Conheça indicadores de riscos no seu dashboard Varonis do AD

Invasores usam diversos truques para aproveitar as vulnerabilidades da rede. Monitorar alguns indicadores em tempo real ajuda a evitar invasões
Emilia Bertolli
3 minuto de leitura
Ultima atualização 28 de Junho de 2021

Tudo o que um invasor precisa é de tempo e motivação para se infiltrar em sua rede, então, é preciso buscar formas de interromper e detectar uma invasão rapidamente. O primeiro passo é identificar todos os pontos fracos no Active Directory (AD) que um invasor pode usar para obter acesso e percorrer a rede sem ser detectado. O painel do Varonis Active Directory mostra suas vulnerabilidades e ajuda a acompanhar o progresso enquanto fortalece suas defesas.

Neste post, destacamos alguns mais de 25 indicadores de risco do Actve Directory que a Varonis rastreia em tempo real:

Configurações de domínio

Algumas vulnerabilidades são definições de configuração de domínio que podem ser alteradasr facilmente depois de identificar os problemas. E o painel de controle do Varonis AD mostra rapidamente se as configurações de domínio correm risco de fornecer aos atacantes acesso à sua rede. O painel é atualizado automaticamente para fornecer uma visão rápida das principais métricas que destacam possíveis vulnerabilidades, para que uma equipe de segurança cibernética possa tomar medidas para corrigir imediatamente quaisquer problemas.

Indicadores-chave de risco de nível de domínio

Aqui estão alguns widgets do AD destacado no painel que são particularmente úteis para ajudar a fortalecer e proteger a rede.

  • Num. de domínios em que a senha da conta de Kerberos não foi alterada recentemente
    A conta KRBTGT é a conta de serviço especial no AD que assina todos os tíquetes Kerberos. Os invasores que podem obter acesso a um controlador de domínio (DC) podemusar essa conta para criar um Golden Ticket, que concede acesso irrestrito a todos os sistemas da sua rede. Este widget do AD mostra se a senha de uma conta KRBTGT não mudou nos últimos quarenta dias. E isso é muito tempo para um invasor ter acesso à rede.

  • Num. de domínios em que a conta do administrador foi acessado recentemente
    O princípio de menor privilégio diz que o administradores de sistemas precisam de duas contas: uma de usuário para uso diário normal e outra para fazer alterações administrativas. Isso significa que ninguém deve usar a conta de administrador padrão por qualquer motivo e, se esse widget mostrar o contrário, isso pode significar um ataque cibernético ativo ou que alguém está usando contas administrativas incorretamente. Nos dois casos, esse widget fornece os dados necessários para investigar e corrigir o problema

  • Num. de domínios em que o grupo de usuários protegidos não existe
    As versões mais antigas do AD suportavam criptografia fraca, chamada RC4. Os hackers invadiram o RC4 anos atrás e é trivial para um invasor invadir uma conta que ainda usa o RC4. O Windows Server 2012 e versões posteriores introduziram um novo tipo de grupo Usuários chamado grupo Protegido. O grupo fornece recursos de segurança adicionais e impede que os usuários se autentiquem com a criptografia RC4. Esse widget mostra se algum dos seus domínios não possui esse grupo, para que seja possível atualizar e habilitar o grupo Usuários Protegidos e, em seguida, usar este novo grupo para proteger suas permissões.

Alvos fáceis

As contas de usuário são o alvo número um dos atacantes. Os invasores procuram por alvos fáceis em uma rede usando comandos básicos do PowerShell que são difíceis de detectar. O painel do Varonis AD destaca contas de usuários vulneráveis e permite que se faça uma busca detalhada para que o problema seja corrigido e para a criação de barreiras pelas que dificultam o trabalho dos invasores. Quanto mais difícil tornar arede para atacar, maiores serão as chances de capturar um invasor antes que ele possa causar grandes danos.

4 indicadores-chave de risco de conta de usuário
Aqui estão alguns exemplos de widgetes do Varonis AD que destacam contas de usuário arriscadas no AD.

  • Num. de usuários habilitados com senhas que nunca expiram
    Qualquer invasor que obtenha uma conta com senha que nunca expire é um invasor feliz. Como a senha nunca expira, eles têm uma posição permanente na rede que pode ser usada como uma área de preparação para escalada de privilégios ou movimento lateral.

  • Num. de contas do Admin com SPN
    Nome principal do serviço (SPN) significa que a conta é uma conta de serviço e o widget mostra quantas de suas contas de serviços têm privilégios administrativos completos. Esse número deve ser zero, pois, essas contas permitem que o invasor tenha acesso total a algo que não é utilizado. Isso significa acesso a contas que podem ser movimentar livremente, sem serem detectadas. Contas de serviço devem seguir os princípios de menor privilégio e ter acesso necessário apenas para realizar seu trabalho.

  • Num. de usuários que não exigem pré-autenticação
    Apesar do Kerberos criptografar tíquetes de autenticação com criptografia AES-256, algumas versões mais antigas usam a criptografia RC4, que pode ser facilmente quebrada. Este widget mostra quais contas estão usando a RC4 que, depois de identificadas, é necessário desmarcar a opção “não exigir pré-autorização do Kerberos” no AD para fazê-las usar a criptografia mais forte.

  • Contas sem política de senha
    Invasores usam o PowerShell para consultar o AD pelo sinalizador “PASSWD_NOTREQD”, que significa que não há um requisito de senha para aquele usuário. O Widget encontra essas contas e permite que o problema seja corrigido e a senha seja obrigatória.

Como a Varonis pode ajudar

No passado, pesquisa e reunir essas métricas levava várias horas e um profundo conhecimento do PowerShell, além de dedicar recursos para verificar suas posições de risco regularmente. Fazer isso manualmente, deixa muito tempo para que invasores invadam sua rede e roubem seus dados.

A Varonis precisa de um dia para preencher os painéis do AD com diversas métricas de vulnerabilidade do AD e deixa esse painel atualizado automaticamente. A detecção precoce combinada com uma forte defesa é essencial para manter seus dados seguros. Entre em contato e solicite uma demonstração gratuita.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

hackers-usam-novas-técnicas-para-ganhar-controle-no-windows
Hackers usam novas técnicas para ganhar controle no Windows
Várias novas técnicas foram disponibilizadas recentemente e oferecem aos invasores uma maneira de abusar dos serviços legítimos do Windows e escalar com relativa facilidade os privilégios de baixo nível em um sistema para obter controle total sobre ele.  Os exploits mais recentes tiram proveito dos mesmos recursos de serviços do Windows ou semelhantes que os invasores usaram…
novos-ataques-ao-active-directory-exploram-vulnerabilidade-do-kerberos
Novos Ataques ao Active Directory exploram vulnerabilidade do Kerberos
Invasores estão utilizando privilégio de contas, tickets de acesso e roubo de senhas para acessar ambientes corporativos  Depois de uma série de ataques massivos ao Active Directory (AD), da Microsoft, engenheiros de sistemas da Varonis, empresa pioneira em segurança e análise de dados, descobriram que hackers estão agora explorando uma das formas de autenticação mais utilizadas em acessos do tipo SSO (Single Sign-On), o Kerberos. O novo protocolo de autenticação é…
explicação-da-autenticação-kerberos
Explicação da autenticação Kerberos
Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.
este-sid-está-disponível? o-varonis-threat-labs-descobre-ataque-de-injeção-de-sid-sintético
Este SID está disponível? O Varonis Threat Labs descobre ataque de injeção de SID sintético
Uma técnica em que agentes de ameaças com privilégios elevados existentes podem injetar SIDs sintéticos em um ACL, criando backdoors e permissões ocultas.