寻找和使用正确的网络安全事件响应工具

解开网络攻击的各个层面很少是一项简单的任务。您需要分析许多潜在的入口点、攻击路径和数据泄露策略,以揭示所发生事件的范围——同时罪魁祸首可能会采取措施来掩盖他们的踪迹。

网络安全事件响应工具

在某个时候,调查很可能会在 微软活动目录 (广告)。当它发生时,事件响应团队将需要正确的工具和脚本来帮助他们进行调查。手动检查堆积如山的登录数据和其他信息是不切实际的;必须快速处理和分析数据。当 AD 管理员和安全团队考虑事件响应时,让我们来看看组织可以采取哪些行动以及他们可以使用哪些类型的工具和功能来使他们领先于游戏。

典型的攻击有多种元素:网络组件、基于文件的组件,当然还有 Active Directory。需要检验的技术栈是巨大的。攻击可能以软件漏洞为切入点,然后涉及投放恶意软件。然后攻击者可能会使用被盗的用户凭据在整个网络中横向移动,最终启动一个 DCShadow 攻击 使用复制权限来模仿域控制器并对 Active Directory 进行更改。

就 AD 而言,调查人员正在处理一项已有 20 年历史的技术,该技术可能有些混乱,因为它包含数千名用户和数万个群组。其中一些组将嵌套在其他组中并具有过多的继承权限;有些将包括本应删除的旧的、未使用的帐户。拥有准确的 AD 地图并了解用户和组之间的关系至关重要。

虽然它也被攻击者使用, 猎犬 也是安全维护者和调查人员非常有用的工具。它允许管理员可视化用户和组,并通过精确定位具有过多权限的帐户来识别威胁参与者可以利用的攻击路径。此信息可用作面包屑导航,以帮助创建整个攻击杀伤链的综合视图。

为了类似的效果, 紫骑士 森佩里斯 的工具允许管理员枚举 AD 中的不同暴露。结合有关对 AD 的初始访问和存在哪些暴露的信息,安全防御者可以确定攻击者接下来可能会去哪里。防御者之所以能够收集到这些见解,是因为攻击者使用了与 Purple Knight 使用的相同类型的脚本和查询。

对于调查人员来说,他们需要的工具分为两类。第一个是对 AD 进行通用查询的脚本,例如对具有特权访问权限的用户的请求。第二类是用于交叉关联的脚本,例如,请求属于某个组并在特定时间登录的用户。查询过滤器将随着调查的发展而变化。但是,不会改变的是需要具有这种初始映射能力和 AD 环境中存在的暴露知识。通过了解用户和组之间的联系,安全团队和事件响应人员将能够更好地应对攻击。

注意 AD 审计功能的局限性

组织面临的挑战之一是,在许多情况下,未完全启用 Active Directory 的审核功能。尽管 Active Directory 的本机功能很有效,但它们也没有第三方工具那么强大。关于事件的上下文可能是有限的。

用户在 Active Directory 中的权限是否突然更改?是否创建了一个新组?如果没有有效的审计和监控,在调查期间回答这些问题会变得很麻烦。有时,事件响应者可能需要查看 AD 的备份以找出与之前状态相比发生了什么变化。

这种类型的信息对于事件响应者和调查人员来说是无价的,IT 领导者应该确保他们的日志保留策略符合他们的法规遵从性和安全需求。有几个端点和 AD 审计日志应该作为分析的目标,以捕获可疑活动。不幸的是,即使启用了日志记录功能,攻击者也可能在破坏网络后销毁日志。因此,无论攻击者如何掩盖其踪迹,检测 AD 变化的能力都非常重要。

在 Semperis,我们通过监控 AD 复制流来实现这一点。这种方法不是仅仅依赖于域控制器上运行的代理,而是允许组织检测审计工具错过的事件,无论是由于威胁行为者的行为还是像代理与域的新安全更新不兼容这样简单的事情控制器。

监控和审计 AD 的能力不仅可以主动检测对 AD 的攻击,还可以识别违规行为的后果,使工具的报告功能和自动化变得至关重要。凭借映射攻击路径和跟踪用户、组和权限的能力,取证调查可以更快地移动以发现攻击的范围。




分享这个