Введение
90 % предприятий по всему миру используют Active Directory в качестве основной службы каталогов. Она играет важную роль в управлении идентификацией и доступом на крупных предприятиях. За последние несколько лет число атак на Active Directory резко возросло. Это связано с тем, что она является центральной платформой, на которой хранятся все идентификационные данные и доступы сотрудников, что делает ее ключом к вашему предприятию. Согласно исследованиям, 80 % всех угроз безопасности связаны с учетными записями Active Directory, что показывает, насколько выгодной мишенью для киберзлоумышленников она является.
Защита AD важна для поддержания общего уровня безопасности организации, защиты ее данных и обеспечения бесперебойной и безопасной работы. Злоумышленники могут использовать взломанный доступ к AD для распространения вымогательства по всей сети, шифрования данных и требования выкупа.
Злоумышленники, которые уже закрепились в сети, пользуются доступом к Active Directory (AD) и используют его для поиска уязвимых активов, получения привилегий и перехода к другим более ценным целям в сети. Работа с AD позволяет злоумышленникам получать информацию о сети, общаясь только с сервером контроллера домена (DC), вместо того чтобы, например, проводить шумное сканирование сети.
Современные решения по обеспечению безопасности Active Directory или Identity Threat Detection and Response (ITDR) оснащены функциями, обеспечивающими комплексную защиту. Одной из таких функций, жизненно важных для безопасности Active Directory, является технология обмана. Давайте разберемся в этом подробнее.
Расшифровка технологии обмана
Технология Fidelis Deception предназначена для обмана злоумышленников путем установки убедительных ловушек, чтобы заманить хакеров и обнаружить их присутствие. Fidelis предлагает самое передовое решение Deception для предприятий. Это более развитая версия приманок (honeypots) в вашей сети. Fidelis разработали эту систему для быстрого и эффективного обнаружения вредоносных инсайдеров.
Интегрированная технология обмана работает потому, что нет никаких реальных причин, по которым кто-то из сотрудников предприятия мог бы знать или иметь какие-либо основания для взаимодействия с любым обманным механизмом, включая приманки доступа. Fidelis развертывает «хлебные крошки» на реальных активах, чтобы расширить сеть и быстрее обнаружить вредоносную активность. Это означает, что если кто-то получает к ним доступ или взаимодействует с ними, то это, скорее всего, вредоносная деятельность. Это значительно снижает вероятность получения ложных срабатываний. Технология обмана также может собирать данные о хакерах, например о том, какую тактику они используют, к чему хотят получить доступ и т. д. Она также может дать информацию о том, что уже было использовано.
Как только вы обнаружите активность в Fidelis Deception, мы предоставим вам оперативные данные для быстрого уничтожения агента угрозы.
Реальные атаки против приманки. Оповещения Fidelis Deception.
Роль обмана в обеспечении безопасности Active Directory
Основная роль обмана заключается в том, что злоумышленники уже прошли 3-4 линии защиты и теперь охотятся за вашей Active Directory, которая является их целью номер один. Его основная роль заключается в обнаружении злоумышленников, которые уже проникли на ваше предприятие. Таким образом, он фокусируется на обнаружении атак после взлома.
Это становится возможным благодаря тому, что технология обмана использует приманки, имитирующие серверы AD, учетные записи пользователей и другие активы, связанные с AD. Эти приманки привлекают злоумышленников, которые пытаются скомпрометировать Active Directory.
Задачи
Компания Fidelis Security упрощает внедрение обмана. Fidelis включили функцию Active Directory с помощью простого мастера настройки.
Как команда, устанавливающая это решение, Fidelis часто сталкивается с тем, что самой большой проблемой является устранение коммуникационных барьеров между AD (командой сисадминов) и командой безопасности. Таким образом, для реализации этого решения необходимо, чтобы эти группы понимали роли друг друга и важность безопасности AD, а также работали вместе для обеспечения безопасности организации.
Собрать вместе системных администраторов или администраторов AD и команду безопасности – необходимый первый шаг. Понимание того, какие средства защиты существуют, и ценности добавления обмана в инфраструктуру AD позволит всем быть на одной волне.
Почему стоит обратить внимание на технологию Deception для защиты AD?
Существует множество технологий безопасности, которые могут препятствовать работе организаций, влияя на производительность или способность людей выполнять поставленные задачи. Но обман этого не делает. Его очень легко развернуть, а это значит, что он не влияет на существующую систему безопасности, а просто устанавливается сверху в качестве дополнительного уровня защиты. Кроме того, это очень экономичное дополнение.
Злоумышленники иногда находятся в сети в течение длительного времени, прежде чем их обнаружат. Трудно искать что-то «зловредное» в своей сети, особенно с учетом того, что злоумышленники становятся все более изощренными и лучше умеют избегать обнаружения. Гораздо проще обнаружить человека, взаимодействующего с ресурсом, с которым никто не должен взаимодействовать. Это означает, что ваша служба безопасности не тратит время на ложные срабатывания. Вместо этого вы заставляете противника терять время.
Это означает, что у развертывания технологии обмана нет никаких недостатков, ваша организация ничего не теряет при интеграции обмана. Технология Fidelis Deception не требует особого обслуживания и при этом предоставляет команде безопасности действенные предупреждения с высокой степенью достоверности.
Fidelis Deception
Fidelis предлагает наиболее полнофункциональное корпоративное решение для обмана на рынке.
Оно включает в себя огромное количество опций для обмана: приманки (honeypots), фиктивные пользователи, службы и файлы, управляемые из единого интерфейса.
Fidelis Active Directory Deception интегрируется с вашей службой Microsoft Active Directory. Вы включаете эту функциональность с помощью простого в использовании мастера. Этот мастер определяет пользователей и обманщиков на сервере Active Directory и привязывает их к Active Directory. Активность обманчивого (фиктивного) пользователя предупредит администраторов домена о вредоносной активности на вашем домене. Fidelis Deception позволяет организациям создавать сигнальные файлы. Эти «сигнальные» файлы будут отправлять маячок, если их откроют, предупреждая вас о событии утечки данных.
Оповещение о доступе к сигнальному файлу
В сочетании с Fidelis Network Fidelis может автоматизировать многие этапы развертывания технологии обмана, чтобы еще больше упростить внедрение этой технологии.
Решение Fidelis по технологии обмана включает в себя:
- Автоматическое или ручное развертывание подлинных слоев обмана
- Высокоточные оповещения, исключающие ложные срабатывания
- Активный анализ песочницы
- Хлебные крошки
- Сигнальные файлы
Заключение
Fidelis предвидит будущее, в котором Deception получит широкое распространение. В отличие от брандмауэров и других традиционных систем, он не создает шумных оповещений. Он позволит вашей команде безопасности расставлять приманки (ловушки), хлебные крошки (приманки) и фиктивных пользователей по всей среде. Любое взаимодействие – это немедленный тревожный сигнал и уведомление о нежелательной инсайдерской активности.
Это поможет вашей службе безопасности сосредоточиться на решении реальных проблем, а не на фальшивых предупреждениях. Кроме того, это очень простой в реализации уровень защиты, а значит, у внедрения технологии обмана нет никаких недостатков для вашего бизнеса.
Недавно Fidelis внедрили функцию перехвата Active Directory Intercept, ориентированную на безопасность Active Directory. Эта разработка была в значительной степени обусловлена опытом успешной работы Fidelis с набором функций AD Deception.
Fidelis Active Threat Detection выделяет вредоносные действия инсайдеров
Источник: The Role of Deception in Securing Active Directory
