杜绝基于身份的漏洞利用
了解
企业的完整身份
现实情况
跨 Active Directory、混合云和 Entra ID 消除企业孤岛并统一身份。
揭示
最重要的身份
差距
使用风险评分查找需要关注的风险最大的漏洞。
化解 身份暴露安全隐患
使用分步骤的优先级分析来快速解决最有可能利用基于身份的漏洞的安全差距。
解决身份风险暴露以降低风险
身份是新的边界 — 遭入侵的身份是几乎所有成功网络攻击的核心。Tenable Identity Exposure 通过揭示和弥合基于身份的漏洞利用得以滋生的安全差距,从而加强您的安全态势,并在攻击发生之前自信地加以防范。
查看重要功能
Tenable Identity Exposure 会持续验证您的 Active Directory 和 Entra ID 环境中是否有薄弱环节、错误配置和可造成破坏性攻击的活动。将深度的上下文信息集成到 Tenable One 风险暴露管理平台中,可进一步帮助您了解有风险的有害组合,同时显著提高优先级分析和效率,以修复对企业最重要的风险暴露。
消除攻击路径
Tenable Identity Exposure 可杜绝恶意攻击者可能利用的风险暴露和攻击路径,确保攻击者难以找到驻足点,即使找到也无从下手。
初始切入点
(通过网络钓鱼或漏洞)
探索
在目标环境中横向移动
提升
获取特权
回避
隐藏取证分析足迹
建立
安装木马程序以永远立足
泄露
泄露数据或绑架目标以便勒索
保障 Active Directory 的安全
- 发现威胁 Active Directory 安全的底层问题
- 识别危险的信任关系
- 使用身份风险评分,按照对环境的风险程度对每个身份进行评级
- 提高企业的密码安全机制,降低与密码相关攻击的风险
- 捕捉 Active Directory 和 Entra ID 的每次更改
- 在 Active Directory 更改和恶意操作之间建立联系,实时检测 AD 攻击
- 确定修复步骤的优先顺序,首先集中精力处理风险最大的身份和错误配置
- 统一 Active Directory 和 Entra ID 中的身份
- 可视化攻击的深入细节
- 直接从事件详细信息中探索 MITRE ATT&CK 说明
自信地在攻击发生之前加以阻止
随地部署
Tenable Identity Exposure 支持 Active Directory 和 Entra ID,架构设计灵活:采用内部部署可将数据保存在现场并置于您的掌控之下,采用 SaaS 可充分利用云。
无延迟
预防和检测复杂的 Active Directory 攻击,无需代理和特权,只需一个标准用户帐户即可审计配置和识别针对 Active Directory 的攻击。
常见问题
- Tenable Identity Exposure 的主要功能有哪些?
-
Tenable Identity Exposure 使您能够实时检测和响应攻击,并找到和修复弱点 Active Directory 中的弱点,防止攻击者进行利用。Tenable Identity Exposure 的主要功能有:
- 发现 Active Directory 配置内任何隐藏的弱点
- 发现威胁 Active Directory 安全的底层问题
- 用简单的术语分析每个错误配置
- 新的身份风险评分功能通过结合漏洞、风险暴露和身份授权来量化资产风险(由 Tenable 的人工智能和大数据引擎提供支持)
- 针对每个问题获得建议的修复方法
- 创建自定义仪表盘来管理您的 Active Directory 安全性,从而降低风险
- 发现危险的信任关系
- 全新视图统一了 Active Directory 和 Entra ID 的身份
- 掌握 AD 中的每一个更改
- 发现 Active Directory 中每个域的主要攻击
- 通过准确的攻击时间线可视化每个威胁
- 在单一视图中整合攻击分布情况
- 将 Active Directory 更改与恶意操作联系起来
- 分析 Active Directory 攻击的深入详细信息
- 直接从检测到的事件中探索 MITRE ATT&CK ® 说明
- Tenable Identity Exposure 可检测哪些 Active Directory攻击和技术?
-
Tenable Identity Exposure 可以检测网络攻击中用于获得提升特权和实现横向移动的多种手段,包括 DCShadow、暴力破解、密码喷洒、DCSync、黄金票据等。
- Tenable Identity Exposure 可识别 Active Directory 上的哪些特权攻击向量?
-
Tenable Identity Exposure 具备丰富的数据库资源,掌握了大量攻击者可能用于获取特权的现有攻击向量。 这些载体包括:
攻击载体
说明
已知攻击工具
Mitre 攻击阵列
运行 Kerberos 服务的特权帐户
使用可暴力破解的 Kerberos 服务主体名称的高特权帐户
Kerberom
特权提升、横向移动、持久性
危险的 Kerberos 委派
检查没有授权危险的委派(未约束、协议转换等)
Nishang
特权提升、横向移动、持久性
在 Active Directory PKI 中使用弱加密算法
部署在内部 Active Directory PKI 上的根证书不得使用弱密码算法
ANSSI-ADCP
持续性、特权提升、横向移动
针对关键对象的危险访问权限委派
发现了一些允许非法用户控制关键对象的访问权限
BloodHound
泄露、横向移动、命令和控制、凭据访问、特权提升
密码策略中有多个问题
在某些特定帐户上,当前密码策略不足,无法确保提供可靠的凭据保护
Patator
防御回避、横向移动、凭据访问、特权提升
危险的 RODC 管理帐户
负责只读域控制器的管理组包含异常帐户
Impacket
凭据访问、防御回避、特权提升
已链接到关键对象的敏感 GPO
由非管理帐户管理的某些 GPO 链接到敏感的 Active Directory 对象(例如 KDC 帐户、域控制器、管理组等)。
ANSSI-ADCP
命令和控制、凭据访问、持久性、特权提升
已允许连接到域控制器之外的其他系统的管理帐户
部署在被监控基础设施上的安全策略不会阻止管理帐户连接到 DC 以外的资源,从而造成敏感的凭据暴露
CrackMapExec
防御回避、凭据访问
危险的信任关系
错误配置的信任关系属性会降低目录基础设施的安全性
Kekeo
横向移动、凭据访问、特权提升、防御回避
GPO 中的可逆密码
验证 GPO 没有包含以可逆格式存储的密码
SMB 密码爬虫
凭据访问、特权提升
运行过时操作系统的计算机
供应商不再支持过时的系统,这大大增加了基础设施的脆弱性
Metasploit
横向移动、命令和控制
使用与 Windows 2000 之前的版本兼容的访问控制的帐户
Windows 2000 之前的兼容访问组的帐户成员可以绕过特定的安全措施
Impacket
横向移动、 防御回避
本地管理帐户管理
确保使用 LAPS 集中和安全管理本地管理帐户
CrackMapExec
防御回避、凭据访问、横向移动
危险的匿名用户配置
在被监控的 Active Directory 基础设施上激活匿名访问,造成敏感数据泄露
Impacket
泄露
异常的 RODC 过滤属性
在某些只读域控制器上应用的过滤策略可能导致敏感信息进行缓存,从而造成特权升级
Mimikatz (DCShadow)
特权提升,防御回避
缺乏对横向移动攻击场景的限制
尚未在被监控的 Active Directory 基础设施上激活横向移动限制,从而使攻击者能够以相同的特权级别访问一系列计算机
CrackMapExec
横向移动
DC 共享中存储的明文密码
DC 共享上的某些文件(可被任何经过身份验证的用户访问)可能包含明文密码,从而造成特权提升
SMBSpider
凭据访问、特权提升、持久性
登录脚本上的危险访问控制权限
计算机或用户登录期间的某些脚本具有危险的访问权限,从而造成特权提升
Metasploit
横向移动、特权提升、持久性
在 GPO 中使用了危险参数
GPO 设置了一些危险参数(如受限组、LM 哈希计算、NTLM 身份验证级别、敏感参数等),从而造成安全漏洞
Responder
发现、凭据访问、执行、持久性、特权提升、防御回避
在用户帐户控制配置中定义的危险参数
某些用户帐户的用户帐户控制属性会定义危险参数(例如 PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT)PARTIAL_SECRETS_
ACCOUNT),这会危及所述帐户的安全性Mimikatz (LSADump)
持续性、特权提升、防御回避
缺乏对安全补丁的应用
在 Active Directory 中注册的某个服务器最近未应用安全更新
Metasploit
命令和控制权限提升、防御回避
针对用户帐户进行暴力破解尝试
某些用户帐户已作为暴力破解的目标
Patator
凭据访问
用户帐户的 Kerberos 配置
某些帐户使用弱 Kerberos 配置
Mimikatz (Silver Ticket)
凭据访问、特权提升
DC 上共享和存储的文件异常
某些域控制器用于承载不必要的文件或网络共享
SMBSpider
发现、泄露
- Tenable Identity Exposure 可识别针对 Active Directory 的哪些后门攻击技术?
-
Tenable Identity Exposure 具备丰富的数据库资源,掌握了大量攻击者可能用于获取持久漏洞的现有后门手段。 这些载体包括:
后门技术
说明
已知攻击工具
Mitre 攻击阵列
确保 SDProp 持久性
控制 adminSDHolder 对象保持在无害状态
Mimikatz (Golden Ticket)
特权提升,持久性
确保 SDProp 持久性
验证用户的主要组尚未更改
BloodHound
特权提升,持久性
验证根域对象权限
确保在根域对象上设置的权限是正确的
BloodHound
特权提升,持久性
验证敏感的 GPO 对象和文件权限
确保在链接到敏感容器(例如域控制器 OU)的 GPO 对象和文件上设置的权限是正确的
BloodHound
执行、特权提升、持久性
RODC KDC 帐户的危险访问权限
某些只读域控制器上使用的 KDC 帐户可以由非法用户帐户控制,从而造成凭据泄漏
Mimikatz (DCSync)
特权提升,持久性
映射到用户帐户的敏感证书
某些 X509 证书存储在 altSecurityIdentities 用户帐户属性中,从而允许证书的私钥所有者以此用户身份进行身份验证
命令和控制、凭据访问、特权提升、持久性
在常规帐户上设置了危险的 Krbtgt SPN
KDC 的服务主体名称存在于某些常规用户帐户上,从而造成 Kerberos 票证伪造
Mimikatz (Golden Ticket)
特权提升,持久性
KDC 密码密码上次更改
KDC 帐户密码必须定期更改
Mimikatz (Golden Ticket)
凭据访问、特权提升、持久性
帐户具有危险的 SID 历史记录属性
检查 SID 历史记录属性中使用特权 SID 的用户或计算机
DeathStar
特权提升,持久性
恶意域控制器
确保仅将合法的域控制器服务器注册到 Active Directory 基础设施中
Mimikatz (DCShadow)
执行、防御回避、特权提升、持久性
非法的 Bitlocker 密钥访问控制
除管理员和链接计算机外,其他人也可以访问 Active Directory 中存储的某些 Bitlocker 恢复密钥
ANSSI-ADCP
凭据访问、特权提升、持久性
架构安全描述符中存在异常条目
Active Directory 架构已被修改,导致新的标准访问权限或对象可能危及被监控的基础设施
BloodHound
特权提升,持久性
DSRM 帐户已激活
Active Directory 恢复帐户已被激活,从而造成凭据可能被窃取
Mimikatz (LSADump)
凭据访问、泄露、防御回避、特权提升、持久性
使用智能卡时不更新身份验证哈希
某些使用智能卡身份验证的用户帐户没有经常性地更新其凭据哈希
Mimikatz (LSADump)
持久性
用户帐户的可逆密码
验证没有参数以可逆格式存储密码
Mimikatz (DC Sync)
凭据访问
在容器上使用明确的拒绝访问
某些 Active Directory 容器或 OU 定义了明确的拒绝访问,从而造成隐藏潜在的后门
BloodHound
防御回避、持久性
- Tenable Identity Exposure 如何审核 Active Directory?
-
Tenable Identity Exposure 是市面上唯一一个不需要在域控制器或端点上进行任何部署的解决方案。 此外,Tenable Identity Exposure 只需用户级特权即可操作。 这种独特的架构使安全团队可以快速审查 Active Directory 的配置,而不会遇到复杂的部署问题。
- Tenable Identity Exposure 是否是针对 Active Directory 的时间点审计工具?
-
AD 错误配置随时都会发生,因此时间点审核仅在开始并专注于错误配置几分钟后就被弃用,而不包括危害指标。
另一方面,Tenable Identity Exposure 是一个安全平台,可以持续扫描 AD 以发现新的缺陷和攻击,并实时提醒用户注意相关问题。
- Tenable Identity Exposure 能否检测黄金票据攻击?
-
可以,Tenable Identity Exposure 可以检测并防止众多攻击手段,黄金票据便是其一。 Tenable Identity Exposure 可以并行运行数百项安全检查和关联,提供了最广泛的 AD 保护范围。
- Tenable Identity Exposure 能否与 SIEM/SOAR/工单系统等集成?
-
AD 安全是安全版图中的一个重要部分,而 Tenable Identity Exposure 可以无缝融入安全生态系统。
我们的 Syslog 集成可确保所有 SIEM 和大多数工单系统可以与 Tenable Identity Exposure 立即集成。 我们还为 QRadar、Splunk 和 Phantom 提供了原生应用程序。
- Tenable Identity Exposure 是否属于基于云的解决方案?
-
我们的解决方案支持基于云的部署和本地部署。这两种部署方法在功能上没有差别。
- Tenable Identity Exposure 能否扩展到多组织和多林 Active Directory 部署?
-
Tenable Identity Exposure 已经可以保护一些规模最大、最敏感的 AD。 我们的平台已打造成企业级解决方案,其无代理、AD 原生架构使其能够支持复杂的、多组织、多林 Active Directory 部署。
- Tenable Identity Exposure 如何授予许可?
-
Tenable Identity Exposure 按已启用的用户帐户授予许可。
- Tenable Identity Exposure 是否需要获得 Active Directory 的特权访问权限才能发现缺陷并响应攻击?
-
Tenable Identity Exposure 只需要标准用户帐户即可审核配置和识别针对 Active Directory 的攻击。
- 如何购买 Tenable Identity Exposure?
-
您可以通过以下方式购买 Tenable Identity Exposure:与当地的 Tenable 认证合作伙伴沟通或联系您的 Tenable 代表。
- Tenable Identity Exposure 是否支持评估试用?
-
是的,Tenable Identity Exposure 支持评估试用,请填写评估试用申请表,立即开始试用。
相关资源
开始使用 Tenable Identity Exposure
通过在全球范围部署 Tenable Identity Exposure,我们为利益相关者提供了企业网络安全风险亟需的可见性。
- Tenable Identity Exposure