Resposta a incidentes com foco em identidade
A peça que faltava no seu kit de ferramentas de RI agora está disponível: acelere sua resposta a incidentes em Active Directory (AD) ambientes sob ataque com Silverfortresposta a incidentes que prioriza a identidade. Detecte e isole automaticamente usuários comprometidos, bloqueie a propagação de ataques em tempo real e remova rapidamente atividades maliciosas.
"É como ter um firewall em nossos controladores de domínio."
Bloqueie a propagação do ataque com um único clique
Isole instantaneamente a presença maliciosa aplicando políticas de MFA e Firewall de Autenticação em todos os usuários e recursos, interrompendo o movimento lateral e a disseminação de ransomware, sem necessidade de investigação prévia.
Simplifique a detecção de usuários comprometidos
Monitore violações de políticas de MFA ou Firewall de Autenticação que forçam contas comprometidas a revelar sua presença, permitindo medidas de mitigação oportunas.
Implemente rapidamente quando o tempo for mais importante
Obtenha esses recursos em poucas horas instalando o Silverfort plataforma e coloque o processo de IR em execução o mais rápido possível – mesmo em ambientes multidomínio complexos com centenas de DCs.
Etapa 1: interromper imediatamente a propagação do ataque
- Aproveite o poder combinado da segmentação baseada em identidade do MFA e do Authentication Firewall em um ambiente de AD para interromper um ataque, independentemente de TTPs de movimento lateral ou ferramentas específicas (PsExec, PowerShell, Impacket, etc.).
- Elimine a necessidade de longas investigações com políticas prontas que bloqueiam o acesso malicioso, mesmo antes que contas comprometidas sejam identificadas.
- Ajuste o nível de bloqueio com base na gravidade do ataque. Aplique políticas de acesso em todo o ambiente ou em segmentos específicos onde há suspeita de atividade maliciosa.
Etapa 2: Identifique contas comprometidas de forma fácil e eficiente
- Descubra rapidamente contas comprometidas que revelam sua presença por meio de tentativas de MFA negadas e acesso bloqueado, ambos indicadores claros de que um invasor está tentando se espalhar no ambiente.
- Alavancagem Silverforttrilha de auditoria detalhada do para rastrear como os invasores usam contas comprometidas para se mover lateralmente pela rede, da máquina onde foram detectados pela primeira vez até o paciente zero. Bloqueie o ponto de entrada e erradique o invasor.
- Concentre seus esforços forenses no endpoint onde os usuários comprometidos estavam conectados, para coletar artefatos de ataque e identificar conexões de rede suspeitas.
Etapa 3: Recuperação gradual e redução da superfície de ataque
- Restaure gradualmente o acesso do usuário após confirmar a remoção da atividade maliciosa, mantendo medidas críticas de segurança, como MFA e monitoramento contínuo de contas previamente comprometidas.
- Mitigar quaisquer fraquezas de segurança relacionadas à identidade exploradas durante o ataque, como administradores ocultos, contas de serviço não monitoradas e delegação irrestrita.
- Limite possíveis caminhos de ataque eliminando conexões inseguras (como NTLM entre estações de trabalho), removendo permissões de acesso excessivas e redefinindo configurações arriscadas (por exemplo, administradores ocultos, delegação irrestrita).
"Silverfort imediatamente nos ajudou a mitigar o impacto de usuários comprometidos. Foi uma das ferramentas mais significativas que usamos para analisar o fluxo/protocolos de autenticação e determinar identidades comprometidas conforme colocamos nossos Controladores de Domínio online novamente. Trabalhamos rapidamente com a equipe de IR para colocar políticas de bloqueio em prática sobre as identidades comprometidas.”
CISO de uma empresa Fortune 100
Desafio do cliente
O cliente percebeu que seu ambiente foi infiltrado e seu cofre comprometido. Os invasores já tinham obtido acesso a sistemas críticos, introduzindo um potencial significativo de danos.
Silverfort Solução
A Silverfort plataforma foi implantada em menos de 12 horas em um ambiente com mais de 100 DCs. Uma política de bloqueio de acesso para todos os usuários e recursos foi aplicada, contendo o ataque em seu estado atual e impedindo a disseminação de ransomware. A equipe de IR utilizou Silverfort para detectar contas comprometidas em poucas horas, encurtando significativamente o cronograma geral de IR e permitindo que o cliente restaure as operações com segurança.
Como eles nos avaliam:
4.7 – 28 Avaliações
Saiba Mais
Pare as ameaças à identidade agora