確保身份安全應(yīng)對網(wǎng)絡(luò)高級威脅攻擊勒索軟件/數(shù)據(jù)竊取攻擊過程利用身份

脆弱點外部攻擊面數(shù)據(jù)竊取敲詐勒索擾亂運營期望的結(jié)果攻擊者橫向移動$$獲得初始

特權(quán)提權(quán)&

行動持續(xù)滲透確定目標E.g.釣魚郵件,社會工程,暴力破解,憑證泄露利用資產(chǎn)

脆弱點E.g.CVE漏洞,暴露端口,明文密碼,非多因素驗證管理身份驗證，保存所有密碼

管理對每項重要資產(chǎn)的訪問權(quán)限部署在95%的大型組織中一個復(fù)雜的、不斷發(fā)展的架構(gòu)，隨著時間的推移變得難以管理Active

Directory

holdsthe

keys

to

everythingICS

&SCADAUSERS

&

CREDENTIALSE-MAILAPPLICATIONSCLOUD

RESOURCESCORPORATE

DATA為什么ACTIVE

DIRECTORY

的安全至關(guān)重要？ACTIVE

DIRECTORY

已成為一切的關(guān)鍵！CS

和SCADA公司數(shù)據(jù)電子郵件用戶和憑據(jù)應(yīng)用程序云資源的企業(yè)依賴

ActiveDirectory服務(wù)>95%的全球企業(yè)在針對

Active

Directory

問題的審計中發(fā)現(xiàn)存在嚴重的錯誤配置80%的新惡意軟件中包含針對Active

Directory

的特定代碼60%當(dāng)前AD面臨的挑戰(zhàn)我是新管理員，

以前配置不清楚，能發(fā)現(xiàn)權(quán)限過高的用戶嗎？AD日志很難關(guān)聯(lián)分析，我的AD現(xiàn)在安全嗎？AD中每天都會發(fā)生變化，

任何變化都可能打開攻擊路徑。此用戶需要訪問哪些資源？我們有很多用戶不敢

刪除，擔(dān)心應(yīng)用中斷。域內(nèi)存在大量的休眠

賬號及過時操作系統(tǒng)，是否能發(fā)現(xiàn)他們？缺乏可見性缺乏深厚的安全知識沒有時間修復(fù)已知問題依靠SOC/SIEM來查找問題每年定期AD

安全檢查每起登上頭版頭條的信息泄露或勒索事件背后都與暴露面缺陷及AD風(fēng)險相關(guān)！理解安全風(fēng)險是基本的價值命題檢測與響應(yīng)(事后)Detection

and

ResponseRapidly

Detect,

Contain

and

Remediate

Incidents

During

an

Attack:Threat

Intelligence,

Incident

Response,SIEM,

Network

Access

Control防御(事中)ProtectionPrevention

Before

an

Attack:Firewall,

Antivirus,

Intrusion

Prevention暴露風(fēng)險可視(事前)Cyber

ExposureWhere

areweexposed?Where

shouldwe

prioritizebased

on

risk?How

arewe

reducing

our

risk

overtime?8AD安全來說什么是最重要的?實時攻擊檢測是不夠的實時攻擊檢測實時攻擊保護收到一條短信說“你的車撞墻了”收到一條短信說:“你需要檢查剎車配置"基礎(chǔ)安全工作仍面臨考驗過去幾年中的攻防演練中，多家單位因攻擊面評估不到位等低級錯誤而被攻破例1：某單位被物理攻擊，通過營業(yè)廳的網(wǎng)絡(luò)接入到內(nèi)網(wǎng)，再使用已知漏洞拿下護網(wǎng)域控目標

例2：某單位員工被釣魚攻擊，郵件鏈接下載惡意代碼，后作為跳板進一步拿下內(nèi)網(wǎng)域控目標絕大部分情況下，攻擊者無需耗費0-day#Low-hanging

Fruits(HW高風(fēng)險攻擊手法)未修復(fù)的漏洞弱口令A(yù)D錯誤配置老舊的資產(chǎn) 未知且不必要的暴露過度的程序權(quán)限國內(nèi)大型機構(gòu)AD攻擊案例分析黑客攻擊過程：攻擊者通過釣魚郵件獲得普通加域電腦權(quán)限。通過普通域賬號查詢特權(quán)賬號運行

MSSQL服務(wù)，被發(fā)起Kerberoast攻擊獲取到用戶憑據(jù)。攻擊者獲取憑據(jù)之后進行離線破解。黑客使用破解后的密碼登錄特權(quán)賬號進行非法活動。憑據(jù)的獲取為正常行為，安全防護系

統(tǒng)及攻擊檢測工具無法檢測出異常。Tenable.IE檢測示例圖11“回歸基本面”發(fā)現(xiàn)嚴重CVE漏洞盡快修補您的系統(tǒng)注意您的AD配置錯誤“因為攻擊者也會做同樣的事情”“身份是新的邊界”身份安全將成為安全必選項“身份優(yōu)先安全是一種使基于身份的控制成為組織網(wǎng)絡(luò)安全架構(gòu)中的基本元素的方法。”–

GARTNER–

ISACA,

FORBESTenable身份安全位于現(xiàn)代威脅生態(tài)系統(tǒng)初始破壞公司感染下一代防病毒端點侵占EDR

解決方案主機IPS/IDSUEBA蜜罐雙因素認證數(shù)據(jù)泄露·DLP解決方案端到端加密沙箱NACEmail安全123456789100No

existing

solutionbridge

this

gap現(xiàn)有的保護技術(shù)現(xiàn)有的保護技術(shù)本地權(quán)限

公司基礎(chǔ)獲取

設(shè)施制圖橫向移動特權(quán)帳戶上的憑據(jù)重現(xiàn)AD的特權(quán)升級后利用(持

業(yè)務(wù)資

使用側(cè)久性、植

源篡改

通道滲入后門)

出數(shù)據(jù)目標識別針對目標的初始端點釣魚活動 中招Prevention與ITDR重疊越來越多身份安全優(yōu)先身份安全必須與風(fēng)險暴露管理結(jié)合與非人類身份相關(guān)的風(fēng)險必須考量以黑客的思維優(yōu)化防守策略黑客針對AD域控攻擊的三部曲：1、獲取特權(quán)賬號及資產(chǎn)信息，繪制AD域控攻擊路徑；2、識別錯誤配置，掌握AD域中的權(quán)限提升脆弱點；3、結(jié)合可利用的攻擊路徑以及錯誤配置發(fā)動攻擊，獲取特權(quán)，植入后門，持續(xù)滲透。攻擊路徑Attack

Path可視化資產(chǎn)風(fēng)險顯示可能遭到入侵的帳戶的爆炸半徑識別潛在的攻擊路徑聚焦于AD中的危險權(quán)限關(guān)系無需代理無需管理員權(quán)限AD原生API近實時以黑客的思維優(yōu)化防守策略-可視化黑客潛在入侵路徑暴露風(fēng)險指標Indicators

of

Exposure過百余種AD暴露風(fēng)險指標分析發(fā)現(xiàn)影響AD的安全的潛在配置隱患查看修復(fù)建議和復(fù)雜問題的詳細說明確保攻擊者難以找到立足點，如果阻斷了他們的攻擊立足點，就沒有下一步行動!無需代理無需管理員權(quán)限AD原生API近實時以黑客的思維優(yōu)化防守策略-全面發(fā)現(xiàn)AD潛在配置風(fēng)險Trailflow

跟蹤事件流在AD

更改和惡意操作之間建立鏈接。實時監(jiān)控AD

object的事件可視化攻擊事件發(fā)生時，AD產(chǎn)生的所有變化。并自動化將高危變動串聯(lián)現(xiàn)存風(fēng)險中查看數(shù)據(jù)，仿佛它在你面前重新發(fā)生。查看它發(fā)生的過去時，現(xiàn)在時！無需代理無需管理員權(quán)限AD原生API近實時以黑客的思維優(yōu)化防守策略-實時分析AD的每一處改變實時攻擊指標Indicators

of

Attack調(diào)查AD攻擊收到偵察活動的警報MITRE

ATT&CK?關(guān)聯(lián)每次攻擊的信息確保攻擊者不會保持隱藏?zé)o需代理無需管理員權(quán)限AD原生API近實時以黑客的思維優(yōu)化防守策略-洞察黑客的攻擊手法方案優(yōu)勢：低風(fēng)險&輕量級部署Forest

A-DCForest

B-DCT.IE偵聽模塊T.IE安全分析引擎T.IE日志及外部接口模塊T.IE偵聽模塊藍隊攻擊溯源團隊SMTPSIEM第三方應(yīng)用基于虛擬化分布式部署無需安裝Agent無需管理權(quán)限只利用微軟標準協(xié)議方案優(yōu)勢：易執(zhí)行的風(fēng)險緩解指南詳細的修復(fù)指南多維度的緩解方式參考微軟最佳實踐方案優(yōu)勢：實時告警風(fēng)險配置實時告警AD風(fēng)險配置實時告警特定配置變更以上變更追蹤無需配置任何策略定期收集方案優(yōu)勢：更多的AD風(fēng)險檢測規(guī)則安全模型相關(guān)IOEKDC

密碼很久未改未啟用Protected

Users組潛在可被拿到票據(jù)的特權(quán)賬戶管理員賬號近期被使用SD

Propagator連續(xù)性問題AD域間復(fù)制問題AD對象訪問控制風(fēng)險未受限制的委派Bitlocker密鑰訪問控制用不過期的賬戶管理員屬性值風(fēng)險特權(quán)組成員過多存在可逆向解密的密碼特權(quán)組中被禁用的賬戶匿名用戶行為密碼策略不符合安全實踐AD域間信任風(fēng)險活動目錄配置風(fēng)險被禁用的OU服務(wù)賬號配置風(fēng)險過時的操作系統(tǒng)證書風(fēng)險安全描述符風(fēng)險高級日志策略風(fēng)險RODC

KDC

賬戶RODC

管理賬戶RODC上的緩存策略RODC

過濾屬性RODC

全局組敏感的GPO鏈接缺少勒索病毒加固AD域等級過低禁用或未鏈接的GPOS3S2S1S4S8S9S5S6S7A2

弱密碼/空密碼/重復(fù)密碼A1A4A8

Kerberos

賬戶配置風(fēng)險A9A5A6A7A3C2C1C8

GPO配置風(fēng)險C9C4C5C6C7C3R2R1R8R9R4R5R6R7R3賬戶相關(guān)IOE配置相關(guān)IOE只讀DC相關(guān)IOE46,000CUSTOMERS

WORLDWIDEPUBLICLY

TRADEDNASDAQ:TENBOF

FORTUNE

500COMPANIES60%+

40%+OF

GLOBAL

20