一、没有结合用户行为分析(UBA)主动发现威胁
保护企业的资源免受破坏,需要结合企业内部、外部内部威胁并跨越众多服务器或工作站收集和分析数据。然后,它需要与员工的行为模式进行关联,进而发现异常和漏洞,这是一项耗时且复杂的任务,即使是最强大的安全工具很容易束手无策。
另一方面,如果将安全工具与用户行为分析(UBA)相结合,它可以快速检索海量数据,识别行为模式,并通过机器学习主动发现安全问题。
Gartner预测,到2024年底,75%的企业将从试点转向正式开始采用人工智能技术。机器学习的使用有助于为每个员工建立行为基线,从中我们可以判断什么是正常的,什么是不正常的。它包含了与文件访问、进程运行、用户管理活动、登录行为等相关的各种模式。
Gartner预测
ADAudit Plus 如何帮到您?
❶它通过机器学习主动发现异常的操作行为,如登录失败次数突然剧增、异常登录时间、用户首次使用远程访问等。
❷它可通过监控用户行为的突然偏离来发现隐藏的威胁,例如服务器上运行的新进程或异常的账户锁定时间或数量。
❸它可每天更新正常的行为模式或基线,以提高ADAudit Plus威胁发现功能的准确性。
异常操作行为
二、仍然使用传统的身份验证方式
使用传统身份验证会使企业易受勒索软件攻击并且数据容易被窃取。
在企业内部本地AD环境来说,传统身份验证是指使用不安全的协议,如NTLMv1、SMBv1以及TLS 1.0等。包括WannaCry和Petya在内的勒索软件都会利用SMBv1漏洞在网络设备间横向扩散。此外,由于缺乏更安全的认证方式和存在弱密码的情况,使得企业极易受到中间人攻击。
另一方面, 在Azure中,传统身份验证是指来自旧软件客户端(如Office 2010)的身份验证请求,这些客户端使用SMTP、POP和 IMAP等协议。这是一种过时的身份验证服务,最常用于访问电子邮件服务器。
勒索软件
使用传统身份验证存在多种安全风险,因为它缺少保护凭据的额外安全层,即多因素身份验证(MFA)。传统的身份验证协议无法强制执行MFA,这已成为攻击者的主要攻击目标。
超过99%的密码喷射攻击和97%的凭据填充攻击是通过使用传统身份验证协议进行的。
阻止以上问题发生的第一步是确定这些协议在哪里使用,由谁使用,以及它们用于什么目的。一旦确定,分析并阻止对这些身份验证协议的不当使用才能变得可行。
ADAudit Plus如何帮到您?
❶可以审计所有使用NTLM身份验证来访问您的资源的用户,并提供有关谁、何时以及从何处登录的详细信息。
身份验证
三、域管理员太多
AD域管理员拥有在加入域的系统(如工作站和服务器)中执行重要任务的特权。当多人同时拥有这些权限时是十分危险的。
为用户提升权限要十分慎重,定期检查和管理域管理组非常重要。此外,监控高特权用户的所有活动来发现异常非常重要。
ADAudit Plus如何帮到您?
❶它可以帮助您有选择地监控高特权用户及其操作,以及谁在什么时间地点做了什么等详细信息。
❷它可以智能找出指定用户行为中的突然偏差,找到恶意内部人员和被攻击的用户账户。