Identity-First Incident Response
Das fehlende Puzzlestück in Ihrem Incident-Response-Toolkit ist jetzt verfügbar: Beschleunigen Sie Ihre Incident Response in Active-Directory-Umgebungen (AD), die angegriffen wurden, mit der Identity-First Incident Response von Silverfort. Erkennen und isolieren Sie kompromittierte Benutzer automatisch, blockieren Sie die Ausbreitung von Angriffen in Echtzeit und entfernen Sie bösartige Aktivitäten schnell und effektiv.
„Es ist, als hätten wir eine Firewall auf unseren Domänencontrollern.“
Blockieren Sie die Ausbreitung von Angriffen mit einem einzigen Klick
Isolieren Sie bösartige Elemente sofort, indem Sie MFA- und Authentifizierungs-Firewall-Richtlinien auf alle Benutzer und Ressourcen anwenden. So verhindern Sie laterale Bewegungen und die Verbreitung von Ransomware, ohne dass vorherige Untersuchungen erforderlich sind.
Optimieren Sie die Erkennung kompromittierter Benutzer
Achten Sie auf Verstöße gegen MFA- oder Authentifizierungs-Firewall-Richtlinien, die kompromittierte Konten zur Offenlegung ihrer Präsenz zwingen, sodass rechtzeitig Gegenmaßnahmen ergriffen werden können.
Schneller Einsatz, wenn Zeit entscheidend ist.
Erhalten Sie diese Funktionen innerhalb weniger Stunden durch die Installation der Silverfort-Plattform und starten Sie den Incident-Response-Prozess so schnell wie möglich – selbst in komplexen Multi-Domain-Umgebungen mit Hunderten von Domänencontrollern (DCs).
Schritt 1: Die Ausbreitung des Angriffs sofort stoppen
- Nutzen Sie die kombinierte Leistung der identitätsbasierten Segmentierung von MFA und Authentication Firewall in einer AD-Umgebung, um einen Angriff im Keim zu ersticken, unabhängig von TTPs mit lateraler Bewegung oder bestimmten Tools (PsExec, PowerShell, Impacket usw.).
- Machen Sie langwierige Untersuchungen überflüssig – mit vorgefertigten Richtlinien, die böswillige Zugriffe blockieren, noch bevor kompromittierte Konten identifiziert werden.
- Passen Sie den Sperrgrad je nach Schwere des Angriffs an. Wenden Sie Zugriffsrichtlinien entweder auf die gesamte Umgebung oder auf bestimmte Segmente an, in denen böswillige Aktivitäten vermutet werden.
Schritt Nr. 2: Identifizieren Sie kompromittierte Konten einfach und effizient
- Entdecken Sie schnell kompromittierte Konten, die ihre Präsenz durch abgelehnte MFA-Versuche und blockierten Zugriff offenlegen. Beides sind klare Hinweise darauf, dass ein Angreifer versucht, sich in der Umgebung auszubreiten.
- Mithilfe des detaillierten Prüfpfads können Sie nachvollziehen, wie Angreifer kompromittierte Konten verwenden, um sich seitlich durch das Netzwerk zu bewegen, von der Maschine, auf der sie zuerst entdeckt wurden, zurück zum Patienten Null. Blockieren Sie den Eintrittspunkt und beseitigen Sie den Angreifer.
- Konzentrieren Sie Ihre forensischen Bemühungen auf den Endpunkt, an dem kompromittierte Benutzer angemeldet waren, um Angriffsartefakte zu sammeln und verdächtige Netzwerkverbindungen zu identifizieren.
Schritt 3: Allmähliche Wiederherstellung und Reduzierung der Angriffsfläche
- Stellen Sie den Benutzerzugriff nach der Bestätigung der Entfernung böswilliger Aktivitäten schrittweise wieder her und behalten Sie dabei wichtige Sicherheitsmaßnahmen wie MFA und die kontinuierliche Überwachung zuvor kompromittierter Konten bei.
- Mindern Sie alle identitätsbezogenen Sicherheitslücken, die während des Angriffs ausgenutzt wurden, wie etwa Schattenadministratoren, nicht überwachte Dienstkonten und uneingeschränkte Delegierung.
- Begrenzen Sie potenzielle Angriffspfade, indem Sie unsichere Verbindungen (wie etwa NTLM zwischen Arbeitsstationen) beseitigen, übermäßige Zugriffsberechtigungen entfernen und riskante Konfigurationen zurücksetzen (z. B. Schattenadministratoren, uneingeschränkte Delegierung).
"Silverfort hat uns sofort geholfen, die Auswirkungen kompromittierter Benutzer einzudämmen. Es war eines der wichtigsten Tools, die wir zur Analyse des Authentifizierungs-flusses/der Authentifizierungs-protokolle und zur Ermittlung kompromittierter Identitäten verwendeten, als wir unsere Domänencontroller wieder online brachten. Wir arbeiteten schnell mit dem IR-Team zusammen, um Sperrrichtlinien für die kompromittierten Identitäten einzuführen.“
CISO eines Fortune 100-Unternehmens
Die Herausforderung des Kunden
Der Kunde erkannte, dass seine Umgebung infiltriert und sein Tresor kompromittiert worden war. Angreifer hatten sich bereits Zugriff auf kritische Systeme verschafft, was ein erhebliches Schadenspotenzial darstellte.
Die Lösung von Silverfort
Die Silverfort-Plattform wurde in weniger als 12 Stunden in einer Umgebung mit über 100 Rechenzentren bereitgestellt. Es wurde eine Blockzugriffsrichtlinie für alle Benutzer und Ressourcen durchgesetzt, die den Angriff in seinem aktuellen Stadium eindämmte und eine weitere Verbreitung von Ransomware verhinderte. Das IR-Team nutzte Silverfort, um kompromittierte Konten innerhalb weniger Stunden zu erkennen, was den gesamten IR-Zeitrahmen erheblich verkürzte und es dem Kunden ermöglichte, den Betrieb sicher wiederherzustellen.
So werden wir bewertet:
4.7 – 28 Bewertungen
Mehr erfahren
Stoppen Sie Identitätsbedrohungen jetzt