Quando uma empresa pretende adquirir outra organização por meio de uma fusão ou compra, é importante saber quais riscos de segurança podem acompanhar a aquisição. Sem isso, as organizações podem se expor a riscos significativos financeiro e desafios legais.
Após uma fusão e aquisição, as equipas de TI devem fundir diferentes tecnologias e recursos à medida que as organizações participantes se tornam cada vez mais interligadas. Um ambiente recém-adquirido traz seus próprios sistemas de TI, redes e contas de usuário – juntamente com os seus próprios riscos únicos – para uma infra-estrutura existente. Isto pode resultar em um ambiente altamente complexo onde os administradores podem ter dificuldades para compreender todos os recursos, aplicações e usuários da entidade consolidada.
A nova entidade consolidada precisa de ser capaz de combinar todos os domínios e recursos numa única infra-estrutura de TI unificada. Isso significa compreender o tipo de contas e recursos que você precisa migrar; por exemplo, quais contas são contas de serviço e que tipo de aplicativos você precisa mesclar. Na maioria dos casos, a equipe de TI não saberá muito sobre o ambiente adquirido ou sobre seus usuários.
Esta falta de visibilidade do novo ambiente, dos seus recursos e dos seus utilizadores cria um grande ponto cego – e potencialmente muitos mais riscos de segurança.
SilverfortProteção de consolidação de domínio
Com Silverfort, as organizações podem migrar rápida e facilmente os recursos e usuários do novo ambiente para o domínio da entidade principal, acelerando o processo de integração pós-fusão. Silverfort também pode oferecer às organizações visibilidade completa de seus ambientes existentes e de entrada, permitindo-lhes proteger ambos e identificar quaisquer riscos associados à integração. Ao aplicar novas medidas de segurança com Silverfort, as organizações podem defender-se proativamente contra ameaças cibernéticas recebidas, como movimento lateral ataques.
Visibilidade e monitoramento de contas de serviço
Silverfort identifica automaticamente todas as contas de serviço e monitora suas autenticação e comportamento dentro de um ambiente consolidado. Silverfort é capaz de fazer isso, pois as contas de máquinas e serviços exibem padrões de comportamento previsíveis, permitindo a identificação e categorização automáticas na tela Contas de serviços.
Silverfort também oferece suporte a contas de serviço gerenciadas por grupo (gMSA) e oferece um filtro que permite ver cada gMSA em seu sistema. Cada gMSA será detectado e tratado como qualquer conta de serviço.
Silverfort identifica contas de serviço de várias maneiras diferentes:
• Análise Comportamental – Silverfort rastreia o comportamento da conta para identificar padrões de tráfego repetitivos.
• Configuração do AD – Silverfort verifica os atributos da conta no AD para encontrar características comuns às contas de serviço.
• Convenções de nomenclatura – Silverfort contém um repositório de convenções de nomenclatura normalmente usadas para contas de serviço.
• Informações personalizadas – Silverfort recebe feedback do administrador sobre a estrutura das contas de serviço nos ambientes do cliente (como OU, SG e convenções de nomenclatura).
• gMSA – Os diferentes tipos de contas definidos no AD são usados como contas de serviço.
Monitoramento e Análise de Risco de Contas de Serviço
Depois que todas as contas de serviço migradas forem identificadas, você poderá monitorar suas atividades e riscos associados. Silverfort fornece insights e visibilidade em tempo real de todos os detalhes e comportamento da conta de serviço, ao mesmo tempo em que monitora e audita continuamente seu uso.
Com monitoramento contínuo de todas as atividades de autenticação e acesso de todas as contas de serviço migradas, Silverfort pode avaliar o risco associado a cada tentativa de autenticação e detectar qualquer comportamento suspeito ou anomalia.
Visibilidade da atividade e autenticações do usuário
Usando a tela Logs no Silverfort console, as organizações terão visibilidade completa de todos os logs de usuários e atividades de autenticação. Para aqueles que passam por uma fusão, as organizações compreenderão melhor os novos usuários, o que eles estão tentando acessar e qual é a sua pontuação de risco.
Você pode visualizar detalhes dos logs de um usuário, atividade de autenticação e indicadores de risco e obter insights mais acionáveis clicando no ícone “investigar” ao lado do usuário na tela Logs. Com esses detalhes, as organizações ficam equipadas com visibilidade completa de cada usuário e sua atividade de autenticação.
Como resultado da visibilidade total dos recursos, contas de serviço e usuários migrados, as organizações podem ter a certeza de que seu ambiente consolidado está protegido e que seu ambiente geral está protegido. segurança de identidade o gerenciamento da postura está atualizado.
Firewall de autenticação em ação: evitando um ataque de movimento lateral em vários domínios
A necessidade de maior visibilidade e controles de segurança em todas as entidades de domínio durante fusões e aquisições foi destacada em um dos Silverfortclientes. Durante o mês de abril de 2024, um fabricante europeu procurou os nossos Serviços de Segurança de Identidade para os ajudar nas suas capacidades de caça a ameaças, pois percebeu que uma das empresas que tinham adquirido tinha sido comprometida e sujeita a um ataque cibernético.
Como parte de uma aquisição maior, este cliente também adquiriu uma entidade menor com sede nos EUA que integrou na sua organização. Na época, eles criaram uma relação de confiança bidirecional entre os domínios de suas entidades para integrar o domínio menor na organização recém-consolidada. Sem o conhecimento da equipe de TI, a entidade adquirida tinha controles de segurança limitados: eles não tinham nenhum MFA proteção para acesso VPN ou qualquer EDR no endpoint. Como resultado, a entidade adquirida foi comprometida por agentes maliciosos que tentaram se mover lateralmente da entidade menor para o domínio do cliente para conduzir uma ransomware ataque.
O fluxo de ataque:
- Acesso inicial: Usando uma autenticação VPN segura, o invasor atacou três usuários diferentes em sete servidores com um ataque de força bruta e os comprometeu com sucesso.
- Comprometimento de credenciais: desde sua posição inicial no ambiente e comprometimento do usuário alvo, o invasor alterou sua senha e criou novos usuários com os mesmos privilégios.
- Movimento lateral: Com a conta comprometida, o invasor tentou mover-se lateralmente para o domínio maior, que é um Silverfort cliente. O domínio maior começou a ver tentativas de acesso malicioso ao seu domínio e entrou em contato com Silverfort para obter assistência.
O Fluxo de Proteção:
- In Silverfortconsole e trabalhando com o Silverfort equipe de caça a ameaças, eles entenderam que estavam sendo atacados e rapidamente aplicaram políticas de negação de acesso para impedir qualquer acesso do endereço IP da entidade comprometida.
- A equipe de segurança do cliente segmentou o domínio da entidade para garantir que nenhum acesso malicioso pudesse ocorrer em seu domínio. Isso bloqueou imediatamente o movimento lateral.
- Após a implementação de um firewall de autenticação com políticas de negação e segmentação de identidade, a equipe utilizou Silverfort para rastrear a trilha de autenticação das contas comprometidas até a máquina do paciente zero. Eles conseguiram então concluir a correção e remover a presença maliciosa restante do domínio comprometido.
Este exemplo prova como é vital ter um Proteção de identidade solução que oferece recursos de firewall de autenticação, incluindo políticas de aplicação de negação de acesso, com recursos de segmentação de identidade. Como resultado da visibilidade em tempo real e dos controles de segurança proativos, a organização evitou um ataque de agentes de ameaças que possuíam credenciais comprometidas.
Procurando obter visibilidade completa em todo o seu ambiente? Fale com um de nossos especialistas aqui..