Conheça o Azure Advanced Threat Protection (ATP)
O ATP é um serviço de nuvem que ajuda a proteger o ambiente híbrido da sua empresa de múltiplos tipos de ataques. Basicamente, o ATP é uma engine de rede proprietária para capturar e analisar o tráfego de rede de múltiplos protocolos como Kerberos, DNS, RPC e NTLM, para autorização, autenticação e centralização destas informações.
Coleta de informações
Tais informações são coletadas pelo ATP por meio de deploy de sensores ATP do Azure, diretamente em seus controladores de domínio e espelhamento de portas dos controladores de domínio e servidores DNS para os sensores ATP standalone do Azure.
O Azure ATP coleta informações de variadas fontes de dados como logs e eventos na rede para aprender sobre o comportamento dos usuários e outras entidades da empresa, assim, criando um perfil sobre eles. As informações coletadas pelo Azure ATP podem ser recebidas por:
- SIEM Integration;
- Windows Event Forwarding (WEF);
- Diretamente do Windows Event Collector (pelo sensor);
- RADIUS Accouting das VPNs;
Etapas do ataque
Um ataque é constituído de várias etapas. Para entender como o ATP do Azure age em cada uma delas, é necessário primeiro entender como elas funcionam.
Reconhecimento: nesta etapa os invasores coletam informações sobre como o ambiente é construído, quais são os diferentes ativos e quais entidades existem. É aqui normalmente que o plano das próximas fases do ataque é construído;
Ciclo de movimento lateral: aqui o invasor investe tempo e esforço para espalhar o ataque na sua rede;
Domínio: este é um dos pontos mais críticos. É aqui que o invasor captura de fato as informações da sua rede e, ainda assim, permite que elas continuem com seu fluxo normal por meio dos vários pontos de entrada, credenciais e outras técnicas. Este ataque é comumente conhecido como Man in the Middle.
Como o ATP do Azure protege você e sua empresa
Estes tipos de ataques são comuns a qualquer ambiente e empresa. Para oferecer proteção o ATP do Azure busca por três principais tipos de ataque: ataques maliciosos, comportamento incomum e problemas de segurança.
Tanto os ataques maliciosos quanto o comportamento incomum são detectados deterministicamente. Abaixo temos uma lista dos tipos de ataques mais conhecidos:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Forged PAC (MS14-068)
- Golden Ticket
- Malicious replication
- Directory Service Enumeration
- SMB Session Enumeration
- DNS Reconnaissance
- Horizontal Brute Force
- Vertical Brute Force
- Skeleton Key
- Unusual Protocol
- Encryption Downgrade
- Remote execution
- Malicious Service Creation
O ATP do Azure é capaz de identificar estas atividades suspeitas e gerar um workload completo com uma visão de “quem”, “o que”, “quando” e “como” para o administrador do domínio. Abaixo você pode ver um dashboard de como este workload é apresentado.
Em relação aos problemas de segurança, o ATP do Azure é capaz de identificar:
- Protocolos fracos;
- Vulnerabilidades de protocolo conhecidas;
- Movimentos laterais para contas sensíveis.
Saiba mais
Trouxemos aqui uma breve apresentação sobre o ATP do Azure. Como ele protege sua empresa por meio da coleta de informações da rede, os tipos de ataque que sua empresa está suscetível a receber, como o ATP protege você destes ataques e como essa proteção é apresentada ao administrador do domínio.
Se você quiser sabe mais sobre deploy, planejamento e projeto, recomendamos que acesse o docs para ter maiores informações.
