V posledním článku jsme si shrnuli, jak se nenechat ochromit strachem o IT bezpečí a zavčasu jednat tak, aby naše společnost byla téměř jako neprůstřelná tvrz. To vše za pomoci systémů IPS a IDS. Tentokrát půjdeme ještě o kousek dál. Přitvrdíme v nezbytné prevenci a seznámíme vás s Advanced Threat Protection (ATP) – řešením, co smete „ze sítě“ i pokročilé hrozby.
Azure Advanced Threat Protection je rozšířená ochrana před internetovými útoky. Je to cloudové řešení zabezpečení, které využívá vaše místní signály ze služby Active Directory a dalších agentů k identifikaci, detekci a prověření pokročilých hrozeb, ohrožených identit a škodlivých akcí směrovaných na vaše zařízení. Azure ATP umožňuje analytikům SecOp a odborníkům v oblasti zabezpečení detekovat pokročilé útoky v hybridních prostředích pro:
Azure ATP monitoruje a analyzuje informace o aktivitách uživatelů v síti (např. oprávnění a členství ve skupinách) a vytváří směrný plán pro každého uživatele. Azure ATP následně identifikuje anomálie díky adaptivním integrovaným inteligentním funkcím, které vám poskytnou přehled o podezřelých aktivitách a událostech. Odhalují pokročilé hrozby, ohrožené uživatele a hrozby Insider, kteří čelí vaší organizaci. Vlastní senzory Azure ATP monitorují organizační řadiče domény a poskytují komplexní zobrazení všech aktivit uživatelů z každého zařízení.
Azure ATP vám poskytne přehledy o konfiguracích identit a navrhovaných osvědčených postupech zabezpečení. Díky sestavám zabezpečení a analýzám profilů uživatelů se tak významně sníží možnosti napadení vašeho prostředí a pomyslná „červená kontrolka“ začne blikat při sebemenším podezření na útok. Funkce vizualizace pohybu vám pomůžou rychle pochopit, jak by se útočník mohl později ve vaší organizaci pohybovat (lateral movements) a jak by ohrozil citlivé účty.
Zkrátka a dobře, zavčasu odhalíte a eliminujete rizika, která by za jiných okolností přerostla v noční můru. Sestavy zabezpečení Azure ATP vám pomůžou identifikovat uživatele i zařízení, která se ověřují pomocí hesel nešifrovaných textů a poskytují další přehledy pro ještě lepší ochranu vaší organizace.
Obvykle jsou útoky spouštěny proti libovolné přístupné entitě (např. uživatel s nízkými oprávněními) a – například citlivým účtům například správců domény a dalším, vysoce citlivým datům. Azure ATP identifikuje tyto rozšířené hrozby ve zdroji v celém řetězci dezaktivačního řetězu pro počítačové útoky:
Rekognoskace
Identifikujte podvodné uživatele a útočníky, kteří se pokouší získat informace. Útočníci nejčastěji hledají informace o uživatelských jménech, členství ve skupinách uživatelů, IP adresách přiřazených k zařízením, prostředkům apod.
Prozrazené přihlašovací údaje
Identifikujte pokusy o ohrožení přihlašovacích údajů uživatele pomocí útoků hrubou silou, neúspěšných ověření, změn členství ve skupinách uživatelů a dalších metod.
Boční pohyb (Lateral movement)
Zjišťování pokusů o pohyb v síti za účelem získání další kontroly nad citlivými uživateli s využitím metod, pomocí kterých si postupně zvyšuje svá oprávnění v doméně (útoky jako je např.: Pass the Ticket, Pass the Hash, Overpass the Hash a další).
Dominance v doméně
Chování útočníka v případě, že dosáhne vyšších oprávnění v doméně, prostřednictvím vzdáleného spuštění kódu na řadiči domény a metod, jako je DC shadow, replikace škodlivého řadiče domény, aktivity Golden ticket a další.
Aplikace Azure ATP je navržená tak, a poskytovala pouze relevantní důležité výstrahy zabezpečení v jednoduché časové ose útoků organizace v reálném čase. Právě časová osa vám umožní snadno se soustředit na zkoumanou akci a plně využívat inteligentní analýzy.
Využijte Azure ATP k rychlému prozkoumání hrozeb a přehledu napříč organizací jak pro uživatele, tak pro zařízení a síťové prostředky. Bezproblémová integrace s ochranou ATP v programu Windows Defender poskytuje ještě větší zabezpečení díky dalšímu zjišťování a ochraně před pokročilými trvalými hrozbami v operačním systému.