Resposta a incidentes com foco em identidade

A peça que faltava no seu kit de ferramentas de RI agora está disponível: acelere sua resposta a incidentes em Active Directory (AD) ambientes sob ataque com Silverfortresposta a incidentes que prioriza a identidade. Detecte e isole automaticamente usuários comprometidos, bloqueie a propagação de ataques em tempo real e remova rapidamente atividades maliciosas.

"É como ter um firewall em nossos controladores de domínio."

Bloqueie a propagação do ataque com um único clique

Isole instantaneamente a presença maliciosa aplicando políticas de MFA e Firewall de Autenticação em todos os usuários e recursos, interrompendo o movimento lateral e a disseminação de ransomware, sem necessidade de investigação prévia.

Simplifique a detecção de usuários comprometidos

Monitore violações de políticas de MFA ou Firewall de Autenticação que forçam contas comprometidas a revelar sua presença, permitindo medidas de mitigação oportunas.

Implemente rapidamente quando o tempo for mais importante

Obtenha esses recursos em poucas horas instalando o Silverfort plataforma e coloque o processo de IR em execução o mais rápido possível – mesmo em ambientes multidomínio complexos com centenas de DCs.

Etapa 1: interromper imediatamente a propagação do ataque

  • Aproveite o poder combinado da segmentação baseada em identidade do MFA e do Authentication Firewall em um ambiente de AD para interromper um ataque, independentemente de TTPs de movimento lateral ou ferramentas específicas (PsExec, PowerShell, Impacket, etc.). 
  • Elimine a necessidade de longas investigações com políticas prontas que bloqueiam o acesso malicioso, mesmo antes que contas comprometidas sejam identificadas. 
  • Ajuste o nível de bloqueio com base na gravidade do ataque. Aplique políticas de acesso em todo o ambiente ou em segmentos específicos onde há suspeita de atividade maliciosa. 

Etapa 2: Identifique contas comprometidas de forma fácil e eficiente

  • Descubra rapidamente contas comprometidas que revelam sua presença por meio de tentativas de MFA negadas e acesso bloqueado, ambos indicadores claros de que um invasor está tentando se espalhar no ambiente. 
  • Alavancagem Silverforttrilha de auditoria detalhada do para rastrear como os invasores usam contas comprometidas para se mover lateralmente pela rede, da máquina onde foram detectados pela primeira vez até o paciente zero. Bloqueie o ponto de entrada e erradique o invasor. 
  • Concentre seus esforços forenses no endpoint onde os usuários comprometidos estavam conectados, para coletar artefatos de ataque e identificar conexões de rede suspeitas. 

Etapa 3: Recuperação gradual e redução da superfície de ataque

  • Restaure gradualmente o acesso do usuário após confirmar a remoção da atividade maliciosa, mantendo medidas críticas de segurança, como MFA e monitoramento contínuo de contas previamente comprometidas. 
  • Mitigar quaisquer fraquezas de segurança relacionadas à identidade exploradas durante o ataque, como administradores ocultos, contas de serviço não monitoradas e delegação irrestrita. 
  • Limite possíveis caminhos de ataque eliminando conexões inseguras (como NTLM entre estações de trabalho), removendo permissões de acesso excessivas e redefinindo configurações arriscadas (por exemplo, administradores ocultos, delegação irrestrita). 

"Silverfort imediatamente nos ajudou a mitigar o impacto de usuários comprometidos. Foi uma das ferramentas mais significativas que usamos para analisar o fluxo/protocolos de autenticação e determinar identidades comprometidas conforme colocamos nossos Controladores de Domínio online novamente. Trabalhamos rapidamente com a equipe de IR para colocar políticas de bloqueio em prática sobre as identidades comprometidas.”

CISO de uma empresa Fortune 100

Desafio do cliente

O cliente percebeu que seu ambiente foi infiltrado e seu cofre comprometido. Os invasores já tinham obtido acesso a sistemas críticos, introduzindo um potencial significativo de danos.

Silverfort Solução

A Silverfort plataforma foi implantada em menos de 12 horas em um ambiente com mais de 100 DCs. Uma política de bloqueio de acesso para todos os usuários e recursos foi aplicada, contendo o ataque em seu estado atual e impedindo a disseminação de ransomware. A equipe de IR utilizou Silverfort para detectar contas comprometidas em poucas horas, encurtando significativamente o cronograma geral de IR e permitindo que o cliente restaure as operações com segurança.

Como eles nos avaliam:

4.7 – 28 Avaliações

Saiba Mais

Fortificando a proteção de identidade: o Silverfort Manual de RI de identidade

Saiba mais

O manual de identidade IR contra ataques de aranhas dispersas  

Saiba mais

Prevenção de movimento lateral com MFA e proteção de conta de serviço

Saiba mais

Pare as ameaças à identidade agora