6 maneiras de proteger o Active Directory com a Varonis

6 maneiras de proteger o Active Directory com a Varonis

A maneira mais rápida de invadir a rede de alguém é pelo Active Directory (AD). Afinal,  se você precisar de acesso a qualquer servidor, deve pedir permissão ao AD.

A Varonis monitora o Active Directory para protegê-lo contra uma miríade de ameaças de segurança cibernética. Combinando o conhecimento do AD, com a atividade do servidor de arquivos e a telemetria de perímetro, a Varonis pode detectar ameaças no AD antes que elas se tornem violações de dados.

  1. Como a Varonis monitora o AD?
    A Varonis reúne e armazena os logs de eventos de segurança de seus controladores de domínio (DC). Analisamos os dados de registro do AD no contexto da atividade de arquivo, atividade de VPN, solicitações de DNS e solicitações de proxy para desenhar uma imagem clara do que é considerado comportamento normal e anormal. A Varonis analisa os padrões de comportamento do usuário ao longo do tempo e compara com os padrões de comportamento atual. Se houver atividade suspeita ou que desvie da norma, um alerta será acionado. As equipes de segurança usam esses alertas para detectar ameaças ativas, enquanto aproveitam a Varonis UI para investigar como o incidente ocorreu em primeiro lugar.
  2. Como a Varonis detecta o roubo de credencial?
    O roubo de credenciais, o uso ilegal de credenciais de login de outra pessoa, é um dos métodos mais comuns para se infiltrar nas redes. É sempre mais fácil roubar uma senha que atacar com força bruta ou invadir o Kerberos. Não importa o quanto você treine os usuários em princípios de segurança e desenvolva proteções de segurança de dados, seus usuários continuam sendo uma brecha nas suas defesas. Em qualquer dia, qualquer usuário pode clicar acidentalmente em um link de phishing. O que significa que, além de todo esse treinamento, é importante monitorar possíveis roubos de credenciais.
  3. Como a Varonis detecta escalonamento de privilégio?
    Depois que os invasores tiverem acesso à sua rede, tentarão expandir esse acesso aos privilégios administrativos ou de administrador de domínio. Esse tipo de atividade é conhecido como escalonamento de privilégios. Os atacantes usam a credencial que já possuem para roubar credenciais com acesso privilegiado.
  4. Como a Varonis detecta o movimento lateral?
    Assumindo que o invasor não tenha sido detectado, nos referimos a essa fase como movimento lateral, já que os invasores estão se movendo lateralmente pela rede usando o acesso roubado. A Varonis identifica e monitora o armazenamento de dados confidências e o AD para capturar tais movimentações. Identifica onde os dados sensíveis estão e categoriza cada conta do AD como um serviço, executivo, privilegiado ou usuário. Com base no conhecimento de que tipo de dados cada conta está acessando, a Varonis pode tomar decisões e formular análises sobre a atividade atual do usuário.
  5. Com a Varonis protege você de downgrades de criptografia?
    Criptografia forte é vital para manter o nome de usuário e senha seguros em uma rede, mas não é uma solução infalível. As versões mais recentes do AD usam criptografia AES para proteger os tíquetes Kerberos, mas os hackers descobriram como tornar o AD mais fácil ter a criptografia quebrada. Este é um ataque de downgrade de criptografia – ou um ataque de Skeleton Key – e a Varonis tem um modelo de ameaça que detecta esse tipo de ameaça.
  6. Como a Varonis detecta ameaças contra o Kerberos?
    Se você estiver usando o AD, está usando o Kerberos. Assim, há algumas vulnerabilidades que é preciso conhecer. A Varonis está procurando por atividades relacionadas a essas vulnerabilidades.

Com centenas de modelos de ameaças integrados, o DatAlert detecta desde ataques Golden Ticket até comportamento de bloqueio anormal e envenenamento de DNS. Você pode executar ações automáticas para desabilitar uma conta comprometida, matar sessões ativas e até enviar alertas para seu SIEM para análise.

Entender o Active Directory é vital para proteger as empresas contra violações de dados, e o monitoramento ativo do AD pode ser a diferença entre o roubo de dados e uma tentativa. Veja o Varonis em ação.

Escrito por

Fonte: blog.varonis.com.br