企業痛點
Active Directory 難題
產品介紹
FAQ
企業痛點
Active Directory 難題
產品介紹
FAQ
Active Directory 擁有進入企業內網的鑰匙,
駭客卻清楚知道如何利用AD的弱點
的新型惡意軟體含有專門攻擊Active Directory 的程式碼
的全球企業經過 Active Directory 問題稽查,都發現有嚴重的設定錯誤
Active Directory
安全遇到的問題
二十年來 AD 資安的基礎從未改變…
80% 的攻擊使用 AD 執行橫向移動和權限提升
60% 的新惡意軟體包含針對 AD 錯誤設定的特定代碼
針對大型企業的大規模勒索感染增加——AD 是惡意軟體的主要設計攻擊行為
2020 年 Q1 嵌入的 Mimikatz 代碼比 2019 年 Q3/4 增加 42%
存在大量破口易被利用
- 經過多年的發展和重組,AD可能會存在數百個隱藏的弱點和攻擊途徑
- 入侵者橫向移動的機會
不斷出現新的攻擊途徑
- 在大型組織中,每天都會出現多種新的攻擊途徑
- 複雜的威脅參與者從最初的感染到控制域只需要短短17分鐘的時間
事件回應的惡夢
- Active Directory 會創建大量的日誌,並且消除這種噪聲消耗會導致事件響應和威脅搜尋資源。當每一秒鐘都變得很重要時,複雜性就是您的敵人
數十年無助的檢測技術
- 一些最惡性的攻擊(如 DCSync 和 DCShadow)難以留下蹤跡,無法被舊式日誌和代理的檢測策略捕獲
保護 Active Directory
並消除攻擊路徑
控制您的 Active Directory (AD) 和 Azure AD 安全性,以便在缺陷成為影響業務的問題之前發現並修復它們。
Tenable Identity Exposure(前稱為 Tenable.ad)是一種快速、無代理的 Active Directory 安全解決方案,可讓您查看複雜 Active Directory 環境中的所有內容,預測重要事項,以降低風險並在攻擊者利用攻擊路徑之前消除攻擊路徑。
在攻擊發生之前尋找並修復 Active Directory 弱點
使用 Tenable 的身份風險評分來發現 Active Directory 中的暴露並確定其優先順序。透過逐步補救指導降低您的身分風險。
即時偵測並回應 Active Directory 攻擊
偵測 Active Directory 攻擊,例如 DCShadow、暴力破解、密碼噴射、DCSync 等。Tenable Identity Exposure 透過攻擊洞察豐富您的 SIEM、SOC 或 SOAR,以便您可以快速回應並阻止攻擊。
完整 AD 風險可視化
找出 AD 錯誤設定及不適當的權限
- 立即發現、繪製現有的 AD 風險
- 遵循我們的逐步補救策略並防止攻擊
AD 管理員
藍隊 & 稽核團隊
調查事件和回溯威脅
- 在對象和屬性級別搜索和關聯 AD 設定更改
- 在你的 SOAR 觸發反應
SOC 分析團隊
攻擊溯源團隊
雲端 & 本地部署
無須安裝 Agents
不需要特殊權限
即時分析
AD 原生 API 對接
7x24 持續監控
- 持續監控 AD 上的物件變化
- 發現異常狀況即時告警
AD 管理員
資安團隊
即時檢測正在進行的攻擊
- 獲取有關 AD 攻擊的警報和可操作的補救計畫
- 幫助 SOC 團隊在 SIEM 中可視化通知和警報
SOC 分析團隊
資安團隊
保障 ACTIVE DIRECTORY 的安全
- 發現威脅您的 Active Directory 安全性的潛在問題
- 辨識危險的信任關係
- 使用身份風險評分對暴露進行評分並優先考慮補救措施
- 捕捉 Active Directory 和 Azure AD 中的每項更改
- 在 Active Directory 變更和惡意操作之間建立聯繫
- 統一 Active Directory 和 Azure AD 中的身份
- 可視化深入的攻擊細節
- 直接從事件詳細資訊探索 MITRE ATT&CK 描述
無需代理程式、無需特殊權限、沒有延遲
無需代理程式和特殊權限,就能防止並偵測複雜的 Active Directory 攻擊。
涵蓋雲端
Serice、AWS Directory Service、或 Google Managed Service for Active Directory 的安全性。
在任何地點部署
Tenable.ad 提供兩種不同架構設計的彈性。內部部署能讓您將資料保留在現場,並且在您的控制之下。軟體即服務 (SaaS) 則能讓您運用雲端。
FAQS
Tenable Identity Exposure 能讓您在弱點被攻擊者利用之前搜尋與修復 Active Directory 當中的脆弱環節,並即時偵測與應變攻擊。Tenable Identity Exposure 的主要功能包括:
- 找出任何潛藏在您 Active Directory 組態中的脆弱環節
- 發現威脅 AD 安全性的底層問題
- 以簡易的詞彙說明來剖析每一個不當設定
- 取得每一個問題的建議修復方式
- 建立可管理您 AD 安全性的自訂儀表板,以降低風險
- 找出危險的信任關係
- 掌握您 AD 中的每一個變更
- 發現 AD 中每一個網域的重大攻擊
- 從精確的攻擊時間表中將每一個威脅視覺化
- 在單一檢視畫面中彙整攻擊散佈情形
- 將 AD 變更與惡意動作連結
- 深入分析 AD 攻擊的細節
- 從偵測到的資安事端直接探索 MITRE ATT&CK ® 的說明
Tenable Identity Exposure 可偵測許多在網路攻擊中用來取得提高權限及啟用橫向移動的技巧,包括:DCShadow、暴力破解 (Brute Force)、密碼噴灑 (password spraying)、DCSync、Golden Ticket 等等。
Tenable.ad 擁有攻擊者用來取得特殊權限的已知攻擊媒介之大量資料庫。 包括:
| 攻擊媒介 | 說明 | 已知的侵犯工具 | Mitre 攻擊對照表 |
| 執行 Kerberos 服務的特殊權限帳號 | 使用可暴力破解的 Kerberos Service Principal Name 之高度特殊權線帳號 | Kerberom | 權限提升、橫向移動、持續性 |
| 危險的 Kerberos 委派動作 | 檢查以確認沒有授權危險的委外動 (不受限、通訊協定轉換等) | Nishang | 權限提升、橫向移動、持續性 |
| Active Directory PKI 使用脆弱的加密演算法 | 在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法 | ANSSI-ADCP | 持續性、權限提升、橫向移動 |
| 重要物件上的危險存取權限委派 | 我們發現某些存取權限會允許非法使用者控制重要的物件 | BloodHound | 洩漏、橫向移動、指令與控制、存取認證、權限提升 |
| 密碼原則中的多種問題 | 在某些特定的帳號上,目前所使用的密碼原則應不足以確保認證受到可靠的保護 | Patator | 規避防禦、橫向移動、存取認證、權限提升 |
| 危險的 RODC 管理帳號 | 負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號 | Impacket | 存取認證、規避防禦、權限提升 |
| 與重要物件連結的敏感 GPO | 某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如:KDC 帳號、網域控制器、系統管理群組等) | ANSSI-ADCP | 指令與控制、存取認證、持續性、權限提升 |
| 系統管理帳號能連接至除了網域控制器以外的其他系統 | 受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源,導致敏感的認證洩漏 | CrackMapExec | 規避防禦、存取認證 |
| 危險的信任關係 | 不當設定的信任關係屬性會降低目錄基礎架構的安全性 | Kekeo | 橫向移動、存取認證、權限提升、規避防禦 |
| GPO 中可還原的密碼 | 驗證 GPO 中包含的密碼不是以可還原的格式儲存 | SMB 密碼編目程式 | 存取認證、權限提升 |
| 執行已過時作業系統的電腦 | 已過時的系統已不再受到廠商的支援,因此會大幅增加基礎架構的弱點 | Metasploit | 橫向移動、指令與控制 |
| 使用 Windows 2000 之前版本相容存取控制的帳號 | Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施 | Impacket | 橫向移動、規避防禦 |
| 本機系統管理帳號的管理 | 確保本機系統管理帳號使用 LAPS 集中且安全地受到管理 | CrackMapExec | 防禦規避、存取認證、橫向移動 |
| 危險的匿名使用者組態 | 在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩 | Impacket | 洩漏 |
| 不正常的 RODC 篩選屬性 | 套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理,進而允許權限提升 | Mimikatz (DCShadow) | 權限提升、規避防禦 |
| 在橫向移動攻擊情境中缺少限制 | 在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制,讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上 | CrackMapExec | 橫向移動 |
| DC 共享區中儲存的純文字密碼 | 在 DC 共享區上的某些檔案可以被任何經授權的使用者存取,而其中可能會包含純文字密碼,進而允許權限提升 | SMBSpider | 存取認證、權限提升、持續性 |
| 登入指令碼上的危險存取控制權限 | 某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限,進而導致權限提升 | Metasploit | 橫向移動、權限提升、持續性 |
| GPO 中使用了危險的參數 | 某些危險的參數 (例如:限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定,這些參數會造成安全漏洞 | Responder | 搜尋、存取認證、執行、持續性、權限提升、規避防禦 |
| 使用者帳號控制 (User Account Control) 組態中所定義的危險參數 | 某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如:PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT),這些參數會危害這些帳號的安全性 | Mimikatz (LSADump) | 持續性、權限提升、規避防禦 |
| 沒有更新應用程式安全修補程式 | 某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式 | Metasploit | 指令與控制權限升級、規避防禦 |
| 對使用者帳號嘗試暴力破解 | 某些使用者帳號已經被暴力破解攻擊鎖定 | Patator | 存取認證 |
| 使用者帳號上的 Kerberos 組態 | 某些帳號會使用安全性脆弱的 Kerberos 組態 | Mimikatz (Silver Ticket) | 存取認證、權限提升 |
| DC 上不正常的共享區或儲存的檔案 | 某些網域控制器會用來存放非必要的檔案或網路共享區 | SMBSpider | 搜尋、洩漏 |
Tenable.ad 擁有大量攻擊者用來取得持續性的已知後門程式技巧資料庫。包括:
| 後門程式技巧 | 說明 | 已知的侵犯工具 | Mitre 攻擊對照表 |
| 確保 SDProp 一致性 | 控制 adminSDHolder 物件保持在無毒的狀態 | Mimikatz (Golden Ticket) | 權限提升、持續性 |
| 確保 SDProp 一致性 | 驗證使用者的主要群組沒有被變更 | BloodHound | 權限提升、持續性 |
| 驗證根網域物件權限 | 確保根網域物件上的權限設定是合理的 | BloodHound | 權限提升、持續性 |
| 驗證敏感的 GPO 物件與檔案權限 | 確保 GPO 物件和連結至敏感容器 (如網域控制器 OU) 的檔案權限設定是合理的 | BloodHound | 執行、權限提升、持續性 |
| RODC KDC 帳號上的危險存取權限 | 某些唯讀網域控制器上所使用的 KDC 帳號可以被非法使用者帳號控制,導致認證外洩 | Mimikatz (DCSync) | 權限提升、持續性 |
| 對應至使用者帳號的敏感憑證 | 某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證 | 指令與控制、存取認證、權限提升、持續性 | |
| 正常帳號上的不良 Krbtgt SPN 設定 | KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上,進而偽造 Kerberos 工單 | Mimikatz (Golden Ticket) | 權限提升、持續性 |
| KDC 密碼上次更改 | KDC 帳號密碼必須定期更改 | Mimikatz (Golden Ticket) | 存取認證、權限提升、持續性 |
| 帳號擁有危險的 SID History 屬性 | 檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號 | DeathStar | 權限提升、持續性 |
| 流氓網域控制器 | 確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中 | Mimikatz (DCShadow) | 執行、規避防禦、權限提升、持續性 |
| 非法的 Bitlocker 金鑰存取控制 | 某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取 | ANSSI-ADCP | 存取認證、權限提升、持續性 |
| Schema 安全描述項中不正常的項目 | Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件 | BloodHound | 權限提升、持續性 |
| 啟用 DSRM 帳號 | Active Directory 復原帳號被啟用,使其曝露在認證遭竊的風險之中 | Mimikatz (LSADump) | 存取認證、執行、規避防禦、權限提升、持續性 |
| RODC 中危險的快取原則 | 某些唯讀網域控制器上所設定的快取原則會讓全域系統管理員帳號的認證被 RODC 管理帳號快取處理及擷取 | Mimikatz (DCSync) | 權限提升、持續性 |
| 套用在 DC 上由 GPO 部署的憑證 | 某些 GPO 會用來在網域控制器上部署憑證,讓憑證的私密金鑰擁有者得以入侵這些伺服器 | BloodHound | 權限提升、持續性 |
| 在使用智慧卡時無法更新身分驗證雜湊 | 某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊 | Mimikatz (LSADump) | 持續性 |
| 使用者帳號的密碼可還原 | 驗證不會有參數使得密碼以可還原的格式儲存 | Mimikatz (DC 同步) | 存取認證 |
| 在容器上使用明確的拒絕存取 | 某些 Active Directory 容器或 OU 會定義明確的拒絕存取,可能會導致後門程式隱藏 | BloodHound | 規避防禦、持續性 |
Tenable Identity Exposure 是市面上唯一無需在網域控制器或端點上部署任何代理程式的解決方案。Tenable Identity Exposure 甚至只需要使用者層級的權限就能操作。這套獨特的架構能讓資安團隊快速稽核 Active Directory 的組態,而不會有複雜的部署問題。
AD 不當設定隨時都有可能發生,因此只有在 AD 啟動後數分鐘進行、而且只將重點放在不當設定,而沒有包括入侵指標的時點稽核已經過時。另一方面而言,Tenable Identity Exposure 是一套持續掃描 AD 是否有新的脆弱環節和攻擊的安全平台,當發生問題時,它還能即時警示使用者。
是的,Golden Ticket 是 Tenable Identity Exposure 能夠偵測出來且協助您預防的眾多攻擊技巧之一。利用同步執行數百種安全檢查和關聯分析,Tenable Identity Exposure 能夠為 AD 涵蓋最廣泛的安全範圍。
AD 安全性是您資安拼圖中非常重要的一塊,而 Tenable Identity Exposure 能夠將其嚴密地融合在您的安全生態系統之中。
我們的 Syslog 整合性可確保所有 SIEM 及大多數的工單系統與 Tenable Identity Exposure 能夠立即整合。我們也針對 QRadar、Splunk 和 Phantom 提供原生應用程式。
我們的解決方案同時支援雲端型和內部部署方案。這兩種部署方式在功能上沒有任何差異。
已經有一些規模最大、最敏感的 AD 受到 Tenable Identity Exposure 的保護。我們的平台是以企業級解決方案建構,其無代理程式型 AD 原生架構能支援複雜的多組織、多樹系
Active Directory 部署環境。
Tenable Identity Exposure 是依作用中使用者人數授權。
Tenable Identity Exposure 在稽核組態和判別針對 Active Directory 的攻擊方面,只需要標準使用者帳號。
歡迎致電 03 610 9677,星擊科技業務專員將會立即為您服務。
需要預約現場測試嗎?
