Tenable Identity Exposure
Proteggi Active Directory ed elimina i percorsi di attacco
Riprendi il controllo della sicurezza di Active Directory (AD) e Azure AD e trova e correggi i difetti prima che possano compromettere la produttività aziendale.
Tenable Identity Exposure è una soluzione di sicurezza di Active Directory rapida e senza agente che offre visibilità completa all'interno dell'ambiente Active Directory; consente di prevedere cosa è veramente importante per ridurre il rischio e smantellare i percorsi di attacco prima che vengano sfruttati da utenti malintenzionati.
Richiedi una demoNo
Escalation dei privilegi
Movimento laterale
Passi successivi per gli utenti malintenzionati
Trova e correggi i punti deboli di Active Directory prima che si verifichi un attacco
Scopri e assegna priorità alle esposizioni all'interno di Active Directory utilizzando il punteggio di rischio di identità di Tenable. Riduci il rischio legato all'identità con una guida dettagliata per la correzione.
Rileva gli attacchi ad Active Directory e rispondi in tempo reale
Rileva gli attacchi ad Active Directory come DCShadow, brute force, password spraying, DCSync, ecc. Tenable Identity Exposure integra le soluzioni SIEM, SOC o SOAR con informazioni sugli attacchi che consentono di rispondere rapidamente e arrestarli.
Successo dei clienti
In che modo Sanofi, leader del settore farmaceutico, protegge con successo le sue infrastrutture globali di Active Directory
Leggi il case studyIn che modo Vinci Energies è riuscita a stabilire solidi parametri di sicurezza per le proprie infrastrutture Active Directory in continua evoluzione
Leggi il case studyIn che modo le piccole realtà che compongono Lagardère proteggono le loro infrastrutture di Active Directory con risorse limitate
Leggi il case study"Tenable ci ha liberati dalle preoccupazioni per la sicurezza di Active Directory. In questo modo, possiamo concentrarci sulla creazione di nuove società."Dominique Tessaro
Disponibile con Tenable One Exposure Management Platform
Tenable One è una piattaforma di gestione dell'esposizione che aiuta le organizzazioni a ottenere visibilità su tutta la superficie di attacco moderna, a concentrare gli sforzi sulla prevenzione di possibili attacchi e a comunicare i rischi informatici con precisione per contribuire a ottimizzare le prestazioni aziendali. La piattaforma Tenable One offre un'ampia copertura delle vulnerabilità del settore, che include gli asset IT, le risorse cloud, i container, le app web e i sistemi di identità.
Scopri di piùProteggi Active Directory
- Scopri i problemi di fondo che minacciano la sicurezza di Active Directory
- Individua le relazioni di fiducia pericolose
- Assegna un punteggio alle esposizioni e dai priorità alle azioni correttive con il punteggio di rischio delle identità
- Cattura ogni modifica in Active Directory e Azure AD
- Metti in correlazione le modifiche di Active Directory e le azioni dannose
- Unifica le identità in Active Directory e Azure AD
- Visualizza informazioni dettagliate sugli attacchi
- Esamina le descrizioni di MITRE ATT&CK® direttamente dai dettagli sull'incidente
FAQ
- Scoprire i punti deboli nascosti nelle configurazioni di Active Directory
- Scopri i problemi di fondo che minacciano la sicurezza di Active Directory
- Scomporre ogni configurazione errata in modo semplice
- La nuova funzionalità Asset Exposure Score quantifica il rischio degli asset combinando vulnerabilità, esposizione e diritti di identità (basati sull'intelligenza artificiale e sul Data Science Engine di Tenable
- Ricevere correzioni consigliate per ogni problema
- Crea dashboard personalizzati per gestire la sicurezza di Active Directory e favorire la riduzione dei rischi
- Scoprire relazioni di fiducia pericolose
- Nuova visualizzazione delle identità unificate da Active Directory e Azure AD
- Cogli ogni cambiamento di AD
- Scopri i principali attacchi per dominio in Active Directory
- Visualizzare ogni minaccia con una tempistica accurata dell'attacco
- Raggruppare la distribuzione degli attacchi in un'unica vista
- Metti in correlazione le modifiche di Active Directory e le azioni dannose
- Analizza a fondo i dettagli approfonditi di un attacco ad Active Directory
- Esaminare le descrizioni di MITRE ATT&CK® direttamente dai dettagli sull'incidente
Vettori di attacco |
Descrizione |
Strumenti offensivi noti |
Mitre Attack Matrix |
Account con privilegi che eseguono i servizi Kerberos |
Account con privilegi elevati che usano un nome dell'identità servizio Kerberos per attacchi di brute force |
Kerberom |
Escalation dei privilegi, movimento laterale, persistenza |
Delegazione Kerberos pericolosa |
Verificare che non sia autorizzata alcuna delega pericolosa (non vincolata, transizione di protocollo e simili) |
Nishang |
Escalation dei privilegi, movimento laterale, persistenza |
Utilizzo di algoritmi di crittografia deboli nell'Infrastruttura a chiave pubblica (PKI, Public Key Infrastructure) di Active Directory |
I certificati radice distribuiti nell'infrastruttura PKI di Active Directory interna non devono utilizzare algoritmi crittografici deboli |
ANSSI-ADCP |
Persistenza, escalation dei privilegi, movimento laterale |
Pericolosa delega dei diritti di accesso su oggetti critici |
Sono stati individuati alcuni diritti di accesso che consentono a utenti illegittimi di controllare oggetti critici |
BloodHound |
Esfiltrazione, movimento laterale, comando e controllo, accesso alle credenziali, escalation dei privilegi |
Molteplici problemi nei criteri per le password |
Su alcuni account specifici, i criteri attuali per le password non sono sufficienti a garantire una solida protezione delle credenziali |
Patator |
Evasione della difesa, movimento laterale, accesso alle credenziali, escalation dei privilegi |
Account per la gestione dei controller di dominio di sola lettura pericolosi |
I gruppi amministrativi responsabili dei controller di dominio di sola lettura contengono account anomali |
Impacket |
Accesso alle credenziali, evasione della difesa, escalation dei privilegi |
Oggetto sensibile "Criteri di gruppo" collegato a oggetti critici |
Alcuni oggetti "Criteri di gruppo" gestiti da account non amministrativi sono collegati a oggetti sensibili di Active Directory (ad esempio l'account KDC, i controller di dominio, i gruppi amministrativi, ecc...) |
ANSSI-ADCP |
Comando e controllo, accesso alle credenziali, persistenza, escalation dei privilegi |
Account amministrativi autorizzati a connettersi a sistemi diversi dai controller di dominio |
I criteri di sicurezza implementati nell'infrastruttura monitorata non impediscono agli account amministrativi di connettersi a risorse diverse dal DC, portando all'esposizione di credenziali sensibili |
CrackMapExec |
Evasione della difesa, accesso alle credenziali |
Relazioni di fiducia pericolose |
Attributi di relazioni di fiducia configurati in modo errato riducono la sicurezza di un'infrastruttura di directory |
Kekeo |
Movimento laterale, accesso alle credenziali, escalation dei privilegi, evasione della difesa |
Password reversibili nell'oggetto "Criteri di gruppo" |
Verificare che nessun oggetto "Criteri di gruppo" contenga password archiviate in un formato reversibile |
Crawler password SMB |
Accesso alle credenziali, escalation dei privilegi |
Computer che eseguono un sistema operativo obsoleto |
I sistemi obsoleti non sono più supportati dall'editor e aumentano notevolmente la vulnerabilità dell'infrastruttura |
Metasploit |
Movimento laterale, comando e controllo |
Account che utilizzano un controllo di accesso compatibile, precedente a Windows 2000 |
I membri dell'account del gruppo di accesso compatibile precedente a Windows 2000 possono disabilitare specifiche misure di sicurezza |
Impacket |
Movimento laterale, evasione della difesa |
Gestione dell'account amministrativo locale |
Assicurarsi che gli account amministrativi locali siano gestiti centralmente e in modo sicuro utilizzando LAPS |
CrackMapExec |
Evasione della difesa, accesso alle credenziali, movimento laterale |
Configurazione utenti anonimi pericolosi |
L'accesso anonimo viene attivato sull'infrastruttura di Active Directory monitorata, causando la fuga di informazioni riservate |
Impacket |
Esfiltrazione |
Attributi filtrati RODC anomali |
I criteri di filtraggio applicati su alcuni controller di dominio di sola lettura possono portare alla memorizzazione nella cache di informazioni riservate, consentendo l'escalation dei privilegi |
Mimikatz (DCShadow) |
Escalation dei privilegi, evasione della difesa |
Mancanza di restrizione sui movimenti laterali; scenario di attacco |
La limitazione del movimento laterale non è stata attivata sull'infrastruttura di Active Directory monitorata, permettendo agli utenti malintenzionati di rimbalzare da una macchina all'altra con lo stesso livello di privilegi |
CrackMapExec |
Movimento laterale |
Password in chiaro memorizzata nelle condivisioni DC |
È probabile che alcuni file nelle condivisioni DC, accessibili da qualsiasi utente autenticato, contengano password in chiaro, consentendo l'escalation dei privilegi |
SMBSpider |
Accesso alle credenziali, escalation dei privilegi, persistenza |
Diritti di controllo degli accessi pericolosi sugli script di accesso |
Alcuni script, eseguiti durante l'accesso di un computer o di un utente, hanno diritti di accesso pericolosi in quanto possono risultare in un'escalation dei privilegi |
Metasploit |
Movimento laterale, escalation dei privilegi, persistenza |
Nell'oggetto "Criteri di gruppo (GPO)" vengono utilizzati parametri pericolosi |
Alcuni parametri pericolosi (ad esempio, gruppi con restrizioni, calcolo dell'hash LM, livello di autenticazione NTLM, parametri sensibili e così via) vengono impostati dall'oggetto "Criteri di gruppo", creando violazioni della sicurezza |
Risponditore |
Scoperta, accesso alle credenziali, esecuzione, persistenza, escalation dei privilegi, evasione della difesa |
Parametri pericolosi definiti nella configurazione "Controllo dell'account utente" |
L'attributo "Controllo dell'account utente" di alcuni account utente definisce parametri pericolosi (ad esempio, PASSWD_NOTREQD o PARTIAL_SECRETS_ACCOUNT), che mettono in pericolo la sicurezza dell'account stesso |
Mimikatz (LSADump) |
Persistenza, escalation dei privilegi, evasione della difesa |
Mancata applicazione delle patch di sicurezza |
Alcuni server registrati su Active Directory non hanno applicato gli aggiornamenti di sicurezza recentemente |
Metasploit |
Comando e controllo, escalation dei privilegi, evasione della difesa |
Tentativo di attacchi di brute force sugli account utente |
Alcuni account utente sono stati presi di mira da un tentativo di attacco di brute force |
Patator |
Accesso alle credenziali |
Configurazione Kerberos sull'account utente |
Alcuni account utilizzano una configurazione Kerberos debole |
Mimikatz (Silver Ticket) |
Accesso alle credenziali, escalation dei privilegi |
Condivisione anomala o file archiviato nel controller di dominio |
Alcuni controller di dominio vengono utilizzati per ospitare file o condivisioni di rete non necessari |
SMBSpider |
Scoperta, esfiltrazione |
Tecnica di backdoor |
Descrizione |
Strumenti offensivi noti |
Mitre attack Matrix |
Garantire la coerenza SDProp |
Controllare che l'oggetto adminSDHolder sia allo stato originario |
Mimikatz (Golden Ticket) |
Escalation dei privilegi, persistenza |
Garantire la coerenza SDProp |
Verificare che il gruppo principale degli utenti non sia stato modificato |
BloodHound |
Escalation dei privilegi, persistenza |
Verificare le autorizzazioni dell'oggetto del dominio radice |
Assicurarsi che le autorizzazioni impostate sull'oggetto del dominio radice siano normali |
BloodHound |
Escalation dei privilegi, persistenza |
Verificare gli oggetti Criteri di gruppo (GPO) sensibili e le autorizzazioni dei file |
Assicurarsi che le autorizzazioni impostate sugli oggetti e sui file dell'oggetto "Criteri di gruppo" collegati a contenitori sensibili (come l'unità organizzativa dei controller di dominio) siano normali |
BloodHound |
Esecuzione, escalation dei privilegi, persistenza |
Diritti di accesso pericolosi sull'account RODC KDC |
L'account KDC utilizzato su alcuni controller di dominio di sola lettura può essere controllato da un account utente illegittimo, con conseguente perdita di credenziali |
Mimikatz (DCSync) |
Escalation dei privilegi, persistenza |
Certificati sensibili mappati dagli account utente |
Alcuni certificati X509 sono archiviati nell'attributo dell'account utente altSecurityIdentities, consentendo al proprietario della chiave privata del certificato di autenticarsi come questo utente |
Comando e controllo, accesso alle credenziali, escalation dei privilegi, persistenza |
|
Rogue Krbtgt SPN impostato su account normale |
Il nome dell'entità servizio del KDC è presente su alcuni account utente regolari, portando alla contraffazione dei ticket Kerberos |
Mimikatz (Golden Ticket) |
Escalation dei privilegi, persistenza |
Ultima modifica della password KDC |
La password dell'account KDC deve essere cambiata regolarmente |
Mimikatz (Golden Ticket) |
Accesso alle credenziali, escalation dei privilegi, persistenza |
Account con un attributo Cronologia SID pericoloso |
Controllare gli account utente o computer utilizzando un SID con privilegi nell'attributo cronologia SID |
DeathStar |
Escalation dei privilegi, persistenza |
Controller di dominio non autorizzati |
Assicurarsi che solo i server controller di dominio legittimi siano registrati nell'infrastruttura di Active Directory |
Mimikatz (DCShadow) |
Esecuzione, evasione della difesa, escalation dei privilegi, persistenza |
Controllo di accesso alla chiave Bitlocker illegittimo |
Ad alcune chiavi di ripristino Bitlocker archiviate in Active Directory possono accedere persone diverse dagli amministratori e dai computer collegati |
ANSSI-ADCP |
Accesso alle credenziali, escalation dei privilegi, persistenza |
Voci anomale nel descrittore di sicurezza dello schema |
La modifica allo schema di Active Directory ha avuto come risultato la creazione di nuovi diritti di accesso o di oggetti standard che possono mettere in pericolo l'infrastruttura monitorata |
BloodHound |
Escalation dei privilegi, persistenza |
Attivazione dell'account DSRM |
L'account di ripristino di Active Directory è stato attivato, esponendolo al furto di credenziali |
Mimikatz (LSADump) |
Accesso alle credenziali, esecuzione, evasione della difesa, escalation dei privilegi, persistenza |
Hash di autenticazione non rinnovato quando si utilizza la smart card |
Alcuni account utente che utilizzano l'autenticazione con smart card non rinnovano l'hash delle credenziali con sufficiente frequenza |
Mimikatz (LSADump) |
Persistenza |
Password reversibili per account utente |
Verificare che nessun parametro contenga password archiviate in un formato reversibile |
Mimikatz (DC Sync) |
Accesso alle credenziali |
Uso sui contenitori dell'accesso negato esplicito |
Alcuni contenitori o unità organizzative di Active Directory definiscono l'accesso negato esplicito, portando a un potenziale occultamento di backdoor |
BloodHound |
Evasione della difesa, persistenza |
Le configurazioni errate di Active Directory si verificano continuamente, quindi i controlli temporizzati diventano obsoleti già solo pochi minuti dall'inizio del controllo stesso e tendono a concentrarsi più sulle configurazioni errate anziché sull'includere gli indicatori di compromissione.
Tenable Identity Exposure invece è una piattaforma di sicurezza che scansiona continuamente il tuo AD per individuare nuovi punti deboli e attacchi, segnalando i problemi agli utenti in tempo reale.
La sicurezza di AD è un tassello importante del puzzle della sicurezza e Tenable Identity Exposure si integra perfettamente nel tuo ecosistema di sicurezza.
La nostra integrazione Syslog assicura che tutti i SIEM e la maggior parte dei sistemi di ticketing si possano integrare con Tenable Identity Exposure fin da subito. Abbiamo anche app native disponibili per QRadar, Splunk e Phantom.
Tenable Identity Exposure è davvero straordinario e ci aiuta a rilevare e rispondere agli attacchi di Active Directory in tempo reale, nonché a identificare e correggere i punti deboli prima che possano essere sfruttati.CISO