Karin Bui
16 Apr 2024
Welcome to us Patrik Jonsson
1 min
Advanced Threat Analytics (ATA) och dess motsvarighet med molnhantering Azure Advanced Threat Protection (Azure ATP) har förutom att detektera intrång i lokal infrastruktur också varit ett bra verktyg för att identifiera sårbarheter.
Sårbarheter kan vara allt ifrån svaga protokoll, felkonfigureringar till lösenord som går i klartext över våra nätverk. Det är inte helt ovanligt att det lokala Active Directoryt har uppgraderats succesivt utan att äldre protokoll och standarder har inaktiverats. Ofta finns det en osäkerhet vilka system som kan tänkas använda dom fortfarande och vilken påverkan det har för verksamheten att stänga ner dessa.
Identity Security Posture
För att få det underlag som oftast krävs för att göra en förändring finns nu en lösning, vid namn Identity Security Posture som redovisar sårbarheter och vilka tjänster, enheter och användare som påverkas.
Det här är en del av Microsoft Cloud App Security (MCAS) och förutsätter då att man integrerat Azure ATP med MCAS.
Identity Security Posture ligger som en ny tjänst under Investigate i MCAS och identifierar i nuläget följande sårbarheter:
· entities exposing credentials in clear text
· unsecure Kerberos delegations
· Print spooler service on domain controllers
· dormant entities from sensitive groups
Respektive sårbarhet får en klassificering över hur kritisk den är för att stötta verksamheten att prioritera.
Genom att gå in på detaljer redovisas vilka objekt som är relaterade av sårbarheten och ger möjlighet att se detaljerna som Azure ATP identifierat.
Vi får även guidning över hur vi kan förhindra sårbarheten och möjligheten att via den här tjänsten få uppföljning om vi lyckats motverka den.
Som exempel har vi ofta detekterat att det går lösenord i klartext när vi börjat utreda en ny kund och första utmaningen handlar om att utreda vad som kommer påverkas i verksamheten om vi förhindrar detta. Tack vare den här lösningen får vi en insyn över vilka servrar och konton som är inblandade. På så sätt kan vi involvera tjänsteägare för att först lösa verksamhetsbehoven, för att sedan motverka sårbarheten. Exemplet nedan visar detaljer över vilka konton och servrar som använder RC4, DES och kan följa upp aktiviteterna som Azure ATP fångat upp.
Ett annat bra exempel handlar om våra känsliga konton med höga rättigheter. Exempelvis domänadministratörer eller andra känsliga konton. Här kommer oftast frågor som: Används fortfarande kontot eller när används det senast?
Här redovisas precis detta och ger oss underlag för att kunna ta ett beslut om kontot ska åtgärdas.
Anders Olsson
anders.olsson@onevinn.se
