Tenable Identity Exposure
Proteja o Active Directory (AD) e elimine as vias de ataque
Assuma o controle da segurança do seu Active Directory (AD) — encontre e corrija falhas antes que se tornem problemas que afetem o negócio.
O Tenable Identity Exposure (antigo Tenable.ad) é uma solução de segurança do Active Directory rápida e sem agentes que permite que você veja todo o complexo ambiente do Active Directory, preveja o que é importante para reduzir o risco e elimine as vias de ataque antes que os invasores as explorem.
Solicite uma demonstração
Sem
Elevação de privilégios
Movimento lateral
Próxima etapa para os invasores
Encontre e corrija os pontos fracos do Active Directory antes que os ataques aconteçam
Descubra e priorize os pontos fracos nos domínios existentes do Active Directory e reduza sua exposição seguindo as orientações de correção passo a passo do Tenable Identity Exposure.
Detecte e responda a ataques ao Active Directory em tempo real.
Detecte ataques ao Active Directory como DCShadow, Brute Force, Password Spraying, DCSync e muito outros. O Tenable Identity Exposure enriquece seu SIEM, SOC ou SOAR com insights de ataque para que você possa responder e interromper ataques rapidamente.
"A solução Tenable Identity Exposure acabou com a nossa preocupação com a segurança do Active Directory e pudemos nos concentrar na incorporação de novos negócios."Dominique Tessaro, CIO, Vinci Energies
Como a Sanofi, uma líder farmacêutica, protege com sucesso suas infraestruturas globais do Active Directory
Leia o estudo de caso
Como a Vinci Energies alcançou fortes parâmetros de segurança em suas infraestruturas do Active Directory em constante evolução
Leia o estudo de caso
Como as pequenas entidades da Lagardère protegem suas infraestruturas do Active Directory com recursos limitados
Leia o estudo de caso
Disponível na Plataforma de gerenciamento de exposição Tenable One
O Tenable One é uma plataforma de gerenciamento de exposição projetada para ajudar sua organização a obter visibilidade em sua superfície de ataque moderna, concentrar esforços para evitar prováveis ataques e comunicar com precisão o risco cibernético para oferecer suporte ao desempenho ideal do negócio. A plataforma Tenable One oferece ampla cobertura de vulnerabilidades, abrangendo ativos de TI, recursos de nuvem, contêineres, aplicações Web e sistemas de identidade.
Saiba mais
Proteja o Active Directory
- Descubra os problemas subjacentes que afetam seu Active Directory.
- Identifique relações de confiança perigosas.
- Descubra todas as mudanças em seu AD.
- Estabeleça a ligação entre mudanças do AD e ações mal-intencionadas.
- Analise de forma mais ampla os detalhes de ataques.
- Explore as descrições do MITRE ATT&CK diretamente nos detalhes do incidente.
Detecte e previna ataques ao Active Directory continuamente
Sem agentes, sem privilégios, sem atrasos
Previna e detecte ataques sofisticados ao Active Directory sem agentes e privilégios.
Implementado em qualquer lugar
O Tenable Identity Exposure oferece a flexibilidade de dois designs de arquitetura. No local, para manter seus dados localmente e sob seu controle, e SaaS, para que você possa aproveitar a nuvem.
Perguntas frequentes
- Descobrir fraquezas ocultas nas configurações do Active Directory;
- Descobrir problemas subjacentes que ameacem a segurança do AD;
- Esmiuçar cada erro de configuração em linguagem simples;
- Obter recomendações de correções para cada problema;
- Criar painéis personalizados para gerenciar a segurança do AD e impulsionar a redução de riscos;
- Descobrir relacionamentos de confiança perigosos;
- Descubra todas as mudanças em seu AD.
- Revelar grandes ataques por domínio no AD;
- Visualizar cada ameaça em um linha do tempo precisa de ataques;
- Consolidar a distribuição de ataques em uma única visualização;
- Estabeleça a ligação entre mudanças do AD e ações mal-intencionadas.
- Analisar profundamente os detalhes de um ataque contra o AD;
- Explorar descrições de MITRE ATT&CK® diretamente de incidentes detectados.
|
Vetores de ataque |
Descrição |
Ferramentas de ataque conhecidas |
Mitre Attack Matrix |
|
Contas privilegiadas que executam serviços Kerberos |
Contas altamente privilegiadas usando um ataque de força bruta no Nome da Entidade de Serviço Kerberos |
Kerberom |
Elevação de privilégios, movimento lateral, persistência |
|
Delegação perigosa no Kerberos |
Verificar se nenhuma delegação perigosa (irrestrita, transição de protocolo etc.) está autorizada |
Nishang |
Elevação de privilégios, movimento lateral, persistência |
|
Uso de algoritmos de criptografia fracos na PKI do Active Directory |
Os certificados raiz implantados na PKI interna do Active Directory não devem usar algoritmos de criptografia fracos |
ANSSI-ADCP |
Persistência, elevação de privilégios, movimento lateral |
|
Delegação perigosa de direitos de acesso em objetos críticos |
Alguns direitos de acesso que permitem que usuários ilegítimos controlem objetos críticos que foram encontrados |
BloodHound |
Exfiltração, movimento lateral, comando e controle, acesso a credenciais, elevação de privilégios |
|
Vários problemas na política de senha |
Em algumas contas específicas, as políticas de senha atuais são insuficientes para garantir uma proteção robusta de credenciais |
Patator |
Evasão de defesa, movimento lateral, acesso a credenciais, elevação de privilégios |
|
Contas de gerenciamento RODC perigosas |
Os grupos administrativos encarregados de controladores de domínio somente leitura contêm contas anormais |
Impacket |
Acesso de credenciais, evasão de defesa, elevação de privilégios |
|
GPO confidencial vinculado a objetos críticos |
Alguns GPOs gerenciados por contas não administrativas estão vinculados a objetos confidenciais do Active Directory (por exemplo, a conta KDC, controladores de domínio, grupos administrativos etc.) |
ANSSI-ADCP |
Comando e controle, acesso de credencial, persistência, elevação de privilégios |
|
Contas administrativas com permissão para se conectar a outros sistemas além dos controladores de domínio |
As políticas de segurança implantadas na infraestrutura monitorada não impedem que contas administrativas se conectem a recursos que não sejam DC, levando à exposição de credenciais confidenciais |
CrackMapExec |
Evasão de defesa, acesso de credencial |
|
Relação de confiança perigosa |
Atributos de relacionamento de confiança mal configurados diminuem a segurança de uma infraestrutura de diretório |
Kekeo |
Movimento lateral, acesso de credencial, elevação de privilégios, evasão de defesa |
|
Senhas reversíveis no GPO |
Confirmar se nenhum GPO contém senhas armazenadas em um formato reversível |
SMB Password crawler |
Acesso de credencial, elevação de privilégios |
|
Computadores executando um sistema operacional obsoleto |
Sistemas obsoletos não são mais compatíveis com o editor e aumentam muito as vulnerabilidades da infraestrutura |
Metasploit |
Movimento lateral, comando e controle |
|
Contas usando um controle de acesso compatível com versões anteriores ao Windows 2000 |
Um membro da conta do grupo de acesso compatível com versões anteriores ao Windows 2000 pode ignorar medidas de segurança específicas |
Impacket |
Movimento lateral, evasão de defesa |
|
Gerenciamento de conta administrativa local |
Garantir que as contas administrativas locais sejam gerenciadas de forma centralizada e segura usando LAPS |
CrackMapExec |
Evasão de defesa, acesso de credencial, movimento lateral |
|
Configuração perigosa de usuários anônimos |
Um acesso anônimo ativado na infraestrutura monitorada do Active Directory pode levar ao vazamento de informações confidenciais |
Impacket |
Exfiltração |
|
Atributos filtrados de RODC anormais |
As políticas de filtragem aplicadas em alguns controladores de domínio como somente leitura podem levar ao cache de informações confidenciais, permitindo a elevação de privilégios |
Mimikatz (DCShadow) |
Elevação de privilégios, evasão de defesa |
|
Falta de restrições no cenário de ataque de movimentos laterais |
A restrição de movimento lateral não foi ativada na infraestrutura monitorada do Active Directory, permitindo que os invasores saltem de máquina em máquina com o mesmo nível de privilégios |
CrackMapExec |
Movimento lateral |
|
Senha não criptografada armazenada em compartilhamentos DC |
Alguns arquivos em compartilhamentos DC, acessíveis por qualquer usuário autenticado, provavelmente contêm senhas não criptografadas, permitindo a elevação de privilégios |
SMBSpider |
Acesso de credencial, elevação de privilégios, persistência |
|
Direitos de controle de acesso perigosos em scripts de login |
Alguns scripts, executados durante o login de computador ou de usuário, têm direitos de acesso perigosos, levando a elevação de privilégios |
Metasploit |
Movimento lateral, elevação de privilégios, persistência |
|
Parâmetros perigosos são usados no GPO |
Alguns parâmetros perigosos (por exemplo, grupos restritos, computação de hash LM, nível de autenticação NTLM, parâmetros confidenciais etc.) são definidos pelo GPO, criando violações de segurança |
Responder |
Descoberta, acesso de credencial, execução, persistência, elevação de privilégios, evasão de defesa |
|
Parâmetros perigosos definidos na configuração do Controle de Conta de Usuário |
O atributo Controle de Conta de Usuário de algumas contas de usuário define parâmetros perigosos (por exemplo, PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT), que colocam em risco a segurança dessa conta |
Mimikatz (LSADump) |
Persistência, elevação de privilégio, evasão de defesa |
|
Falta de aplicação de patches de segurança |
Alguns servidores registrados no Active Directory não aplicaram atualizações de segurança recentemente |
Metasploit |
Elevação de privilégios de comando e controle, evasão de defesa |
|
Tentativa de ataque de força bruta em contas de usuário |
Algumas contas de usuário foram alvo de uma tentativa de ataque de força bruta |
Patator |
Acesso de credencial |
|
Configuração do Kerberos na conta do usuário |
Algumas contas estão usando configurações fracas do Kerberos |
Mimikatz (Silver Ticket) |
Acesso de credencial, elevação de privilégios |
|
Compartilhamento anormal ou arquivo armazenado no DC |
Alguns controladores de domínio são usados para hospedar arquivos desnecessários ou compartilhamentos de rede |
SMBSpider |
Descoberta, exfiltração |
|
Técnica de backdooring |
Descrição |
Ferramentas de ataque conhecidas |
Matriz de ataques Mitre |
|
Garantir a consistência do SDProp |
Controlar se o objeto adminSDHolder está em um estado limpo |
Mimikatz (Golden Ticket) |
Elevação de privilégios, persistência |
|
Garantir a consistência do SDProp |
Confirmar se o grupo principal de usuários não foi alterado |
BloodHound |
Elevação de privilégios, persistência |
|
Confirmar as permissões do objeto de domínio raiz |
Garantir que as permissões definidas no objeto de domínio raiz sejam razoáveis |
BloodHound |
Elevação de privilégios, persistência |
|
Confirmar os objetos GPO confidenciais e permissões de arquivos |
Assegurar que as permissões definidas nos objetos GPO e arquivos vinculados a contêineres confidenciais (como a UO de controladores de domínio) sejam razoáveis |
BloodHound |
Execução, elevação de privilégios, persistência |
|
Direitos de acesso perigosos na conta KDC de RODC |
A conta KDC usada em alguns controladores de domínio somente leitura pode ser controlada por conta de usuário ilegítimo, levando a vazamentos de credenciais |
Mimikatz (DCSync) |
Elevação de privilégios, persistência |
|
Certificados confidenciais mapeados para contas de usuário |
Alguns certificados X509 são armazenados no atributo da conta do usuário altSecurityIdentities, permitindo que o proprietário da chave privada do certificado se autentique como este usuário |
Comando e controle, acesso de credencial, elevação de privilégios, persistência |
|
|
SPN de Krbtgt falso definido em conta regular |
O Nome da Entidade de Serviço (SPN) do KDC está presente em alguma conta de usuário regular, levando à falsificação de tíquetes Kerberos |
Mimikatz (Golden Ticket) |
Elevação de privilégios, persistência |
|
Última alteração de senha KDC |
A senha da conta KDC deve ser alterada regularmente |
Mimikatz (Golden Ticket) |
Acesso de credencial, elevação de privilégios, persistência |
|
Contas com um atributo de histórico SID perigoso |
Confirmar as contas de usuário ou computador usando um SID privilegiado no atributo de histórico do SID |
DeathStar |
Elevação de privilégios, persistência |
|
Controladores de domínio falsos |
Confirma se apenas os servidores controladores de domínio legítimos estão registrados na infraestrutura do Active Directory |
Mimikatz (DCShadow) |
Execução, evasão de defesa, elevação de privilégios, persistência |
|
Controle de acesso ilegítimo de chave do Bitlocker |
Algumas chaves de recuperação do Bitlocker armazenadas no Active Directory podem ser acessadas por outras pessoas que não são administradores e computadores vinculados |
ANSSI-ADCP |
Acesso de credencial, elevação de privilégios, persistência |
|
Entradas anormais no descritor de segurança do esquema |
O esquema do Active Directory foi modificado levando a novos direitos de acesso padrão ou objetos que podem colocar em perigo a infraestrutura monitorada |
BloodHound |
Elevação de privilégios, persistência |
|
Conta DSRM ativada |
A conta de recuperação do Active Directory foi ativada, expondo-a a roubo de credencial |
Mimikatz (LSADump) |
Acesso de credenciais, execução, evasão de defesa, elevação de privilégios, persistência |
|
Hash de autenticação não renovado ao usar cartão inteligente |
Algumas contas de usuário que usam autenticação de cartão inteligente não renovam suas credenciais hash com a frequência necessária |
Mimikatz (LSADump) |
Persistência |
|
Senhas reversíveis para contas de usuário |
Confirmar se nenhum parâmetro torna as senhas armazenadas em um formato reversível |
Mimikatz (DC Sync) |
Acesso de credencial |
|
Uso de acesso negado explícito em contêineres |
Alguns contêineres ou UOs do Active Directory definem acesso negado explícito, levando a possível ocultação de backdoor |
BloodHound |
Evasão de defesa, persistência |
As configurações incorretas do AD acontecem o tempo todo, de modo que as auditorias pontuais tornam-se obsoletas apenas alguns minutos após o início e se concentram nas configurações incorretas, em vez de incluir indicadores de comprometimento.
Por outro lado, o Tenable Identity Exposure é uma plataforma de segurança que verifica continuamente o AD em busca de novos pontos fracos e ataques, alertando os problemas aos usuários em tempo real.
A segurança do AD é uma peça importante do seu quebra-cabeça de segurança, e o Tenable Identity Exposure integra-se muito bem ao seu ecossistema de segurança.
Nossa integração ao Syslog garante que todos os tipos de SIEM e a maioria dos sistemas de tíquetes possam se integrar com o Tenable Identity Exposure imediatamente. Também temos aplicações nativas disponíveis para QRadar, Splunk e Phantom.
Recursos relacionados
O resgate do rei: como parar a disseminação de ransomware através do AD
