Пользователи BloodHound часто задаются этим вопросом. Несомненно, BloodHound — это эффективное и информативное решение, необходимое для любой среды Active Directory. Оно набирает популярность среди пентестеров благодаря тому, что основывается не только на анализе настроек AD и хостов, но и на поиске возможных траекторий атаки. Инструмент BloodHound тесно связан с платформой Tenable.ad, поскольку к созданию BloodHound причастен Эммануэль Грас, который является также и создателем Tenable.ad.
В основе BloodHound лежит математическая концепция — теория графов.
Основной смысл в том, что любые два узла связаны между собой либо напрямую, либо через другие узлы (объекты, атрибуты, списки ACL и т. д.). Выявление взаимоотношений между двумя объектами позволяет легко получить нужный доступ. И хотя такие связи бывает сложно увидеть не только невооруженным глазом, но даже при глубоком анализе, благодаря теории графов такие маршруты легко обнаружить.
С помощью BloodHound можно визуализировать все связи объектов AD, и тем самым раскрывать траектории атаки на администраторов домена и на сам домен. Тогда почему для защиты AD недостаточно использовать BloodHound?
Рисунок 1. Граф в BloodHound, который иллюстрирует небезопасное делегирование Kerberos на компьютерах.
Вот пять основных причин:
- Отсутствие детекта постоянно, в реальном времени или близко к реальному времени. BloodHound – это не автоматический инструмент, сначала надо вручную запускать сбор данных (SharpHound) и затем импортировать данные для анализа в BloodHound
- BloodHound не показывает траектории атак автоматически
- Чтобы обнаружить траекторию атаки, сначала надо построить графовое представление объектов, которые вы хотите проанализировать (делегирование, администраторы домена и т. д.), а затем самостоятельно оценить результаты (на рисунке 1 показан граф BloodHound, который просто иллюстрирует неограниченное делегирование Kerberos на компьютерах)
- BloodHound не отправляет информацию в инструменты SOC, такие как SIEM или SOAR
- В BloodHound нет инструкций, которые помогаю проанализировать траектории атаки и понять, как изменить настройки, чтобы устранить эти траектории.
Однако, если добавить все эти недостающие функции (и даже больше) к текущим возможностям BloodHound, то в результате мы получаем решение Tenable.ad!
Хотите узнать больше о Tenable.ad?
Tenable.ad позволяет выявлять атаки и ошибочные настройки Active Directory в реальном времени, а также проводить хантинг и ретроспективные расследования атак на Windows-домены.
Закажите расчет, демо или тестирование Tenable.ad прямо сейчас!
