Tenable Identity Exposure
تأمين Active Directory والقضاء على مسارات الهجوم
تحكم في Active Directory (AD) وأمان Azure AD للعثور على الثغرات وإصلاحها قبل أن تُشكل مشكلات تؤثر على الأعمال.
Tenable Identity Exposure هو حل أمان Active Directory سريع بدون وكيل يسمح لك برؤية كل شيء في بيئة Active Directory المعقدة، والتنبؤ بما يهم لتقليل المخاطر والقضاء على مسارات الهجوم قبل أن يستغلها المهاجمون.
طلب إصدار تجريبيلا
زيادة للامتيازات
حركة جانبية
خطوة تالية للمهاجمين
البحث عن نقاط ضعف Active Directory وإصلاحها قبل حدوث الهجمات
اكتشف وحدد أولويات التعرض للمخاطر داخل Active Directory باستخدام درجة مخاطر الهوية من Tenable. قلل من مخاطر هويتك من خلال إرشادات العلاج المفصلة خطوة بخطوة.
اكتشاف الهجمات على Active Directory والتصدي لها في الوقت الفعلي
يمكنك الكشف عن الهجمات على Active Directory، مثل DCShadow، وBrute Force، وPassword Spraying، وDCSync، وغير ذلك الكثير. يعمل الحل Tenable Identity Exposure على إثراء نظام SIEM، أو SOC، أو SOAR لديك برؤى الهجوم؛ حتى تتمكن من التصدي للهجمات وإيقافها بسرعة.
نجاح العملاء
كيف نجحت شركة Sanofi الرائدة في مجال المستحضرات الصيدلانية في حماية بنى Active Directory التحتية الخاصة بها على الصعيد العالمي
قراءة دراسة الحالةكيف طبقت شركة Vinci Energies معايير أمنية قوية على بنى Active Directory الأساسية دائمة التطور لديها
قراءة دراسة الحالةكيف تحمي المنشآت صغيرة الحجم في شركة Lagardère بنى Active Directory التحتية ذات الموارد المحدودة لديها
قراءة دراسة الحالة"تمكنّا بفضل حل Tenable من التخلص من المخاوف الأمنية التي تواجه Active Directory؛ حتى يتسنى لنا التركيز على تأسيس أعمال جديدة."دومينيك تيسارو
متاح من خلال منصة Tenable One Exposure Management
تُعد Tenable One منصة لإدارة التعرض للمخاطر مُصممة لمساعدة مؤسستك في الحصول على رؤية عبر سطح الهجوم الحديث لديك، وتركيز الجهود لمنع الهجمات المحتملة، والإبلاغ الدقيق عن المخاطر الإلكترونية لدعم الأداء الأمثل للأعمال. وتوفر منصة Tenable One تغطية واسعة النطاق للثغرات الأمنية تمتد لأصول تكنولوجيا المعلومات، والموارد السحابية، والحاويات، وتطبيقات الويب، وأنظمة الهوية.
معرفة المزيدتأمين Active Directory
- اكتشف المشكلات الأساسية التي تهدد أمان Active Directory لديك
- تحديد علاقات الثقة الخطيرة
- سجل حالات التعرض وحدد أولويات العلاجات باستخدام درجة مخاطر الهوية
- اكتشف وتعرف كل تغيير يحدث في Active Directory وAzure AD
- اربط بين تغييرات Active Directory والإجراءات الضارة
- وحد الهويات في Active Directory وAzure AD
- تصور التفاصيل المتعمقة للهجمات
- استكشاف أوصاف MITRE ATT&CK مباشرةً من تفاصيل الحادث
الأسئلة المتكررة
- اكتشاف أي نقاط ضعف مخفية في تكوينات Active Directory
- اكتشف المشكلات الأساسية التي تهدد أمان Active Directory لديك
- تحليل كل تكوين خاطئ، بعبارات بسيطة
- تعمل وظيفة درجة تعرض الأصول للمخاطر الجديدة على تحديد مخاطر الأصول من خلال الجمع بين الثغرات الأمنية والتعرض للمخاطر وحقوق الهوية (مدعومة بمحرك الذكاء الاصطناعي وعلوم بيانات Tenable
- الحصول على الإصلاحات الموصى بها لكل مشكلة
- أنشئ لوحات معلومات مخصصة لإدارة أمان Active Directory لتقليل المخاطر
- اكتشاف علاقات الثقة الخطيرة
- جديد - عرض الهويات الموحدة من Active Directory وAzure AD
- إدراك كل تغيير في AD لديك
- كشف الهجمات الرئيسية لكل مجال في Active Directory لديك
- تصوّر كل تهديد من خلال جدول زمني دقيق للهجوم
- توحيد الهجوم الموزع في طريقة عرض واحدة
- اربط بين تغييرات Active Directory والإجراءات الضارة
- تحليل التفاصيل المتعمقة لهجوم Active Directory
- استكشاف أوصاف MITRE ATT&CK ® مباشرةً من الحوادث المكتشفة
ناقل الهجوم |
الوصف |
الأدوات الهجومية المعروفة |
مصفوفة Mitre Attack |
حسابات متميزة تستخدم خدمات Kerberos |
حسابات ذات امتيازات عالية تستخدم الاسم الأساسي لـ Kerberos Service لتوجيه هجوم بقوة غاشمة |
Kerberom |
زيادة الامتيازات، والحركة الجانبية، والاستمرارية |
تفويض Kerberos الخطير |
تأكد من عدم اعتماد أي تفويض خطير (غير مقيد، وانتقال البروتوكول، وما إلى ذلك) |
Nishang |
زيادة الامتيازات، والحركة الجانبية، والاستمرارية |
استخدام خوارزميات التشفير الضعيفة في البنية التحتية للمفاتيح العامة الخاصة بـ Active Directory |
يجب ألا تستخدم الشهادات الجذر المنشورة على البنية التحتية للمفاتيح العامة الداخلية الخاصة بـ Active Directory خوارزميات تشفير ضعيفة |
ANSSI-ADCP |
الاستمرارية، وزيادة الامتيازات، والحركة الجانبية |
تفويض حقوق الوصول الخطيرة في الكائنات المهمة |
تم العثور على بعض حقوق الوصول التي تسمح للمستخدمين غير الشرعيين بالتحكم في الكائنات المهمة |
BloodHound |
التسريب، والحركة الجانبية، والأمر والتحكم، والوصول إلى بيانات الاعتماد، وزيادة الامتيازات |
مشكلات متعددة في نهج كلمة المرور |
في بعض الحسابات المحددة، تكون نُهُج كلمات المرور الحالية غير كافية لضمان توفير حماية قوية لبيانات الاعتماد |
Patator |
التهرب من الدفاع، والحركة الجانبية، والوصول إلى بيانات الاعتماد، وزيادة الامتيازات |
الحسابات الخطيرة لإدارة وحدة التحكم بالمجال للقراءة فقط |
تحتوي المجموعات الإدارية المسؤولة عن وحدات التحكم بالمجال للقراءة فقط على حسابات غير طبيعية |
Impacket |
الوصول إلى بيانات الاعتماد، والتهرب من الدفاع، وزيادة الامتيازات |
ارتباط كائن نهج المجموعة (GPO) الحساس بكائنات مهمة |
ترتبط بعض كائنات نهج المجموعة (GPO) التي تديرها حسابات غير إدارية بكائنات Active Directory الحساسة (على سبيل المثال، حساب KDC، ووحدات التحكم بالمجال، والمجموعات الإدارية، وما إلى ذلك) |
ANSSI-ADCP |
الأمر والتحكم، والوصول إلى بيانات الاعتماد، والاستمرارية، وزيادة الامتيازات |
حسابات إدارية مسموح لها بالاتصال بأنظمة أخرى غير وحدات التحكم بالمجال |
لا تمنع نُهُج الأمان المنشورة على البنية التحتية الخاضعة للمراقبة الحسابات الإدارية من الاتصال بموارد أخرى بخلاف وحدة التحكم بالمجال، وهو ما يؤدي إلى كشف بيانات الاعتماد الحساسة |
CrackMapExec |
التهرب من الدفاع، والوصول إلى بيانات الاعتماد |
علاقة الثقة الخطيرة |
تقلل سمات علاقة الثقة المكونة بشكلٍ غير صحيح من مستوى أمان البنية التحتية للدليل |
Kekeo |
الحركة الجانبية، والوصول إلى بيانات الاعتماد، وزيادة الامتيازات، والتهرب من الدفاع |
كلمات المرور القابلة للعكس في كائن نهج المجموعة (GPO) |
تحقق من عدم وجود كائن نهج مجموعة يحتوي على كلمات مرور مُخزنة بتنسيق قابل للعكس |
SMB Password crawler |
الوصول إلى بيانات الاعتماد، وزيادة الامتيازات |
أجهزة كمبيوتر تعمل بنظام تشغيل قديم |
لم تعد الأنظمة القديمة مدعومة من المحرر، وتتسبب في زيادة الثغرات الأمنية للبنية التحتية بصورةٍ كبيرة |
Metasploit |
الحركة الجانبية، والأمر والتحكم |
حسابات تستخدم عنصر تحكم في الوصول متوافقًا مع الإصدار السابق لنظام التشغيل Windows 2000 |
يمكن لعضو الحساب في مجموعة الوصول المتوافقة مع الإصدار السابق لنظام التشغيل Windows 2000 تجاوز إجراءات أمنية محددة |
Impacket |
الحركة الجانبية والتهرب من الدفاع |
إدارة الحساب الإداري المحلي |
تأكد من إدارة الحسابات الإدارية المحلية على نحو مركزي وآمن باستخدام أداة LAPS |
CrackMapExec |
التهرب من الدفاع، والوصول إلى بيانات الاعتماد، والحركة الجانبية |
تكوين المستخدمين المجهولين الخطير |
يتم تنشيط الوصول المجهول على بنية Active Directory التحتية الخاضعة للرقابة، مما يؤدي إلى تسرُّب معلومات حساسة |
Impacket |
التسريب |
سمات غير طبيعية لوحدة التحكم بالمجال للقراءة فقط (RODC) المصفاة |
يمكن أن تؤدي نُهُج التصفية المنطبقة على بعض وحدات التحكم بالمجال للقراءة فقط إلى التخزين المؤقت للمعلومات الحساسة، وهو ما يسمح بوجود حالات زيادة الامتيازات |
Mimikatz (DCShadow) |
زيادة الامتيازات والتهرب من الدفاع |
انعدام القيود المفروضة على سيناريو هجوم الحركات الجانبية |
لم يتم تنشيط القيود المفروضة على الحركة الجانبية على بنية Active Directory التحتية الخاضعة للمراقبة، وهو ما يتيح للمهاجمين الارتداد من جهاز إلى آخر بنفس المستوى من الامتيازات |
CrackMapExec |
الحركة الجانبية |
كلمات مرور النصوص العادية المُخزنة في مشاركات وحدة تحكم المجال (DC) |
من المرجح أن تحتوي بعض الملفات الموجودة في مشاركات وحدة تحكم المجال (DC)، التي يمكن لأي مستخدم مُصدَّق عليه الوصول إليها، على كلمات مرور النصوص العادية، وهو ما يسمح بزيادة الامتيازات |
SMBSpider |
الوصول إلى بيانات الاعتماد، وزيادة الامتيازات، والاستمرارية |
حقوق التحكم في الوصول الخطيرة على البرامج النصية لتسجيل الدخول |
تتمتع بعض البرامج النصية، التي يتم تشغيلها في أثناء عملية تسجيل دخول جهاز كمبيوتر أو مستخدم، بحقوق وصول خطيرة، وهو ما يؤدي إلى زيادة الامتيازات |
Metasploit |
الحركة الجانبية، وزيادة الامتيازات، والاستمرارية |
استخدام المعلمات الخطيرة في كائن نهج المجموعة (GPO) |
يقوم كائن نهج المجموعة (GPO) بتعيين بعض المعلمات الخطيرة (مثل المجموعات المقيَّدة، وحساب التجزئة لنظام التشغيل LM، ومستوى مصادقة NTLM، والمعلمات الحساسة، وما إلى ذلك)، وهو ما يؤدي إلى حدوث عمليات خرق للأمن |
Responder |
الاكتشاف، والوصول إلى بيانات الاعتماد، والتنفيذ، والاستمرارية، وزيادة الامتيازات، والتهرب من الدفاع |
المعلمات الخطيرة المحددة في تكوين التحكم في حساب المستخدم |
تحدد سمة التحكم في حساب المستخدم في بعض حسابات المستخدمين المعلمات الخطيرة (مثل PASSWD_NOTREQD أو PARTIAL_SECRETS_ACCOUNT)، التي تُعرِّض أمن الحساب المذكور للخطر |
Mimikatz (LSADump) |
الاستمرارية، وزيادة الامتيازات، والتهرب من الدفاع |
انعدام تطبيق التصحيحات الأمنية |
لم تقم بعض الخوادم المسجَّلة في Active Directory بتطبيق تحديثات الأمان مؤخرًا |
Metasploit |
الأمر والتحكم، وزيادة الامتيازات، والتهرب من الدفاع |
محاولة استخدام القوة العمياء على حسابات المستخدمين |
تم استهداف بعض حسابات المستخدمين عن طريق محاولة القوة العمياء |
Patator |
الوصول إلى بيانات الاعتماد |
تكوين Kerberos في حساب المستخدم |
تستخدم بعض الحسابات تكوينًا ضعيفًا لبروتوكول Kerberos |
Mimikatz (Silver Ticket) |
الوصول إلى بيانات الاعتماد، وزيادة الامتيازات |
مشاركة غير طبيعية أو ملف تم تخزينه على وحدة التحكم بالمجال (DC) |
تُستخدم بعض وحدات التحكم بالمجال لاستضافة ملفات غير ضرورية أو مشاركات الشبكة |
SMBSpider |
الاكتشاف والتسريب |
تقنية الباب الخلفي |
الوصف |
الأدوات الهجومية المعروفة |
مصفوفة Mitre attack |
ضمان اتساق عملية SDProp |
تتحكم في وجود كائن adminSDHolder في حالة نظيفة |
Mimikatz (Golden Ticket) |
زيادة الامتيازات، والاستمرارية |
ضمان اتساق عملية SDProp |
تحقق من عدم تغير المجموعة الأساسية للمستخدمين |
BloodHound |
زيادة الامتيازات، والاستمرارية |
التحقق من أذونات كائن المجال الجذر |
تأكد من أن الأذونات التي تم تعيينها في كائن المجال الجذر منطقية |
BloodHound |
زيادة الامتيازات، والاستمرارية |
التحقق من أذونات الملفات وعناصر كائن نهج المجموعة (GPO) الحساسة |
تأكد من أن الأذونات التي تم تعيينها في عناصر كائن نهج المجموعة (GPO) والملفات المرتبطة بالحاويات الحساسة (مثل الوحدة التنظيمية لوحدات التحكم بالمجال) منطقية |
BloodHound |
التنفيذ، وزيادة الامتيازات، والاستمرارية |
حقوق الوصول الخطيرة في حساب RODC KDC |
يمكن لحساب مستخدم غير شرعي التحكم في حساب KDC المستخدم في بعض وحدات التحكم بالمجال للقراءة فقط، وهو ما يؤدي إلى تسرُّب بيانات الاعتماد |
Mimikatz (DCSync) |
زيادة الامتيازات، والاستمرارية |
تعيين الشهادات الحساسة لحسابات المستخدمين |
يتم تخزين بعض شهادات X509 في سمة حساب المستخدم altSecurityIdentities، وهو ما يسمح لمالك المفتاح الخاص للشهادة بالمصادقة، كما هو الحال بالنسبة إلى هذا المستخدم |
الأمر والتحكم، والوصول إلى بيانات الاعتماد، وزيادة الامتيازات، والاستمرارية |
|
تعيين اسم الخدمة الأساسي (SPN) لحساب Krbtgt المخادع على حساب عادي |
اسم الخدمة الأساسي لخدمة مركز توزيع المفاتيح (KDC) موجود في بعض حسابات المستخدمين العادية، وهو ما يؤدي إلى تزييف تذاكر Kerberos |
Mimikatz (Golden Ticket) |
زيادة الامتيازات، والاستمرارية |
التغيير الأخير لكلمة مرور حساب خدمة مركز توزيع المفاتيح (KDC) |
يجب تغيير كلمة مرور حساب خدمة مركز توزيع المفاتيح (KDC) بانتظام |
Mimikatz (Golden Ticket) |
الوصول إلى بيانات الاعتماد، وزيادة الامتيازات، والاستمرارية |
حسابات تضم سمة محفوظات SID خطيرة |
تحقق من حسابات المستخدم أو جهاز الكمبيوتر باستخدام مُعرِّف أمان متميز في سمة محفوظات SID |
DeathStar |
زيادة الامتيازات، والاستمرارية |
وحدات التحكم بالمجال المخادعة |
تأكد من عدم تسجيل سوى خوادم وحدة التحكم بالمجال المشروعة في بنية Active Directory التحتية |
Mimikatz (DCShadow) |
التنفيذ، والتهرب من الدفاع، وزيادة الامتيازات، والاستمرارية |
التحكم في الوصول إلى مفتاح Bitlocker غير المشروع |
يمكن للأشخاص الآخرين بخلاف المسؤولين وأجهزة الكمبيوتر المرتبطة الوصول إلى بعض مفاتيح استرداد Bitlocker المُخزنة في Active Directory |
ANSSI-ADCP |
الوصول إلى بيانات الاعتماد، وزيادة الامتيازات، والاستمرارية |
إدخالات غير طبيعية في واصف أمان المخطط |
لقد تم تعديل مخطط Active Directory، مما أدى إلى ظهور كائنات أو حقوق وصول قياسية جديدة يمكن أن تتسبب في تعرُّض البنية التحتية الخاضعة للمراقبة للخطر |
BloodHound |
زيادة الامتيازات، والاستمرارية |
تنشيط حساب DSRM |
لقد تم تنشيط حساب استرداد Active Directory، وهو ما يعرضه إلى سرقة بيانات الاعتماد الخاصة به |
Mimikatz (LSADump) |
الوصول إلى بيانات الاعتماد، والتنفيذ، والتهرب من الدفاع، وزيادة الامتيازات، والاستمرارية |
عدم تجديد تجزئة المصادقة عند استخدام البطاقة الذكية |
بعض حسابات المستخدمين التي تستخدم مصادقة البطاقة الذكية لا تجدد تجزئة بيانات الاعتماد الخاصة بها بشكلٍ متكرر بما فيه الكفاية |
Mimikatz (LSADump) |
الاستمرارية |
كلمات المرور القابلة للعكس لحسابات المستخدمين |
تحقق من عدم وجود معلمة تجعل كلمات المرور يتم تخزينها بتنسيق قابل للعكس |
Mimikatz (DC Sync) |
الوصول إلى بيانات الاعتماد |
استخدام الوصول الصريح المرفوض في الحاويات |
تحدد بعض حاويات Active Directory أو الوحدات التنظيمية الوصول الصريح المرفوض، وهو ما يؤدي إلى احتمالية إخفاء الباب الخلفي |
BloodHound |
التهرب من الدفاع، والاستمرارية |
تحدث التكوينات الخاطئة لـ AD طوال الوقت، وبالتالي تصبح عمليات التدقيق في نقطة زمنية محددة مهملة بعد دقائق فقط من بدايتها، وينصَّب التركيز على التكوينات الخاطئة بدلًا من تضمين مؤشرات الاختراق.
من ناحية أخرى، يُعد الحل Tenable Identity Exposure منصة أمن تفحص AD لديك باستمرار؛ بحثًا عن هجمات ونقاط ضعف جديدة، وهو ما ينبه المستخدمين في الوقت الفعلي إلى وجود مشكلات.
يمثل أمن AD جزءًا مهمًا من اللغز الأمني لديك، ويُدمج الحل Tenable Identity Exposure في النظام الأمني الخاص بك بسلاسة.
يضمن دمج بروتوكول Syslog الخاص بنا أن جميع أنظمة إدارة معلومات الأمان والأحداث (SIEM) ومعظم أنظمة حجز التذاكر يمكن دمجها مع الحل Tenable Identity Exposure فور التثبيت. ولدينا أيضًا تطبيقات أصلية متوفرة للمنصات QRadar، وSplunk، وPhantom.
يعد Tenable Identity Exposure مذهلاً حقًا ويساعدنا على اكتشاف هجمات Active Directory والرد عليها على الفور، بالإضافة إلى تحديد نقاط الضعف ومعالجتها قبل أن يتم استغلالها.CISO
الموارد ذات الصلة
- Tenable Identity Exposure