Cada vez mais vemos no mercado de segurança da informação a necessidade de uma solução de segurança baseada em nuvem que aprimore os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização.

A Redbelt Security vem trabalhando com implementação de ferramentas de mercado que permitem aos analistas de SecOp e profissionais de segurança que lutam para detectar ataques avançados em ambientes híbridos:

• Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado;
• Proteger as identidades do usuário e as credenciais armazenadas no Active Directory;
• Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético;
• Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida;

Visando demonstrar as principais funções de uma proteção avançada de segurança, confira os 4 modelos de proteção para sua empresa:

1. Investigar alertas e atividades do usuário

Você deve reduzir o ruído de alerta geral, fornecendo apenas alertas de segurança importantes e relevantes em uma linha do tempo de ataque organizacional simples e em tempo real. A exibição da linha do tempo do ataque permite que você mantenha facilmente o foco no que importa, aproveitando a inteligência de análise inteligente. Investigue rapidamente as ameaças e receba insights de toda a organização sobre usuários, dispositivos e recursos de rede.

2. Proteger as identidades de usuário e reduzir a superfície de ataques

Forneça insights valiosos sobre as configurações de identidade e as melhores práticas de segurança. Por meio de relatórios de segurança e análise de perfil do usuário, nossas ferramentas o ajudam a reduzir drasticamente a superfície de ataque organizacional, tornando mais difícil comprometer as credenciais do usuário e avançar com um ataque. Os Caminhos de Movimentação Lateral ajudam você a compreender exatamente como um invasor pode mover-se lateralmente dentro da sua organização para comprometer contas confidenciais e ajuda a impedir esses riscos com antecedência. Os relatórios de ajudam a identificar os usuários e dispositivos autenticados por senhas com texto não criptografado e fornecem insights adicionais para melhorar suas políticas e a postura de segurança organizacional.

3. Monitorar e criar perfis de comportamento e de atividades do usuário

Monitorar e analisar as atividades do usuário e as informações na sua rede, como permissões e associação de grupo, criando uma linha de base comportamental para cada usuário, identificar anomalias com inteligência interna adaptável, fornecendo a você insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas voltadas para a sua organização. Os sensores proprietários devem monitorar controladores de domínio organizacionais, oferecendo uma exibição abrangente de todas as atividades do usuário de todos os dispositivos.

4. Identificar atividades suspeitas e ataques avançados em toda a cadeia do ataque cibernético

Normalmente, os ataques são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais. Você deve ter uma solução avançada que faça:

Reconhecimento: Identifique os usuários e as tentativas invasores para obter informações. Os invasores estão buscando informações sobre nomes de usuário, associação de grupo de usuários, endereços IP atribuídos aos dispositivos, recursos e muito mais, usando diversos métodos.

Credenciais comprometidas: Identifique as tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações na associação de grupo e outros métodos.

Movimentação lateral: Detecte as tentativas de se mover lateralmente na rede para obter mais controle sobre usuários confidenciais utilizando métodos como Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash e muito mais.

Predominância de domínio: Destaque o comportamento do invasor caso ele venha comandar o domínio, por meio de execução remota de código no controlador e métodos como Sombra do controlador de domínio, replicação do controlador de domínio mal-intencionado, atividades de Golden Ticket e muito mais.

Quer saber mais sobre soluções avançadas de segurança? Entre em contato conosco.