Microsoft Advanced Threat Analytics (ATA)

Attacker sker dagligen och det är de attacker som ingen märkt av, eller känner till, som verkligen skadar verksamheten.
76% av alla attacker börjar med ett stulet konto/identitet, identiteter som idag finns på alla möjliga enheter och tjänster. I snitt tar en attack runt 8 månader och utan din vetskap kanske din miljö just nu är under attack. Det finns nu ett verktyg från Microsoft som kan identifiera detta! Innan vi går in på detta verktyg börjar vi med och tittar hur en attack ofta går till, enkelt förklarat, i tre olika steg:

Steg 1, stjäl någons identitet (lösenord)

I många fall skickas ett massutskick (SPAM) ut för att få användarna att uppge sina inloggningsuppgifter och/eller så väljer man ut helt vanliga användare. Oftast de där användarna som säger ”det är ingen som vill mig något, jag har inget hemligt” och som även har samma lösenord på den där matbloggen som det dom har till sitt konto i Active Directory. Alternativt någon form av ”brute force attack” eller keylogger för att få tag i ett lösenord och efter det har attackeraren kommit in på användaren dator.

Steg 2, identifiera en identitet med högre behörighet

Från användarens dator söker man sedan efter andra cachade identiteter med högre behörighet inom Active Directoryt, antingen på datorn i sig eller närliggande system som den specifika användaren har tillgång till. I många fall har någon på IT loggat in med ett konto medlem av ”Domain Admin”-gruppen för att installera en viss applikation eller vid installation/konfiguration av den aktuella datorn eller servern.

Steg 3, ta över kontrollen

När man väl identifierat detta konto och dess lösenord som är sparat i form av en lösenords-hash används detta och tekniken pass-the-hash eller pass-the-ticket (som vi sett ”hacker-demon” i 10 års tid demonstrera) för att logga in på en domän kontrollant.

När attackeraren väl kommit in på en domän kontrollant med full behörighet är spelet över. Attackeraren har full kontroll över allt inom verksamheten och kan göra precis vad den vill, inklusive att sopa igen sina spår.

Detta här är verkligheten! Attacker sker dagligen och det är de attacker som ingen märkt av eller känner till som verkligen skadar verksamheten.

Hur skyddar man sig?

Det finns flera sätt att minska risken för det här och skydda sig. Bara genom att få sig en tankeställare om tillvägagångssättet ovan brukar få de flesta att själv identifiera vad de behöver utföra för ändringar i sin infrastruktur.

Det intressanta är också att det finns något som har koll på allt ovanstående i form av försök till inloggningar, lyckade inloggningar och annan typ av access till olika tjänster och system inom din infrastruktur, nämligen ditt Active Directory!

Microsoft Advanced Threat Analytics (ATA)

Nu finns ett verktyg för att kunna identifiera den här typen av attacker och i god tid larma om att något suspekt pågår.

Microsoft Advanced Threat Analytics (ATA)! Verktyget är än så länge i Preview men kommer inom kort ut på marknaden.

Precis som namnet antyder är det dels ett analysverktyg som analyserar ditt Active Directory och gör följande:

  • Identifierar risker i ditt AD – Allt i form av svaga protokoll, läsbara lösenord till kända sårbarheter
  • Detekterar attacker mot system – Pass-the-Ticket, Pass-the-Hash till Bruteforce attacker med mera
  • Upptäcker onormala beteenden – suspekt aktivitet eller helt enkelt inloggningar mot system som frångår vanligheten

ATA installeras i din lokala miljö och beroende på infrastruktur konfigureras en eller flera ATA Gateways med portspegling av dina domänkontrollanter. All information samlas sedan upp i ett ATA Center som även det konfigureras lokalt. Ingenting installerad på befintliga servrar eller domänkontrollanter och vid rätt konfiguration är ATA helt dolt även för någon som angriper miljön.

Efter implementation behöver ATA 2-3 veckor på sig för att bygga upp en baseline och därefter kommer den känna av ovanligheter och suspekta beteenden bland användarna. Vid incidenter kommer larm redovisas och det finns även möjligheter att konfigurera så det skickas ut ett mail när detta inträffas.

Enkelt test i Onevinns demomiljö där ATA larmar när vi skickar en osignerad LDAP förfrågan med ett domänadminkonto (vilket exponerar inloggningsuppgifterna):

clip_image001

Vi kan även göra sökningar och för att se över en viss användare och dess aktivitet.

clip_image002

Om vi kombinerar den här typen av teknik i vårat lokala Aktive Directory och sedan använder Azure Active Directory för extern access skulle vi enkelt kunna få rapporter vid suspekta beteenden av en identitet externt och då använda det interna ATA verktyget för att se all intern aktivitet med samma konto. Bästa av alla världar i det moderna samhället med dess enheter och tjänster som finns och används överallt av våra användare.

(Läs även https://itsakerhetsguiden.se/autentisering-i-azure/ )

Kort film om ATA

Läs mer här:
http://www.microsoft.com/en-ca/server-cloud/products/advanced-threat-analytics/

Advertisements
Det här inlägget postades i Active Directory, Advanced Threat Analytics. Bokmärk permalänken.

3 kommentarer till Microsoft Advanced Threat Analytics (ATA)

  1. Staffan Bergvall skriver:

    Vad kostar det här och när kommer det i skarp version?

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s