保障 Active Directory 安全,阻断攻击路径

【摘要】Tenable完成了对Alsid公司的现金收购,并宣布推出Tenable.ad全新的解决方案,利用Alsid技术保护Active Directory环境,破坏APT攻击者及黑客中最常见的攻击路径之一。

注:本文转自微信公众号Tenable。

图片

2021年4月27日,Tenable宣布以9,800万美元完成了对保护Active Directory的领导者Alsid公司的现金收购。此次收购结合了两个网络安全创新者的互补优势,标志着Tenable愿景的一个重要里程碑,该愿景旨在帮助企业了解并降低整个攻击面上的网络风险。同时,Tenable还宣布推出Tenable.ad,这是一种全新的解决方案,利用Alsid技术保护Active Directory环境,破坏APT攻击者及黑客中最常见的攻击路径之一。

Alsid公司介绍

Alsid成立于2016年,由法国国家网络安全局(ANSSI)的两位前事件响应者Emmanuel Gras和Luc Delsalle创立,已在全球超过15个国家运营,全球已有数百家企业选择部署Alsid安全解决方案。

Alsid for Active Directory是一种软件即服务(SaaS)解决方案,具有纯私有化或云端部署选项,可实时监视Active Directory的安全性。该解决方案使用户能够通过动态威胁评分、复杂性评级和指导建议操作来发现和修复现有的Active Directory风险。并连续不断地发现新的攻击路径并实时检测正在进行的攻击,提供建议补救措施,而无需部署任何代理或利用特权帐户。

AD安全面临挑战

据Frost&Sullivan统计,全球有超过90%的财富1000强企业正在使用Active Directory作为身份验证和授权的主要方法,80%的攻击使用Active Directory进行横向移动和权限提升,60%的新恶意软件包含针对Active Directory错误配置的代码。这种风险从未像今天这样严重,如今有越来越多员工在远程工作,经常使用个人设备连接到公司系统。而Active Directory在托管单点登录中也扮演着关键角色。保护账户——员工、服务承包商、临时员工、系统账户和其他人——以及他们跨系统的访问和权限,对企业网络安全态势具有战略意义。了解帐户对系统的访问以及这些系统如何在计算环境中关联是对漏洞管理和系统安全的一个战略性和重要的补充,对于全面管理风险(尤其是在复杂的云和混合环境中)越来越必要。

近期包括 SolarWinds 数据泄露和 Microsoft Exchange 黑客攻击等事件,都突出了保障 Active Directory 安全的必要性。成功的数据泄露都是从对 Active Directory 的攻击以提升权限开始,接着就是横向移动、安装恶意软件,然后窃取数据。

图片

保护Active Directory的挑战

根据以往的经验,每一条因数据泄露所招致的新闻头条报道背后,都有一个不安全的 Active Directory (AD) 部署环境。由于域控技术的复杂性增加,多年的错误配置堆积在一起,使得安全团队无法在缺陷成为影响业务的问题之前找到并修复它们,因此大多数企业都在与Active Directory安全性作艰苦的斗争。

每家公司的Active Directory(AD)的不断变化限制了对AD攻击面的可见性,并经常引入新的攻击路径。很少有安全团队有足够的可见性和上下文来发现和修复AD错误配置和漏洞。

大多数AD实现的规模和复杂性使得手动监控不切实际,无法实时检测攻击。事件响应和威胁搜寻受到阻碍,因为团队无法看到所有隐藏的错误配置和相互关联的关系。

尽管它至关重要,但管理 Active Directory 并保障其安全却异常复杂。在大型企业的规模下,如果没有大量的专业知识和持续的关注,安全管理 Active Directory 几乎是不可能的。

Active Directory安全性较弱的后果

成功的违规行为通常伴随着对Active Directory的攻击,以提升权限、横向移动、安装恶意软件和过滤数据。攻击者可以成功地从日志和其他监视工具中隐藏这些进展,因为它们通过Active Directory的移动似乎符合现有的安全策略。当攻击者成功交付导致数据丢失、勒索要求、环境重建或品牌影响的有效负载时,较弱AD安全的高成本将受到打击。

T.ad方案简介

通过收购 Alsid,Tenable 实现帮助企业了解和降低整个现代攻击面上的网络安全风险方面,取得了重要的里程碑。通过 Tenable.ad,可以通过中断复杂威胁和常见黑客攻击中最常见的攻击路径之一,支持向客户交付基于风险的 Active Directory 安全实践方法。

Tenable.ad 可让安全和 IT 专业人员在攻击者利用 Active Directory 的弱点之前就找到并进行修复。还能让事件响应人员在攻击发生时,检测和响应攻击。

图片

Tenable.ad 的核心工作,是对 Active Directory 中的每个配置设置、每个条目和关系进行极其彻底的审核和评估。然后,它会简化这些发现结果,并为 IT 和安全团队创建了优先级建议,以根据重要程度、更改配置的相对容易程度和实施建议的相对容易程度来解决问题。

此外,Tenable.ad 还提供对有风险活动进行持续监控的功能,这可能会让您了解到是否有破坏活动正在进行。它所监控的活动包括:

  • 创建新的管理员帐户;

  • 隐藏帐户;

  • 权限更改;

  • 添加新组;

  • 将用户添加到组;

  • 创建信任关系;

  • 等等。

图片

Tenable.ad 的最大优点是它只需要用户级别的帐户访问权限,因此,这对 IT 组织的影响相对有限。Tenable.ad也无需在域控制器上安装任何代理。利用Tenable.ad平台,安全专业人员就不必在敏感系统上安装任何软件,因此也就不会造成不必要的业务运营中断。

此外,Tenable.ad 正常工作无需依赖 Windows 系统日志,此日志仅提供系统中正在发生事件的时间点视图,先进的威胁技术已经可绕过它来执行攻击。相反,Tenable.ad 依赖Active Directory 中的复制及原生API功能,为安全专业人员提供在瞬息万变的环境中保护用户权限所需的洞察。

在攻击发生之前,查找并修复Active Directory风险

主动发现并优先考虑现有Active Directory域中的漏洞或错误配置,并通过遵循Tenable.ad的逐步修正指导减少暴露面风险。通过强化和加固您的Active Directory,可以阻止攻击者的踪迹,消除其潜在的移动,并确保更少的违规行为导致权限升级、横向移动或恶意软件执行。

在攻击发生之时,实时检测并响应Active Directory攻击

持续监视和检测Active Directory攻击,如Golden Ticket、DCShadow、brute force、密码喷涂及猜测、DCSync等。Tenable.ad丰富了您的SIEM、SOC或SOAR攻击洞察力,因此可以快速响应和停止攻击。自动AD攻击检测减轻了安全团队的监控负担,并将他们的时间用于其他优先级。

在攻击发生之后,调查与回溯威胁事件
分析深度的攻击详细信息,关联对象及属性级别的AD配置更改与历史行为记录,快速找寻攻击者踪迹。

图片

如需了解更多信息,请致电各区域的Tenable销售团队或访问Tenable.ad产品主页下载相关产品资料及信息。https://zh-cn.tenable.com/products/tenable-ad

原文转载:https://mp.weixin.qq.com/s/g6CX9h_wzglN3yd93GvsmQ

Comments are closed.