Como funciona o dobrador de carta de canal Silverfort Capacita você a detectar e resolver riscos de identidade com esforço zero

Quando se trata de proteger as organizações contra comprometimentos, o que significa visibilidade? É uma palavra frequentemente usada na indústria de segurança – mas raramente é totalmente definida.

No contexto Proteção de identidade, visibilidade é a capacidade de visualizar e gerenciar todos os dados e riscos de segurança associados a um conta de usuário – e obtenha insights acionáveis ​​a partir dessas informações. Isso é importante porque, sem visibilidade total de elementos como atividade de usuário e autenticação, permissões de acesso, identidades arriscadas, aplicativos autorizados e assim por diante, você pode deixar lacunas críticas de segurança de identidade mesmo sem saber.

Nesta postagem, destacaremos os diferentes desafios que as organizações enfrentam quando não têm visibilidade total das atividades e solicitações de autenticação de seus usuários. Depois mostraremos como Silverfort capacita os clientes a obter visibilidade completa em seus ambientes, permitindo detecção em tempo real e insights acionáveis ​​para resolver riscos de identidade com quase nenhum esforço.

O gerenciamento de usuários exige falta de contexto e visibilidade

Na maioria dos casos, um utilizador típico está associado a várias identidades diferentes em serviços na nuvem ou no local no ambiente híbrido da sua organização.

Além disso, a maioria dos diretórios de usuários não possui ferramentas para relatar os dados e os riscos associados a uma identidade específica. A grande quantidade de dados de usuários residentes em sistemas como Active Directory ou o SIEM de uma organização pode tornar difícil rastrear, gerenciar e monitorar identidades de usuários, permissões de acesso e visualização de atividades de maneira eficaz.

Infelizmente, muito poucas soluções podem agregar todos os dados de inventário e identidade. Isto resulta em informações fragmentadas e incompletas sobre quem tem acesso a quais recursos e como os utiliza. Como resultado, mesmo que os administradores de segurança estejam cientes de algumas ou de todas as identidades e atividades associadas a um usuário, eles podem não ter uma compreensão clara de quais permissões foram atribuídas, herdadas ou compartilhadas. Este é um sério desafio de proteção de identidade.

Devido a esta falta de visibilidade, podem surgir potenciais riscos relacionados com a identidade, tais como acesso não autorizado ou utilização indevida de privilégios. Sem visibilidade completa dos usuários e de seus recursos de acesso, fica cada vez mais difícil proteger dados confidenciais e ativos críticos. É por isso que é imperativo reconhecer que a segurança realmente começa com a visibilidade.

Silverfort Fornece visibilidade completa para todos os usuários

Silverfort descobre e protege automaticamente todos contas de usuário em um ambiente híbrido contra ameaças baseadas em identidade e fornece visibilidade centralizada em cada solicitação de autenticação e acesso. Como resultado de Silverfortintegrações nativas do com todos os provedores de identidade, incluindo Active Directory, ele poderá registrar todas as solicitações de autenticação. Isso fornece uma visão unificada de todas as atividades de rede de cada usuário e de qualquer recurso no ambiente híbrido.

Com visibilidade completa de todas as atividades do usuário, SilverfortO mecanismo de risco do pode determinar a legitimidade de cada autenticação, para que as organizações possam detectar e responder a possíveis ameaças à segurança em tempo real – incluindo o bloqueio do acesso de quaisquer contas que apresentem comportamento anômalo.

Isto é apenas um vislumbre de como Silverfortos recursos de visibilidade do podem ajudá-lo a fortalecer seu gerenciamento de postura de segurança de identidade. Agora, vamos ver como você pode obter visibilidade de todos os usuários no Silverfort console.

Visibilidade da atividade e autenticação do usuário

Contexto completo do usuário

A Silverfort A tela Logs fornece visibilidade total de todos os logs de usuários, atividades de autenticação e indicadores de risco. O momento Silverfort está integrado ao seu IDP, todas as contas de usuário são detectadas, permitindo monitorar sua atividade e riscos associados. À medida que cada usuário é detectado, seus detalhes são exibidos, incluindo nome de usuário, nível de risco atribuído por Silverfort, Tipo de Autenticação, Silverforta ação do IdP e o resultado do IdP.

Filtrando por Indicadores de Risco

Na tela Logs, os usuários podem filtrar seus logs de acordo com o tipo de conta ou indicador de risco. Isto permite ao usuário visualizar seus usuários pelos diferentes indicadores de risco que foram detectados e atribuídos por Silverfortmotor de risco. Silverfort suporta muitos indicadores de risco de usuários diferentes, como NTLMv1, kerberoasting, força bruta, MFA bombardeio, atividade anormal de MFA, falhas de autenticação e muito mais. Ao filtrar por indicador de risco, você obtém visibilidade e insights completos sobre seus usuários de risco e agora pode remediar os diferentes riscos que cada usuário apresenta.

Aqui estão dois indicadores de risco proeminentes que muitos de nossos clientes tendem a filtrar dentro de seus Silverfort Tela de registros do console:

NTLMv1

O que é ? NTLMv1 é a versão herdada do protocolo NTLMv2 usado hoje em Active Directory ambientes. 

O que o torna arriscado? O NTLMv1 usa algoritmos de criptografia relativamente fracos, que podem ser facilmente quebrados por invasores que interceptam seu tráfego de autenticação. Isso torna os ambientes que usam NTLMv1 criticamente expostos a comprometimentos.

Como pode Silverfort os usuários aplicam esse recurso? Silverfort descobre todas as autenticações NTLMv1 em um ambiente. SilverfortO mecanismo de risco do detecta autenticações NTLMv1 e as sinaliza como um indicador de risco, que pode ser usado como um filtro para descobrir máquinas que realizam autenticações semelhantes e também como um gatilho de política de acesso.

Na tela Logs de autenticação, marque a caixa Autenticação NTLMv1. Uma vez marcadas, todas as autenticações correspondentes são exibidas com todos os campos padrão de autenticação (origem, destino, etc.) que podem ser aprimorados com filtros adicionais. 

Além de fornecer visibilidade sobre quando as autenticações NTLMv1 estão sendo usadas, Silverfort também pode proteger você e sua organização, impedindo o uso de NTLMV1. Nossa postagem no blog Silverfort Permite que as organizações resolvam os riscos do NTLMv1 detalha como você pode se proteger contra o uso de autenticações NTLMv1.

Administradores de sombra

O que é ? Administradores sombra são contas de usuário que possuem acesso de administrador ou são capazes de obtê-lo, apesar de não serem membros de um grupo de administradores documentado. As equipes de TI normalmente desconhecem essas contas, pois não há documentação sobre os privilégios excessivos que possuem.

O que os torna arriscados? Como essas contas não são consideradas contas de administrador pela equipe de TI, elas não estão sujeitas a controles comuns de segurança de contas de administrador (PAM, MFA., etc.). Isso torna essas contas um alvo lucrativo para adversários que podem facilmente comprometê-las e abusar de seus privilégios para acesso malicioso.

Como posso detectar administradores shadow com Silverfort?  In SilverfortNa tela Logs de autenticação, adicione o Indicador de risco filtrar e verificar Administradores de sombra. Clique Aplicar e ajuste o intervalo de tempo para se adequar ao seu cronograma de monitoramento. Isso exibirá todos os administradores sombra que foram adicionados ao ambiente durante esse período.

Ao descobrir uma conta, você pode clicar no ícone de investigação para ver exatamente quais recursos ela tentou acessar desde que foi criada. Você pode então decidir se deseja removê-los totalmente ou remover suas permissões redundantes.

Gerenciamento de postura de segurança de identidade

As organizações podem visualizar o inventário de identidade do seu ambiente na tela de insights do Silverfort console, incluindo usuários, recursos, usuários de risco e muito mais.

Esta tela exibe os tipos de usuários e recursos em seu ambiente, bem como os pontos fracos em sua segurança que os adversários podem abusar para lançar ameaças de identidade. Entre eles estão os shadow admins, usuários administradores com SPNs, contas com senhas que não expiram e muito mais.

Essa tela permite que você colete insights acionáveis ​​sobre a postura de segurança do seu ambiente e tome medidas para resolvê-la, tornando significativamente mais difícil para os agentes de ameaças atacarem seus negócios.

Visibilidade em tempo real é a base da proteção de identidade

A visibilidade completa dos recursos e dos utilizadores em ambientes híbridos está a tornar-se uma prioridade máxima para as organizações que procuram adotar uma abordagem proativa à proteção de identidade. A boa notícia é que com Silverfort, eles podem obter visibilidade abrangente de toda a sua identidade superfície de ataque de maneira fácil e totalmente automatizada. Este é o primeiro passo para proteger seu ambiente contra ameaças de identidade e reduzir a probabilidade de um ataque bem-sucedido.

Procurando obter visibilidade completa em todo o seu ambiente? Fale com um de nossos especialistas SUA PARTICIPAÇÃO FAZ A DIFERENÇA.