当前位置:首页 > 报告详情

2赵阳-确保AD域控安全应对网络高级威胁攻击(22页).pdf

上传人: 懒人 编号:83927 2022-07-20 22页 5.75MB

1、赵阳/总经理/Tenable中国区现任Tenable中国区总经理,超过20年的安全及IT领域从业经验,有着丰富的网络安全技术及销售背景,了解国内外最新的安全技术动态,也曾参与国内多家大型金融机构及企业的网络安全项目建设。演讲主题:确保AD域控安全应对网络高级威胁攻击赵阳赵阳Tenable中国区总经理确保确保AD域控安全应对域控安全应对网络高级威胁攻击网络高级威胁攻击AD是网络基础设施的核心单元是网络基础设施的核心单元Active Directory拥有进入拥有进入企业内网的钥匙企业内网的钥匙控制身份验证,保留所有密码管理着对每一项重要资产的访问权是一款已有20年历史的产品设计升级AD配置更新多

2、年的技术债务积累了太多问题Active Directory实现干净的实现干净的AD是一个神话是一个神话黑客知道如何利用它的弱点黑客知道如何利用它的弱点USERS&CREDENTIALSICS&SCADAE-M AILAPPLICATIONSCLOUD RESOURCESCORPORATE DATA几乎每起登上头版头条的信息泄露信息泄露事件背后都与已知漏洞和不安全的不安全的 Active Directory 有关!广泛被攻击的根本原因广泛被攻击的根本原因6UNITED NATIONSJanuary 2020SINGHEALTHOctober 2018CARBANAKFebruary 2015AU

3、RORAJanuary 2010SONYNovember 2014BALTIM OREJune 2019TARGETDecember 2013NORSK HYDROM arch 2019的企业存在严重关键配置错误的的企业存在严重关键配置错误的ACTIVE DIRECTORY问题,根据全球组织进行的评估问题,根据全球组织进行的评估80%新恶意软件包括特定代码新恶意软件包括特定代码以攻击以攻击ACTIVE DIRECTORY为目标为目标利用利用CVE-2020-14725小时内,从初始网络小时内,从初始网络钓鱼到域管理员钓鱼到域管理员RYUK企业或组织企业或组织依赖依赖ACTIVE DIRECTO

4、RY服务服务 95%RYUK 勒索软件勒索软件案例案例8通过网络钓鱼攻击作为附件分发的恶意文档文件(Dropper)用户被邀请打开附件,然后运行恶意代码(1)下载附加代码:Trickbot或EmotetTrojan.W97M.POWLOADTrojanSpy.Win32.TRICKBOTOrTrojanSpy.Win32.EM OTETDropper下载Trickbot(2)或Emotet(2)用于:窃取凭据Active Directory侦察使用AD执行横向移动:M S17-010漏洞(SM B攻击)网络共享(泄露帐户)PsExec当检测到AD错误配置(攻击路径)时,将下载代码(3)的最后一

5、部分并将其部署到企业中执行后,它将执行其加密例程:本地和共享文件被加密,赎金notes被激活Ransom.Win32.RYUK等待等待AD配置错误配置错误TRICKBOTDomainGrabberAV和和EDR被停用被停用1231223DomainGrabber代码是执行代码是执行Active Directory侦察的特定侦察的特定“工具工具”AD 安全技能不足安全技能不足危险的信任关系危险的信任关系管理员权限不清管理员权限不清脆弱配置脆弱配置无心之过无心之过(错误配置错误配置)461087定期安全评估定期安全评估基线检查基线检查渗透测试渗透测试水上水上AD GPO策略梳理策略梳理针对针对AD

6、特定攻击检测特定攻击检测持续攻击持续攻击/后门程序检测后门程序检测5119123AD安全面临的挑战安全面临的挑战水下水下渗透测试渗透测试合规与审计工具合规与审计工具基于基于SIEM 的相关性的相关性基于基于Agent的行为检测的行为检测目前采用的常见方法目前采用的常见方法Active Directory安全遇到的问题安全遇到的问题10二十年二十年AD安全基础未变安全基础未变 经过多年的发展和重组,AD可能会存在数百个隐藏的弱点和攻击途径 也是横向移动的机会1.存在大量的弱点可被利用存在大量的弱点可被利用 在大型组织中,每天都会出现多种新的攻击途径 复杂的威胁参与者从最初的感染到控制域只需要短短

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了Tenable公司针对Active Directory(AD)安全提供的解决方案。AD作为企业网络基础设施的核心,却存在大量弱点,易成为网络攻击的目标。文章指出,超过80%的新恶意软件针对AD为目标,而60%的新恶意软件包含针对AD错误配置的代码。此外,文章还提到了一些著名的网络攻击案例,如UNITED NATIONS、SINGHEALTH等,这些攻击事件背后都与AD的安全问题有关。 为了解决AD安全问题,Tenable提出了实时监控、检测和响应AD攻击的解决方案。该方案具有以下特点:无需安装Agent,对DC负载无影响;基于微软标准协议,无需更大的网络带宽;能够根据运营业务环境调整安全分析策略;提供AD基础设施的实时攻击面可视化;支持云化部署和私有化部署。 该解决方案旨在帮助企业发现并修复现有的AD风险,发现新的攻击路径,实时检测正在进行的攻击事件,并提供便捷的审查功能。通过这些措施,企业可以更好地控制威胁暴露,提高AD的安全性。
如何防范高级威胁攻击?" 如何发现并纠正错误配置?" 如何识别和应对针对AD的攻击?"
客服
商务合作
小程序
服务号
折叠