O manual de identidade IR contra ataques de aranhas dispersas  

Início » Blog » O manual de identidade IR contra ataques de aranhas dispersas  

O grupo adversário Scattered Spider esteve extremamente ativo no mês passado, aumentando seu alcance a entidades financeiras e de seguros. Este grupo apresenta um uso extensivo e profundo de comprometimento de identidade tanto no acesso inicial quanto no movimento lateral estágios. Uma estratégia defensiva sólida contra o Scattered Spider deve incluir uma camada de proteção de ciclo de vida completo para reduzir e monitorar a identidade superfície de ataque, bem como detectar, bloquear e responder ao uso de identidades comprometidas para acesso malicioso.

SilverfortA equipe de pesquisa de ameaças do Scattered Spider interagiu de perto com as ameaças de identidade usadas pelo Scattered Spider. Este artigo apresenta a estrutura de IR de identidade que foi implementada, esclarecendo os componentes críticos que devem ser abordados para garantir que os aspectos de identidade de um ataque Scattered Spider sejam resolvidos de forma eficiente.

O que há de diferente no aspecto de identidade da resposta a incidentes?

Enquanto o aspecto de malware do IR se concentra na detecção e remoção de arquivos maliciosos e o IR da rede trata da detecção e bloqueio de tráfego malicioso, o aspecto de identidade do IR trata de detectar e bloquear o movimento lateral realizado por pessoas comprometidas contas de usuário.

Vamos supor que haja um incidente ao vivo acontecendo. Você sabe que os adversários estabeleceram uma posição segura em sua rede e estão acessando recursos dentro dela. Agora você precisa identificar usuário comprometido contas, impedir que os invasores as utilizem e garantir que outros recursos não sejam comprometidos o mais rápido possível.

Para fazer isso de forma eficiente, você precisa ter recursos completos de visibilidade, análise e controle de acesso para autenticações e tentativas de acesso que envolvam as seguintes entidades:

  • Contas de usuário incluam contas de serviço, administradores de domínio e usuários regulares.
  • Infraestrutura de identidade incluindo controladores de domínio, servidores de federação, provedores de identidade SaaS, Soluções PAM e qualquer outro componente que gerencie identidades em seu ambiente.
  • Máquinas unidas ao domínio, incluindo infraestrutura de TI e segurança, estações de trabalho e servidores.

Silverfort é a primeira solução que fornece às equipes de TI esses recursos em uma solução única e de fácil implantação. Vamos entender como isso é mapeado para o ciclo de vida de RI do NIST usado pela maioria das equipes de RI como diretriz padrão.

Mapaping Identity Proteção para o modelo de ciclo de vida NIST IR

A estrutura de RI do NIST divide o processo de RI em quatro partes: 1) preparação, 2) detecção e análise, 3) contenção, erradicação e descoberta, 4) atividade pós-incidente.

Neste exemplo vamos assumir o Silverfort A plataforma só é chamada quando um incidente está totalmente ativo e não foi instalado antes, portanto, focaremos apenas nos estágios (2) e (3).

Identidade IR: detecção e análise

Esta etapa concentra-se na identificação das contas de usuários comprometidas, infraestrutura de identidadee qualquer outro recurso que tenha sido acessado com as entidades comprometidas.

Para esta etapa, Silverfort fornece às equipes de RI uma visão detalhada Tela de registro que inclui uma visão agregada de todas as autenticações e tentativas de acesso feitas por todos os usuários a qualquer recurso na nuvem ou no local. Cada autenticação recebe uma pontuação de risco por Silverfortdo mecanismo de risco, juntamente com uma ampla variedade de filtros para detectar facilmente autenticações iniciadas por agentes mal-intencionados.

Utilizando esses recursos, a equipe de RI pode realizar as seguintes ações:

  • Analise os logs unificados do AD e de outros diretórios locais, de federação e de nuvem para detectar tentativas de movimentação lateral entre os ambientes de nuvem e locais.
  • Analise os logs de contas de serviço híbridas (apresentando comunicação entre máquinas e logins manuais de usuários humanos) para detectar atividades anômalas ou tentativas de acesso que SilverfortO mecanismo de risco do é sinalizado como malicioso.
  • Analise os logs de contas de serviço relacionadas à infraestrutura para detectar atividades anômalas ou tentativas de acesso que SilverfortO mecanismo de risco do Scattered Spider é sinalizado como malicioso (novamente devido à inclinação do Scattered Spider para o comprometimento da infraestrutura).

SilverfortA integração do com todos os provedores de identidade no ambiente significa que você pode obter todos os logs de autenticação feitos por qualquer usuário para qualquer recurso local ou na nuvem por meio de um único painel de controle.

 Identidade IR: Contenção, Erradicação e Recuperação

Este estágio compreende a maior parte do processo de IR e (como o nome indica) trata de impedir que os invasores realizem avanços adicionais, eliminando sua presença e restaurando as coisas como eram.

Silverfort auxilia as equipes de RI principalmente nas partes de contenção e erradicação desta etapa, fornecendo as seguintes ferramentas:

  • Tela de configuração de política onde MFA e as políticas de bloqueio de acesso podem ser configuradas para qualquer conta de usuário no ambiente híbrido. Isso se aplica a qualquer tipo de autenticação, incluindo acesso por linha de comando através de PsExec, PowerShell ou WMI, que normalmente são usados ​​por adversários.
  • Tela dedicada para proteção de conta de serviço que fornece visibilidade automatizada de todas as contas de serviço e permite a criação de políticas de acesso para bloquear o acesso ou alertar caso elas se desviem de seu comportamento padrão, o que é uma indicação clara de comprometimento.

Usando esses recursos, as equipes de RI podem aplicar as seguintes ações para os vários tipos de entidades listados acima:

Contas de serviço

  • Descubra todas as contas de serviço no ambiente.
  • Ative políticas para impedir que contas de serviço acessem recursos caso elas se desviem do comportamento padrão.
  • Detectar Kerberasting ataques ou quando um login interativo de conta de serviço é usado.
  • Configure políticas para bloquear o acesso de sub-redes VPN. 

Contas de administrador de domínio

  • Configure políticas de MFA para todos os administradores e reforce essas políticas exigindo tokens FIDO e correspondência de números.
  • Configure políticas para negar acesso a contas internas de administrador e convidados.
  • Configure políticas para bloquear o acesso de sub-redes VPN. 

Todas as contas de usuários

  • Use MFA ou políticas de bloqueio de acesso para restringir temporariamente as tentativas de acesso que usam serviços como termrv, host e CIFS para realizar conexões remotas.

Controladores de domínio

  • Redefina a senha da conta KRBTGT para mitigar um possível ataque do Golden Ticket e eliminar a posição do adversário.
  • Configure a política de MFA para logon do Windows no DC para evitar logon remoto.
  • Configurar política para negar NTLM conexão com o DC.
  • Configure a política para bloquear o acesso do DC a todos os usuários, exceto administradores de domínio.
  • Configure a política de MFA para negar acesso a usuários sem um token de MFA registrado para evitar futuros acessos maliciosos por meio de engenharia social.

Provedores de identidade de federação/SaaS

  • Configure MFA ou bloqueie políticas de acesso para IPs maliciosos e desconhecidos conhecidos.

Infraestrutura de TI e Segurança

  • Configure a política de MFA para negar acesso a usuários sem um token de MFA registrado.

Outras máquinas ingressadas no domínio

  • Descubra autenticações NTLMv1 existentes e configure políticas para negar acesso.
  • Bloqueie temporariamente todas as autenticações NTLMv2 até a detecção e contenção de contas de usuários comprometidas.
  • Configure a política para restringir o acesso à estação de trabalho pessoal apenas a recursos críticos (como DC) e evitar a conexão entre máquinas.
  • Configure a política para exigir MFA para todo o acesso em qualquer máquina aberta à Internet.

Importante: essas atividades de contenção também são atividades de detecção, pois qualquer autenticação bloqueada indica que a conta do usuário inicial está comprometida.

Silverfort para Ameaças à Identidade: Atividade e Preparação Pós-Incidente – Obtenha Defesa em Profundidade

A defesa sólida contra o Scattered Spider deve abordar todas as suas partes, desde o aspecto da engenharia social até o malware exclusivo que este grupo emprega (Traga seu próprio driver vulnerável (BYOVD) ataque via CVE-2015-2291, uma antiga vulnerabilidade do kernel). As soluções de segurança para dispositivos móveis e navegadores normalmente abordam o primeiro, enquanto o EDR aborda o último.

No entanto, é imperativo que a arquitetura de segurança do ambiente esteja totalmente equipada para enfrentar o comprometimento da infraestrutura de identidade, bem como detectar e bloquear acessos maliciosos com contas comprometidas.

É fácil perceber que a maioria das atividades de contenção descritas acima também fazem parte da fase de preparação.

Além dos recursos de configuração de políticas, Silverfort também permite que as equipes de RI preparem proativamente seu ambiente para enfrentar uma ameaça de identidade, seja ela iniciada pelo Scattered Spider ou qualquer outro ator de ameaça. Por esta, Silverfort fornece às equipes de RI um Insights tela que agrega todas as vulnerabilidades e exposições de segurança de identidade, como administradores sombra, NTLMv1, delegação irrestrita e muitos outros que os agentes de ameaças normalmente abusam. Usando essa tela, a equipe de RI pode reforçar sistematicamente a postura de segurança de seu ambiente.

Conclusão: Ferramentas e práticas de RI contra ameaças à identidade são obrigatórias

As ameaças à identidade estão a tornar-se parte integrante dos arsenais dos adversários. Embora o Scattered Spider seja líder nesse aspecto, não é de forma alguma o único. Como resultado, as equipes de RI devem ter as ferramentas para conduzir um processo de RI de identidade rápido e eficiente. Da mesma forma que um EDR é a ferramenta definitiva para abordar o aspecto do malware, uma ferramenta respectiva é necessária para identificar as identidades comprometidas para conter o ataque e eliminar a presença maliciosa.

Quer saber mais sobre Silverfortcapacidades de IR de identidade? Programar uma chamada com um de nossos especialistas.

Pare as ameaças à identidade agora