alcançada: agora há evidências incontestáveis de que esta conta está comprometida.
Nota lateral: agora que há uma conta comprometida validada, tudo o que precisamos fazer é filtrar todas as máquinas nas quais esta conta fez login na tela de log do Silverfort.
Contenha o ataque com MFA e bloqueie políticas de chegada
A política de MFA que descrevemos supra não serve exclusivamente para detectar quais contas estão comprometidas, mas também parao evitar qualquer propagação suplementar do ataque. Isto permite que a equipe de RI congele a posição do competidor onde ela está e garanta que todos os recursos ainda não comprometidos permaneçam intactos.
Proteção contra interrupções operacionais revisitada: Amplie as contas de serviço
Atenção peculiar deve ser dada às contas de serviço, pois elas são fortemente utilizadas por agentes de ameaças. Estas contas máquina a máquina não estão associadas a um utilizador humano e não podem estar sujeitas à proteção MFA.
No entanto, o Silverfort descobre involuntariamente essas contas e obtém insights sobre seus padrões comportamentais repetitivos. Com essa visibilidade, o Silverfort permite a feitio de políticas que bloqueiam o chegada sempre que uma conta de serviço se desvia do seu comportamento. Dessa forma, toda a atividade padrão da conta de serviço não é interrompida, enquanto qualquer tentativa maliciosa de desmandar dela é bloqueada.
Meta nº 2 alcançada: o ataque é contido e a equipe de RI pode prosseguir rapidamente para a investigação
Eliminando fraquezas expostas na superfície de ataque de identidade
A visibilidade do Silverfort em todas as autenticações e tentativas de chegada no envolvente permite desvendar e mitigar pontos fracos comuns dos quais os invasores se aproveitam. Cá estão alguns exemplos:
- Configurando políticas de MFA para todos os administradores sombra
- Configurando políticas de chegada de bloqueio para qualquer autenticação NTLMv1
- Descubra todas as contas que foram configuradas sem pré-autenticação
- Descubra todas as contas que foram configuradas com delegação irrestrita
Esta redução da superfície de ataque ocorrerá normalmente durante a temporada inicial de “primeiros socorros”.
Meta nº 3 alcançada: As fraquezas da identidade são atenuadas e não podem ser usadas para propagação maliciosa.
Desenlace: Obter recursos de identidade de IR é fundamental – você está pronto?
Contas comprometidas são um componente-chave em mais de 80% dos ataques cibernéticos, tornando o risco de ser atingido quase evidente. As partes interessadas na segurança devem investir em ferramentas de RI que possam abordar levante paisagem, a termo de prometer a sua capacidade de responder de forma eficiente quando tal ataque intercorrer.
Para saber mais sobre os recursos de RI da plataforma Silverfort, entre em contato com um de nossos especialistas para agendar uma rápida prova.
