Réponse aux incidents axés sur l'identité

La pièce manquante dans votre boîte à outils IR est désormais disponible : accélérez votre réponse aux incidents Active Directory (AD) environnements attaqués avec SilverfortRéponse aux incidents axée sur l'identité. Détectez et isolez automatiquement les utilisateurs compromis, bloquez la propagation des attaques en temps réel et supprimez rapidement les activités malveillantes.

Bloquer la propagation des attaques en un seul clic

Isolez instantanément la présence malveillante en appliquant des politiques MFA et de blocage d'accès à tous les utilisateurs et ressources, mettant ainsi un terme aux mouvements latéraux et à la propagation des ransomwares, sans qu'aucune enquête préalable ne soit nécessaire.

Optimisez la détection des utilisateurs compromis

Surveillez les violations de l'authentification multifacteur ou bloquez les politiques d'accès qui obligent les comptes compromis à révéler leur présence, permettant ainsi de prendre des mesures d'atténuation en temps opportun.

Déployez rapidement lorsque le temps compte le plus

Obtenez ces capacités en quelques heures en installant le Silverfort plateforme et lancez le processus IR le plus rapidement possible, même dans des environnements multi-domaines complexes avec des centaines de DC.

Étape 1 : Arrêter immédiatement la propagation de l’attaque

  • Exploitez la puissance combinée de l'authentification multifacteur et de la segmentation basée sur l'identité dans un environnement AD pour stopper une attaque, quels que soient les TTP de mouvement latéral ou les outils spécifiques (PsExec, PowerShell, Impacket, etc.). 

 

  • Éliminez le besoin d’enquêtes longues grâce à des politiques prêtes à l’emploi qui bloquent les accès malveillants, avant même que les comptes compromis ne soient identifiés. 

 

  • Ajustez le niveau de verrouillage en fonction de la gravité de l'attaque. Appliquez des politiques d'accès soit à l'ensemble de l'environnement, soit à des segments spécifiques où une activité malveillante est suspectée. 

Étape 2 : identifier les comptes compromis facilement et efficacement

  • Découvrez rapidement les comptes compromis qui révèlent leur présence via des tentatives MFA refusées et un accès bloqué, qui sont tous deux des indicateurs clairs qu'un attaquant tente de se propager dans l'environnement. 

 

  • Levier SilverfortLa piste d'audit détaillée de 's permet de retracer la manière dont les attaquants utilisent les comptes compromis pour se déplacer latéralement sur le réseau, de la machine où ils ont été détectés pour la première fois jusqu'au patient zéro. Bloquez le point d'entrée et éradiquez l'attaquant. 

 

  • Concentrez vos efforts d'investigation sur le point de terminaison où les utilisateurs compromis ont été connectés, pour collecter des artefacts d'attaque et identifier les connexions réseau suspectes. 

Étape 3 : Récupération progressive et réduction de la surface d’attaque

  • Restaurez progressivement l'accès des utilisateurs après avoir confirmé la suppression de l'activité malveillante, tout en maintenant des mesures de sécurité critiques telles que MFA et la surveillance continue des comptes précédemment compromis. 

 

  • Atténuez les faiblesses de sécurité liées à l’identité exploitées pendant l’attaque, telles que les administrateurs fantômes, les comptes de service non surveillés et la délégation sans contrainte. 

 

  • Limitez les chemins d'attaque potentiels en éliminant les connexions non sécurisées (telles que NTLM entre les postes de travail), en supprimant les autorisations d'accès excessives et en réinitialisant les configurations risquées (par exemple, les administrateurs fantômes, la délégation sans contrainte). 

"Silverfort « Nous avons immédiatement pu atténuer l’impact des utilisateurs compromis. C’était l’un des outils les plus importants que nous avons utilisés pour analyser le flux/les protocoles d’authentification et déterminer les identités compromises lorsque nous avons remis nos contrôleurs de domaine en ligne. Nous avons rapidement travaillé avec l’équipe IR pour mettre en place des politiques de blocage sur les identités compromises. »

RSSI d'une entreprise Fortune 100

Défi client

Le client a réalisé que son environnement avait été infiltré et que son coffre-fort avait été compromis. Les attaquants avaient déjà eu accès à des systèmes critiques, ce qui impliquait un risque de dommages considérable.

Solution Silverfort

Le Silverfort La plateforme a été déployée en moins de 12 heures dans un environnement comptant plus de 100 contrôleurs de domaine. Une politique d'accès bloqué pour tous les utilisateurs et toutes les ressources a été appliquée, ce qui a permis de contenir l'attaque dans son état actuel et d'empêcher toute nouvelle propagation du ransomware. L'équipe IR a utilisé Silverfort pour détecter les comptes compromis en quelques heures, réduisant ainsi considérablement le délai global d'intervention d'urgence et permettant au client de restaurer ses opérations en toute sécurité.

Comment ils nous évaluent :

4.7 – 28 Avis

Arrêtez les menaces sur l'identité