网星安全ITDR-AD域安全解决方案
立即咨询
首页
企业AD运维及安全痛点
账户管理难度高
员工离职或转移到其他部门可能会导致账号管理上的问题。如果账号未及时禁用或删除,离职员工可能会继续访问公司系统,从而导致安全问题。
漏洞攻击
MS14-068(Kerberos漏洞)、MS17-010(SMB漏洞)、CVE-2020-1472(Netlogon远程协议漏洞)、Zerologon漏洞、DNS域传送漏洞、CVE-2021-42287(域内提权漏洞)
帐户权限滥用
员工帐户可能会被滥用来访问敏感数据或系统资源。攻击者可能会通过利用弱口令或攻击漏洞等手段获取员工帐户的控制权,并从内部访问敏感数据或控制企业系统。
身份伪造
攻击者可能会伪造员工帐户或冒充其他用户来获得访问权限。这可能会导致敏感数据泄露,系统资源受到破坏,以及其他安全问题
安全理念
事前:脆弱性梳理
事前:脆弱性梳理
事前:脆弱性梳理
事中:威胁监测威胁监测基于MITRE ATT&CK威胁模型矩阵设计。MITRE ATT&CK是一个基于真实网络攻击的战术和技术知识库模型,该模型将已知攻击的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者再攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。
事后:威胁阻断
威胁阻断案例
攻击者利用木马获取某台办公主机控制权
攻击者通过信息收集获取敏感用户账号密码
攻击者使用高权限账号在非常用地址登录
攻击者登录后,集权设施发送登录日志给ITDR
ITDR分析用户行为后判断为威胁行为,联动集权
设施阻断IP及账号台
特色功能:身份威胁诱捕ITDR独特的提供了与集权设施的集成,可以重定向身份认证流量到蜜网以实现身份安全,并分析攻击者行为进行溯源反制。
01
创建蜜罐账户(高强度无规则密码48位字符密码穷举时间超过200年,无任何业务使用此账户)
02
域控、桌管、EDR下发脚本将蜜罐账户凭据写入到主机内存、浏览器、凭据管理器等位置
03
实时监测身份蜜罐账户行为,捕获攻击者所在位置与攻击方式
管理视角威胁分析
管理视角威胁分析
管理视角威胁分析
产品架构
ITDR分析运营中心
部署在客户安全管理网络中,对采集到的数据进行分析,识别脆弱性,发现威胁行为,联动域控进行处置指令下发
可拆分为分析中心与管理运营中心,做集群分布式部署
可虚拟化部署台
可拆分为分析中心与管理运营中心,做集群分布式部署
可虚拟化部署台
域控传感器
软件形态,部署在域控上采集日志与流量数据
性能消耗不影响域控业务
平台侧可监控域控性能,配置阈值
性能消耗不影响域控业务
平台侧可监控域控性能,配置阈值
、
分级部署分支AD域控安装Agent,将数据与流量发送到本地分析运营中心进行告警与处置,各分支分析运营中心将分析后的日志数据发送给总部进行统一汇总,实现集团AD域安全态势展示与数据归档的目的。
解决方案-客户案例(某APT组织潜伏攻击案例)
案例背景
2022年3月至6月,某企业域控服务器经常会出现新增管理员、新增组策略等异常操作,以及域控管理员登录域内终端导致终端账号被迫断开远程连接、终端有木马报毒等异常行为。
由于域控服务器的补丁是定时更新的,且经过安全部门多次排查,均未发现异常,域控管理员只能在每次异常操作发生后,手动删除异常管理员和异常组策略。
由于域控服务器的补丁是定时更新的,且经过安全部门多次排查,均未发现异常,域控管理员只能在每次异常操作发生后,手动删除异常管理员和异常组策略。
客户价值
事前:全面梳理AD域的攻击面与风险点.
事中:实时监测,协助客户发现了AD域中长期潜伏的攻击者。
事后:协助客户对AD域进行全面加固,针对AD域防护弱点进行持续改进
事中:实时监测,协助客户发现了AD域中长期潜伏的攻击者。
事后:协助客户对AD域进行全面加固,针对AD域防护弱点进行持续改进
解决方案
事前-域控基线排查:6条中高危项及1台后门计算机。删除后门,整改5条中高危项。
事中-事件监测:攻击者再次发起攻击,域内信息收集(ldap信息探测、bloodhound信息收集)、权限获取(petitpotam relay、基于资源的约束委派)、后门持久化(敏感组新增用用户)。
事后-应急处置:定位失陷终端、分析系统日志及木马样本(被控制时间长达半年之久)、全盘杀毒、全公司防病毒软件状态排查、安全意识培训
解决方案-客户案例(某APT组织潜伏攻击案例)
关于我们北京中安网星科技有限责任公司(以下简称“网星安全”),创立于2020年,作为专业解决企业身份安全威胁的网络安全公司,网星安全始终秉持“创建一个防御者比攻击者更有优势的网络世界”愿景,以更快的速度、更大的规模覆盖和更高的准确性击败攻击者的每一次攻击。
公司聚焦于“身份威胁检测与响应(ITDR)”,以AD安全防护问题切入身份安全治理,延伸覆盖Exchange、Jumpserver、Vcenter、K8S、公有云等场景,为身份安全检测与响应(ITDR)解决方案的落地打下了坚实的基础。网星安全将客户放在首位,将传统的客户关系转变为真正的合作伙伴关系,为用户提供更立体的身份安全体系。凭借扎实的技术研发实力,现已横向覆盖各行业多个领域,包含金融、交通、能源、科技、消费等超100家大型企业。
产品推荐
腾讯微瓴智慧办公园区解决方案,通过“物联网+互联网”的整合和连接,提供“数据驱动,主动服务” 为特征的智能化的智慧办公楼宇解决方案。智慧办公楼宇中的应用场景和企业微信小程序、小程序天然连接;通过企业微信随时随地在手机上进行公告、打卡、审批、汇报、文件盘等操作,轻OA应用将推进无纸化办公。
腾讯小程序安全MMPS为用户提供小程序全生命周期的一站式安全解决方案,主要包括小程序隐私合规、安全诊断、加固和小程序安全扫描的功能,并提供公有云和私有化服务。小程序安全目前已广泛应用于新零售、金融、互联网、政务等多个行业,稳定、有效,保障企业或个人的小程序开发建设及运行更加安全便捷。
飞天诚信FIDO安全认证平台,紧跟国际FIDO标准步伐持续迭代,整合了FIDO UAF、FIDO U2F、FIDO2三套FIDO国际标准协议,形成统一FIDO Server软件产品,提供易用的管理平台、支持多种集成接口方便多平台应用集成 、支持飞天自主设计生产的符合FIDO标准协议的各类U2F设备和FIDO2设备。
高德云图上门服务解决方案,提供全量的AOI数据,作为组织或个⼈的最⼩数据单元进⾏业务应⽤,提升分区效率。提供丰富的算法能⼒,基于企业的业务条件和分区规则,实现智能化分区。提供多样化的区块操作能⼒,帮助企业快速实现区块的业务⾃定义,可⽀持Saa或API形式进⾏应⽤。
