Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Proteja seu Active Directory e interrompa as vias de ataque

tenable-ad

Por trás de cada notícia de última hora de uma brecha, há uma implantação não segura do Active Directory (AD). O AD tornou-se o alvo preferido dos invasores para elevar os privilégios e facilitar o movimento lateral por meio do aproveitamento de falhas e configurações incorretas conhecidas.

Infelizmente, a maioria das organizações luta com a segurança do Active Directory devido a configurações incorretas que se acumulam à medida que os domínios aumentam em complexidade, impedindo as equipes de segurança de encontrarem e corrigirem falhas antes que se tornem problemas que afetam os negócios.

O Tenable.ad permite que você veja tudo, preveja o que é importante e aja para lidar com os riscos no Active Directory para interromper as vias de ataque antes que os invasores os explorem.

Solicite uma demonstração

Sem

Elevação de privilégios

Movimento lateral

Próxima etapa para os invasores

Encontre e corrija os pontos fracos do Active Directory antes que os ataques aconteçam

Descubra e priorize os pontos fracos em seus domínios existentes do Active Directory e reduza sua exposição, seguindo as orientações de correção passo a passo do Tenable.ad.

Detecte e responda a ataques ao Active Directory em tempo real

Detecte ataques ao Active Directory como DCShadow, Brute Force, Password Spraying, DCSync e muito outros. O Tenable.ad enriquece seu SIEM, SOC ou SOAR com insights de ataque para que você possa responder e interromper ataques rapidamente.

Interrompa vias de ataque

A via de ataque é uma rota bem conhecida através das redes para os invasores monetizarem com sucesso em cima da higiene cibernética deficiente. Ao combinar o gerenciamento de vulnerabilidades baseado em riscos e a segurança do Active Directory, a Tenable permite interromper a via de ataque, garantindo que os invasores tenham dificuldade em encontrar um ponto de apoio e, caso o encontrem, não possam fazer nada em seguida.

Ponto de apoio inicial

via phishing ou vulnerabilidade

A via de ataque

Elevar

Obter acesso privilegiado

Evitar

Ocultar presença forense

Estabelecer

Instalar o código para permanência

Extrair

Extrair dados ou reter alvo para resgate

Explorar

Movimento lateral em todo o ambiente pretendido

"A solução do Tenable.ad nos livrou das preocupações com a segurança do Active Directory para que pudéssemos nos concentrar na incorporação de novos negócios." Dominique Tessaro, CIO, Vinci Energies
Como a Sanofi, uma líder farmacêutica, protege com sucesso suas infraestruturas globais do Active Directory

Como a Sanofi, uma líder farmacêutica, protege com sucesso suas infraestruturas globais do Active Directory

Leia o estudo de caso
Como a Vinci Energies alcançou fortes parâmetros de segurança em suas infraestruturas do Active Directory em constante evolução

Como a Vinci Energies alcançou fortes parâmetros de segurança em suas infraestruturas do Active Directory em constante evolução

Leia o estudo de caso
Como as pequenas entidades da Lagardère protegem suas infraestruturas do Active Directory com recursos limitados

Como as pequenas entidades da Lagardère protegem suas infraestruturas do Active Directory com recursos limitados

Leia o estudo de caso

Proteja o Active Directory

  • Descubra os problemas subjacentes que afetam seu Active Directory.
  • Identifique relações de confiança perigosas.
  • Descubra todas as mudanças em seu AD.
  • Estabeleça a ligação entre mudanças do AD e ações mal-intencionadas.
  • Analise de forma mais ampla os detalhes de ataques.
  • Explore as descrições do MITRE ATT&CK diretamente nos detalhes do incidente.
Assista ao webinar

Detecte e previna ataques ao Active Directory continuamente

Sem agentes, sem privilégios, sem atrasos

Sem agentes, sem privilégios, sem atrasos

Previna e detecte ataques sofisticados ao Active Directory sem agentes e privilégios.

Abrange a nuvem

Abrange a nuvem

Verifique a segurança do Azure Active Directory Domain Services, do AWS Directory Service ou do Google Managed Service para Active Directory em tempo real.

Implementado em qualquer lugar

Implementado em qualquer lugar

O Tenable.ad oferece a flexibilidade de dois projetos arquitetônicos. No local, para manter seus dados localmente e sob seu controle, e SaaS, para que você possa aproveitar a nuvem.

Perguntas frequentes

Quais são os principais recursos do Tenable.ad?
O Tenable.ad permite encontrar e corrigir fraquezas no Active Directory antes que invasores as explorem, além de detectar e responder a ataques em tempo real. Os principais recursos do Tenable.ad são:
  • Descobrir fraquezas ocultas nas configurações do Active Directory;
  • Descobrir problemas subjacentes que ameacem a segurança do AD;
  • Esmiuçar cada erro de configuração em linguagem simples;
  • Obter recomendações de correções para cada problema;
  • Criar painéis personalizados para gerenciar a segurança do AD e impulsionar a redução de riscos;
  • Descobrir relacionamentos de confiança perigosos;
  • Descubra todas as mudanças em seu AD.
  • Revelar grandes ataques por domínio no AD;
  • Visualizar cada ameaça em um linha do tempo precisa de ataques;
  • Consolidar a distribuição de ataques em uma única visualização;
  • Estabeleça a ligação entre mudanças do AD e ações mal-intencionadas.
  • Analisar profundamente os detalhes de um ataque contra o AD;
  • Explorar descrições de MITRE ATT&CK® diretamente de incidentes detectados.
Quais técnicas e ataques ao Active Directory o Tenable.ad detecta?
O Tenable.ad detecta muitas das técnicas usadas em ataques cibernéticos para obter privilégios elevados e permitir o movimento lateral, incluindo DCShadow, Brute Force, Password Spraying, DCSync, Golden Ticket e muito outros.
Quais vetores de ataque de privilégio ao Active Directory o Tenable.ad identifica?
O Tenable.ad tem uma extensa biblioteca de vetores de ataque conhecidos que os invasores usam para obter privilégios. Dentre eles:

Vetores de ataque

Descrição

Ferramentas de ataque conhecidas

Mitre Attack Matrix

Contas privilegiadas que executam serviços Kerberos

Contas altamente privilegiadas usando um ataque de força bruta no Nome da Entidade de Serviço Kerberos

Kerberom

Elevação de privilégios, movimento lateral, persistência

Delegação perigosa no Kerberos

Verificar se nenhuma delegação perigosa (irrestrita, transição de protocolo etc.) está autorizada

Nishang

Elevação de privilégios, movimento lateral, persistência

Uso de algoritmos de criptografia fracos na PKI do Active Directory

Os certificados raiz implantados na PKI interna do Active Directory não devem usar algoritmos de criptografia fracos

ANSSI-ADCP

Persistência, elevação de privilégios, movimento lateral

Delegação perigosa de direitos de acesso em objetos críticos

Alguns direitos de acesso que permitem que usuários ilegítimos controlem objetos críticos que foram encontrados

BloodHound

Exfiltração, movimento lateral, comando e controle, acesso a credenciais, elevação de privilégios

Vários problemas na política de senha

Em algumas contas específicas, as políticas de senha atuais são insuficientes para garantir uma proteção robusta de credenciais

Patator

Evasão de defesa, movimento lateral, acesso a credenciais, elevação de privilégios

Contas de gerenciamento RODC perigosas

Os grupos administrativos encarregados de controladores de domínio somente leitura contêm contas anormais

Impacket

Acesso de credenciais, evasão de defesa, elevação de privilégios

GPO confidencial vinculado a objetos críticos

Alguns GPOs gerenciados por contas não administrativas estão vinculados a objetos confidenciais do Active Directory (por exemplo, a conta KDC, controladores de domínio, grupos administrativos etc.)

ANSSI-ADCP

Comando e controle, acesso de credencial, persistência, elevação de privilégios

Contas administrativas com permissão para se conectar a outros sistemas além dos controladores de domínio

As políticas de segurança implantadas na infraestrutura monitorada não impedem que contas administrativas se conectem a recursos que não sejam DC, levando à exposição de credenciais confidenciais

CrackMapExec

Evasão de defesa, acesso de credencial

Relação de confiança perigosa

Atributos de relacionamento de confiança mal configurados diminuem a segurança de uma infraestrutura de diretório

Kekeo

Movimento lateral, acesso de credencial, elevação de privilégios, evasão de defesa

Senhas reversíveis no GPO

Confirmar se nenhum GPO contém senhas armazenadas em um formato reversível

SMB Password crawler

Acesso de credencial, elevação de privilégios

Computadores executando um sistema operacional obsoleto

Sistemas obsoletos não são mais compatíveis com o editor e aumentam muito as vulnerabilidades da infraestrutura

Metasploit

Movimento lateral, comando e controle

Contas usando um controle de acesso compatível com versões anteriores ao Windows 2000

Um membro da conta do grupo de acesso compatível com versões anteriores ao Windows 2000 pode ignorar medidas de segurança específicas

Impacket

Movimento lateral, evasão de defesa

Gerenciamento de conta administrativa local

Garantir que as contas administrativas locais sejam gerenciadas de forma centralizada e segura usando LAPS

CrackMapExec

Evasão de defesa, acesso de credencial, movimento lateral

Configuração perigosa de usuários anônimos

Um acesso anônimo ativado na infraestrutura monitorada do Active Directory pode levar ao vazamento de informações confidenciais

Impacket

Exfiltração

Atributos filtrados de RODC anormais

As políticas de filtragem aplicadas em alguns controladores de domínio como somente leitura podem levar ao cache de informações confidenciais, permitindo a elevação de privilégios

Mimikatz (DCShadow)

Elevação de privilégios, evasão de defesa

Falta de restrições no cenário de ataque de movimentos laterais

A restrição de movimento lateral não foi ativada na infraestrutura monitorada do Active Directory, permitindo que os invasores saltem de máquina em máquina com o mesmo nível de privilégios

CrackMapExec

Movimento lateral

Senha não criptografada armazenada em compartilhamentos DC

Alguns arquivos em compartilhamentos DC, acessíveis por qualquer usuário autenticado, provavelmente contêm senhas não criptografadas, permitindo a elevação de privilégios

SMBSpider

Acesso de credencial, elevação de privilégios, persistência

Direitos de controle de acesso perigosos em scripts de login

Alguns scripts, executados durante o login de computador ou de usuário, têm direitos de acesso perigosos, levando a elevação de privilégios

Metasploit

Movimento lateral, elevação de privilégios, persistência

Parâmetros perigosos são usados no GPO

Alguns parâmetros perigosos (por exemplo, grupos restritos, computação de hash LM, nível de autenticação NTLM, parâmetros confidenciais etc.) são definidos pelo GPO, criando violações de segurança

Responder

Descoberta, acesso de credencial, execução, persistência, elevação de privilégios, evasão de defesa

Parâmetros perigosos definidos na configuração do Controle de Conta de Usuário

O atributo Controle de Conta de Usuário de algumas contas de usuário define parâmetros perigosos (por exemplo, PASSWD_NOTREQD ou PARTIAL_SECRETS_ACCOUNT), que colocam em risco a segurança dessa conta

Mimikatz (LSADump)

Persistência, elevação de privilégio, evasão de defesa

Falta de aplicação de patches de segurança

Alguns servidores registrados no Active Directory não aplicaram atualizações de segurança recentemente

Metasploit

Elevação de privilégios de comando e controle, evasão de defesa

Tentativa de ataque de força bruta em contas de usuário

Algumas contas de usuário foram alvo de uma tentativa de ataque de força bruta

Patator

Acesso de credencial

Configuração do Kerberos na conta do usuário

Algumas contas estão usando configurações fracas do Kerberos

Mimikatz (Silver Ticket)

Acesso de credencial, elevação de privilégios

Compartilhamento anormal ou arquivo armazenado no DC

Alguns controladores de domínio são usados para hospedar arquivos desnecessários ou compartilhamentos de rede

SMBSpider

Descoberta, exfiltração

Quais técnicas de backdoor no Active Directory o Tenable.ad identifica?
O Tenable.ad tem uma extensa biblioteca de técnicas conhecidas de backdooring que os invasores usam para obter persistência. Dentre elas:

Técnica de backdooring

Descrição

Ferramentas de ataque conhecidas

Matriz de ataques Mitre

Garantir a consistência do SDProp

Controlar se o objeto adminSDHolder está em um estado limpo

Mimikatz (Golden Ticket)

Elevação de privilégios, persistência

Garantir a consistência do SDProp

Confirmar se o grupo principal de usuários não foi alterado

BloodHound

Elevação de privilégios, persistência

Confirmar as permissões do objeto de domínio raiz

Garantir que as permissões definidas no objeto de domínio raiz sejam razoáveis

BloodHound

Elevação de privilégios, persistência

Confirmar os objetos GPO confidenciais e permissões de arquivos

Assegurar que as permissões definidas nos objetos GPO e arquivos vinculados a contêineres confidenciais (como a UO de controladores de domínio) sejam razoáveis

BloodHound

Execução, elevação de privilégios, persistência

Direitos de acesso perigosos na conta KDC de RODC

A conta KDC usada em alguns controladores de domínio somente leitura pode ser controlada por conta de usuário ilegítimo, levando a vazamentos de credenciais

Mimikatz (DCSync)

Elevação de privilégios, persistência

Certificados confidenciais mapeados para contas de usuário

Alguns certificados X509 são armazenados no atributo da conta do usuário altSecurityIdentities, permitindo que o proprietário da chave privada do certificado se autentique como este usuário

Comando e controle, acesso de credencial, elevação de privilégios, persistência

SPN de Krbtgt falso definido em conta regular

O Nome da Entidade de Serviço (SPN) do KDC está presente em alguma conta de usuário regular, levando à falsificação de tíquetes Kerberos

Mimikatz (Golden Ticket)

Elevação de privilégios, persistência

Última alteração de senha KDC

A senha da conta KDC deve ser alterada regularmente

Mimikatz (Golden Ticket)

Acesso de credencial, elevação de privilégios, persistência

Contas com um atributo de histórico SID perigoso

Confirmar as contas de usuário ou computador usando um SID privilegiado no atributo de histórico do SID

DeathStar

Elevação de privilégios, persistência

Controladores de domínio falsos

Confirma se apenas os servidores controladores de domínio legítimos estão registrados na infraestrutura do Active Directory

Mimikatz (DCShadow)

Execução, evasão de defesa, elevação de privilégios, persistência

Controle de acesso ilegítimo de chave do Bitlocker

Algumas chaves de recuperação do Bitlocker armazenadas no Active Directory podem ser acessadas por outras pessoas que não são administradores e computadores vinculados

ANSSI-ADCP

Acesso de credencial, elevação de privilégios, persistência

Entradas anormais no descritor de segurança do esquema

O esquema do Active Directory foi modificado levando a novos direitos de acesso padrão ou objetos que podem colocar em perigo a infraestrutura monitorada

BloodHound

Elevação de privilégios, persistência

Conta DSRM ativada

A conta de recuperação do Active Directory foi ativada, expondo-a a roubo de credencial

Mimikatz (LSADump)

Acesso de credenciais, execução, evasão de defesa, elevação de privilégios, persistência

Política de cache perigosa no RODC

A política de cache configurada em alguns controladores de domínio somente leitura permite que contas administrativas globais tenham suas credenciais armazenadas em cache e recuperadas por contas de gerenciamento RODC

Mimikatz (DCSync)

Elevação de privilégios, persistência

Certificado implantado por GPO aplicado no DC

Alguns GPOs são usados para implantar certificados em controladores de domínio, permitindo que o proprietário da chave privada do certificado comprometa esses servidores

BloodHound

Elevação de privilégios, persistência

Hash de autenticação não renovado ao usar cartão inteligente

Algumas contas de usuário que usam autenticação de cartão inteligente não renovam suas credenciais hash com a frequência necessária

Mimikatz (LSADump)

Persistência

Senhas reversíveis para contas de usuário

Confirmar se nenhum parâmetro torna as senhas armazenadas em um formato reversível

Mimikatz (DC Sync)

Acesso de credencial

Uso de acesso negado explícito em contêineres

Alguns contêineres ou UOs do Active Directory definem acesso negado explícito, levando a possível ocultação de backdoor

BloodHound

Evasão de defesa, persistência

Como o Tenable.ad audita o Active Directory?
O Tenable.ad é a única solução no mercado que não precisa de nenhuma implantação em controladores de domínio ou endpoints. Além disso, o Tenable.ad só precisa de privilégios de nível de usuário para operar. Essa arquitetura exclusiva permite que as equipes de segurança auditem rapidamente a configuração do Active Directory sem problemas complexos na implantação.
O Tenable.ad é uma ferramenta de auditoria de segurança pontual para AD?

As configurações incorretas do AD acontecem o tempo todo, de modo que as auditorias pontuais tornam-se obsoletas apenas alguns minutos após o início e se concentram nas configurações incorretas, em vez de incluir indicadores de comprometimento.

Por outro lado, o Tenable.ad é uma plataforma de segurança que verifica continuamente seu AD em busca de novas fraquezas e ataques, alertando os usuários em tempo real sobre os problemas.

O Tenable.ad pode detectar ataques do Golden Ticket?
Sim, o Golden Ticket é uma das muitas técnicas de ataque que o Tenable.ad pode detectar e ajudar a prevenir. Com centenas de verificações de segurança e correlações em execução em paralelo, o Tenable.ad tem o escopo de segurança mais amplo disponível para AD.
O Tenable.ad integra-se ao meu SIEM, SOAR, sistema de tíquetes etc.?

A segurança de AD é uma peça importante em seu quebra-cabeça de segurança, e o Tenable.ad integra-se muito bem ao seu ecossistema de segurança.

Nossa integração ao Syslog garante que todos os tipos de SIEM e a maioria dos sistemas de tíquetes possam se integrar com o Tenable.ad imediatamente. Também temos aplicações nativas disponíveis para QRadar, Splunk e Phantom.

O Tenable.ad é uma solução baseada na nuvem?
Nossa solução oferece suporte a implantações baseadas em nuvem e no local. Não há diferença funcional entre essas duas abordagens de implantação.
O Tenable.ad consegue dimensionar implantações de várias organizações e de várias florestas do Active Directory?
Alguns dos maiores e mais confidenciais ADs já estão protegidos pelo Tenable.ad. Nossa plataforma foi criada como uma solução de nível empresarial. A arquitetura dela nativa do AD, sem agentes, permite o suporte a implantações complexas, de várias organizações e florestas, do Active Directory.
Como funciona o licenciamento no Tenable.ad?
O Tenable.ad é licenciado por conta de usuário habilitada.
Como o Tenable.ad precisa do acesso privilegiado ao Active Directory para encontrar pontos fracos e responder a ataques?
O Tenable.ad apenas exige uma conta de usuário padrão para realizar auditorias de configurações e a identificação de ataques contra o Active Directory.
Como posso comprar o Tenable.ad?
Você pode comprar o Tenable.ad ao entrar em contato com o parceiro certificado local da Tenable ou seu representante da Tenable.
Há uma avaliação disponível do Tenable.ad?
Sim, as avaliações estão disponíveis no Tenable.ad. Preencha o formulário de solicitação de avaliação para iniciá-la hoje mesmo.

Recursos relacionados

O resgate do rei: como parar a disseminação de ransomware através do AD

Ameaça global a empresas: o impacto de ataques a AD

Proteção do Active Directory: como detectar ataques proativamente

COMECE A USAR O TENABLE.AD


"Ao implementar o Tenable.ad em nosso perímetro global, demos às partes interessadas a visibilidade necessária dos riscos de segurança cibernética corporativa." Jean-Yves Poichotte, Diretor de segurança cibernética, Sanofi
Teste gratuito Comprar agora
Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.