这一列可以在每周时事通讯称之为最佳实践。点击这里订阅。
景观的威胁已经转向更危险的境地,和公司已经部署更多的安全解决方案,专用保护特定区域的广泛的企业环境。这样一个解决方案带到市场Aorato今年早些时候,是一个目录服务应用程序防火墙(DAF)。
如果你仔细想想,一个企业的活动目录(广告)系统将由一个网络的犯罪。身份数据域的活动目录包含所有成员,包括用户、计算机、服务和其他资源,以及它们之间的关系。它包含授权信息,确认谁可以获得什么。这使得目录系统自然成为网络攻击的目标以及内部的滥用。
尽可能早地知道它是至关重要的,如果一个恶毒的演员是使用工具或技术来进行侦察目录,或如果他们已经变得和非法利用别人的身份来渗透网络。许多公司试图解决这个问题通过收集事件日志从Active Directory或用户工作站和分析这些日志安全信息和事件管理(SIEM)系统。Aorato认为,这种方法是有缺陷的,因为事件日志不记录所有微妙的恶意活动的线索。因此SIEM永远不能检测到许多类型的虐待,因为它根本没有正确的数据。此外,日志从受损的设备不应该信任,他们自己可能会损坏。
Aorato方法是监视和分析所有的交通通过活动目录。目录服务应用程序防火墙是一个物理或虚拟设备,为近实时分析广告流量的一个副本。Aorato DAF的剖析十多个协议的所有广告并分析所有的数据。
Aorato使用两个检测发现恶意行为的机制。一个是一组检测规则,寻找技术攻击像Pass-the-Hash(甲状旁腺素)和Pass-the-Ticket (PtT)。行为模型,另一个是学习用户和检测异常的典型行为。
技术攻击甲状旁腺素和PtT是世界上很常见的有针对性的袭击。这些方法都是攻击者用来从网络中任意点到目标系统。Pass-the-Hash是攻击的方法,对手窃取用户的散列凭证或计算机为了进行身份验证,通过NTLM (Windows NT LAN Manager),到各种企业资源。Pass-the-Ticket是攻击敌人窃取用户的Kerberos身份验证票为了模拟用户对各种企业资源。
散列或票代表着一个令牌,证明有人经过身份验证的设备或服务。攻击者窃取,令牌是一个密码,并使用它连接到其他机器。攻击者通常会令牌后高的人的特权,如管理员,和使用该令牌从一台机器转移到另一个通过网络传播。
Aorato DAF的规则,发现这些技术攻击的本质。防火墙监控认证令牌的整个生命周期。例如,如果令牌发出一站或一个端点,它不是预计将出现在另一个端点。如果这发生了,很明显的攻击和Aorato警报。
当然,并不是所有的事件开始从外面。可以是内部坏演员——例如,爱德华·斯诺登——谁滥用凭证和访问权限。Aorato捕获这种活动通过使用行为检查和提醒。
当一个组织安装Aorato DAF,设备使用机器学习算法学习活动目录内的所有用户的典型行为模式。每个人都有自己的计划和习惯使用网络资源:典型的工作时间,常用资源,设备和访问地点,等。Aorato DAF学习这些行为和异常警报。该公司表示,其秘诀是创建警报恶意的异常活动,不仅异常活动。毕竟,有些时候人们合法工作的方式在规范,和Aorato主张不要这些时间真正的恶意行为。
生成的警报DAF包括可行的建议,以纠正发现的恶意行为。Aorato不采取任何自动行动的警报。警报,顺便说一句,可以发送到任何媒介组织希望SIEM,管理员的电子邮件、SOC仪表板等等。
需要安装产品的零配置。唯一的要求就是告诉Aorato DAF的活动目录的产品应该监控。从那里开始学习的行为模式,开始监测技术的攻击。
企业目录服务是容易受到攻击和滥用内幕。在今天的威胁环境,安全解决方案,是专用来保护这个至关重要的组件的网络是有意义的。