Сканер уязвимостей Tenable и Nessus

Почему я не могу просто использовать BloodHound для защиты Active Directory?

Пользователи BloodHound часто задаются этим вопросом. Несомненно, BloodHound — это эффективное и информативное решение, необходимое для любой среды Active Directory. Оно набирает популярность среди пентестеров благодаря тому, что основывается не только на анализе настроек AD и хостов, но и на поиске возможных траекторий атаки. Инструмент BloodHound тесно связан с платформой Tenable.ad, поскольку к созданию BloodHound причастен Эммануэль Грас, который является также и создателем Tenable.ad.

В основе BloodHound лежит математическая концепция — теория графов.

Основной смысл в том, что любые два узла связаны между собой либо напрямую, либо через другие узлы (объекты, атрибуты, списки ACL и т. д.). Выявление взаимоотношений между двумя объектами позволяет легко получить нужный доступ. И хотя такие связи бывает сложно увидеть не только невооруженным глазом, но даже при глубоком анализе, благодаря теории графов такие маршруты легко обнаружить.

С помощью BloodHound можно визуализировать все связи объектов AD, и тем самым раскрывать траектории атаки на администраторов домена и на сам домен. Тогда почему для защиты AD недостаточно использовать BloodHound?


Рисунок 1. Граф в BloodHound, который иллюстрирует небезопасное делегирование Kerberos на компьютерах.

Вот пять основных причин:

  1. Отсутствие детекта постоянно, в реальном времени или близко к реальному времени. BloodHound – это не автоматический инструмент, сначала надо вручную запускать сбор данных (SharpHound) и затем импортировать данные для анализа в BloodHound
  2. BloodHound не показывает траектории атак автоматически
  3. Чтобы обнаружить траекторию атаки, сначала надо построить графовое представление объектов, которые вы хотите проанализировать (делегирование, администраторы домена и т. д.), а затем самостоятельно оценить результаты (на рисунке 1 показан граф BloodHound, который просто иллюстрирует неограниченное делегирование Kerberos на компьютерах)
  4. BloodHound не отправляет информацию в инструменты SOC, такие как SIEM или SOAR
  5. В BloodHound нет инструкций, которые помогаю проанализировать траектории атаки и понять, как изменить настройки, чтобы устранить эти траектории.

Однако, если добавить все эти недостающие функции (и даже больше) к текущим возможностям BloodHound, то в результате мы получаем решение Tenable.ad!

Хотите узнать больше о Tenable.ad?

Tenable.ad позволяет выявлять атаки и ошибочные настройки Active Directory в реальном времени, а также проводить хантинг и ретроспективные расследования атак на Windows-домены.

Закажите расчет, демо или тестирование Tenable.ad прямо сейчас!

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/