如需獲得最佳網頁瀏覽體驗,請使用 IE 11 或更高版本、Chrome、Firefox 或 Safari。

SpecterOps BloodHound Enterprise

更大限度减少攻击路径,并全方位保护Active Directory和Azure。攻击路径管理是保护Active Directory (AD)和Microsoft 365环境以抵御攻击的重要组件。Microsoft报告称仅2021年就有超过250亿次针对企业帐户的攻击尝试,因此保护攻击路径至关重要。SpecterOps BloodHound Enterprise通过确定攻击路径瓶颈的优先级并进行量化,为您提供确定并消除具有最高泄露风险的路径,从而大幅简化了保护过程。
How to identify Active Directory attack paths before cyberattackers do 02:44
传统上,攻击路径管理一直充满挑战。为什么?因为作为安全践行者,您通常习惯于利用列表展开思考 — 检查数以千计的常规配置问题。另一方面,攻击者则利用图形展开思考。这种思考角度使他们更加轻松地找到有效的攻击路径。SpecterOps BloodHound Enterprise可为您提供所有AD和Azure攻击路径的图形映射,使您可以轻松确定优先事务并消除攻击者可以利用的大多数重要途径,从而助您大幅降低攻击风险。

主要优势

持续攻击路径映射

直观显示AD和Azure中的每一种关系和连接,使您可以轻松确定新的和现有的攻击路径。

确定瓶颈优先顺序

衡量攻击路径中任何瓶颈的影响,并确定最佳位置来阻止最多的途径。

实用补救指导

获得实用补救指导以及清晰的说明,无需对AD进行大量更改。

AD安全状况衡量

建立AD和Azure的连续基准,以监控和衡量移除攻击路径后所降低的风险。

卓越的Azure AD可见性

Azure使用不同的技术来管理身份和访问权限,但是很容易受到与AD同类型的身份攻击路径的攻击。

功能

重要资产的俯视图

SpecterOps BloodHound Enterprise为攻击路径管理提供巨大的支持,它可显示AD和Azure(Azure AD和Azure Resource Manager)中重要资产的超集 — 这犹如皇冠上的宝石,一旦被网络攻击者控制,就意味着满盘皆输。然后,它会从该视角映射每个攻击路径。作为防御者,保护攻击路径需要了解每一个可能的途径,而SpecterOps BloodHound Enterprise可以确定混合环境中的每个关系,并明确说明攻击者如何滥用任何一组主体来获得对重要资产的访问权限。

确定并量化泄露的瓶颈

但是,映射重要资产和路径只是攻击路径管理的一部分。SpecterOps BloodHound Enterprise通过量化这些瓶颈来更进一步。例如,它可以告诉您92%的Active Directory用户和计算机能够通过应用到此域控制器的ACL来危害域。它非常具体地说明了相关风险,以及补救攻击路径和消除下游错误配置所需的特定权限。

量化对安全状况的影响

由于SpecterOps BloodHound Enterprise会衡量每个风险,您将看到组织在混合AD环境中存在的整体风险。但是在您通过消除瓶颈来提升攻击路径管理时,可以查看这些更改对总体安全状况的影响。例如,通过保护攻击路径,您可以大幅降低遭受攻击的风险。大多数公司最初的风险敞口介于70%和100%之间。目标是将贵组织的风险敞口降至20%以下,而SpecterOps BloodHound Enterprise可助您做到这一点。
攻击路径管理软件实现全面的风险评估和威胁监控

全面的风险评估和威胁监控

将SpecterOps BloodHound Enterprise与Change AuditorOn Demand Audit搭配使用,可以打造全面的风险评估和威胁监控解决方案。两者珠联璧合,使您可以完全审核AD和Azure AD环境中的所有安全更改(包括用户和组更改)以及漏洞,例如通过离线复制或未授权的域复制造成AD数据库渗漏。此外,您还能够及早检测威胁(包括未经授权的域复制、离线提取AD数据库以及GPO链接),从而减轻甚至避免代价高昂的勒索软件攻击。
通过保护GPO来消除攻击路径

通过保护GPO来消除攻击路径

将SpecterOps BloodHound Enterprise与GPOADmin搭配使用时,您将能够通过保护GPO来提升攻击路径管理。这些解决方案使您可以在部署之前确保更改遵循更改管理最佳实践,这是Active Directory组策略管理中的重要一步。此外,您能够通过自动化认证持续验证GPO — 这是任何第三方组策略管理解决方案的必备功能。不仅如此,您还能够在GPO更改产生意外影响时快速恢复到正常工作的GPO,从而在数秒内让您的环境继续顺畅运行。
风险保护和补救保险

风险保护和补救保险

为实现真正的风险保护和补救保险,可将SpecterOps BloodHound Enterprise与Recovery Manager for Active Directory Disaster Recovery EditionOn Demand Recovery结合使用。此产品组合在备份混合Active Directory和快速从任何错误、损坏或灾难中恢复方面,可为您提供全面的功能。此外,可以通过将AD的在线状态与其备份(或多个备份)进行比较,突出显示自上次备份以来做出的更改。除此之外,您还可以还原AD中的任何对象,包括用户、属性、组织单元(OU)、计算机、子网、站点、配置和组策略对象(GOP)。

教程

持续攻击路径映射
确定瓶颈
重要资产的俯视图
探索复杂的关系
全面的威胁监控
确定补救优先级
实用补救指南
消除GPO攻击路径
风险保护和保险
持续攻击路径映射

持续攻击路径映射

直观显示重要AD和Azure资产的每个攻击路径,以及所有复杂关系和连接。

技术规格

SpecterOps BloodHound Enterprise要求安装SharpHound Enterprise内部部署代理,这是部署中的一个重要元素,可以收集有关您环境的数据并将其上传到BloodHound Enterprise实例以进行处理和分析。SharpHound Enterprise通常按域部署在单个加入域的Windows系统上,并以域用户帐户身份运行。

AzureHound Enterprise服务会收集有关您的Azure环境的数据并将其上传到BloodHound Enterprise实例,以进行处理和分析。AzureHound Enterprise通常按Azure租户部署在单个Windows系统上,并且能够以SharpHound Enterprise服务帐户身份在同一系统上运行。

系统:
  • Windows Server 2012+
  • 16 GB RAM
  • 100 GB硬盘空间
  • .NET 4.5.2+
网络:
  • 443/TCP上TLS到租户URL(由客户团队提供)
  • 443/TCP上TLS到Azure租户(如果适用)
权限:

SharpHound(内部部署Active Directory连接)

  • 添加到本地管理员组的服务帐户

AzureHound(Azure收集)

  • Azure AD租户上的目录读取器
  • 所有Azure订阅上的读取器
  • Microsoft图形上的Directory.Read.All

Active Directory枚举会显示BloodHound Enterprise所需的大多数基本信息。此外,SharpHound Enterprise会枚举所有加入域的Microsoft系统上的本地组和会话,以提供出色的可见性。

收集类型

服务帐户权限

服务网络访问权限

Active Directory

有权读取已删除对象的域用户帐户。

389/TCP上LDAP到至少一个域控制器

本地组和用户会话(特权)

工作站和服务器上的本地管理员

445/TCP上SMB到所有加入域的系统

Azure

Azure AD租户上的目录读取器,所有Azure订阅上的读取器,Microsoft图形上的AppRoleAssignment.ReadWrite.All和RoleManagement.Read.All

443/TCP上TLS到租户

Active Directory安全组:它们是什么以及如何提高安全性

Active Directory安全组:它们是什么以及如何提高安全性

Active Directory安全组目前在大多数组织中都发挥着重要作用,但是人们对于它们存在一些困惑。
Matthew Vinton
增强Active Directory安全性:有关实施Zero Trust模式的3个最佳实践

增强Active Directory安全性:有关实施Zero Trust模式的3个最佳实践

如果您对Active Directory安全性感兴趣,则肯定听说过Zero Trust模式。
Matthew Vinton
Kerberos身份验证:工作原理以及如何大幅提升安全性

Kerberos身份验证:工作原理以及如何大幅提升安全性

自Windows Server 2000起,Kerberos身份验证已成为Microsoft的默认身份验证方式。
Bryan Patton
NTLM身份验证:它是什么以及为何应避免使用它

NTLM身份验证:它是什么以及为何应避免使用它

NTLM是一种旧的技术,在Windows NT 3.1中重新引入,那么为何今天要介绍它?
Bryan Patton
什么是多因素身份验证(MFA),使用它有哪些优势?

什么是多因素身份验证(MFA),使用它有哪些优势?

多因素身份验证(MFA)究竟是什么?有哪些技术可用于实施它,这些技术存在哪些利弊?此博客回答了上述所有问题。
Matthew Vinton
Active Directory迁移中的主要安全注意事项

Active Directory迁移中的主要安全注意事项

您的经理说,不用担心。您尽可花费所需的时间来迁移Active Directory。
Bryan Patton
Active Directory域服务是什么,如何保护域控制器?

Active Directory域服务是什么,如何保护域控制器?

今天,我要回答您在Active Directory域服务方面可能存在的所有主要问题?
Bryan Patton
黄金票据攻击:它们如何运作,以及如何抵御它们

黄金票据攻击:它们如何运作,以及如何抵御它们

黄金票据攻击具有特别丰富多彩(双关语)的名称,而且是特别危险的攻击。
Bryan Patton
什么是KRBTGT,以及为何需要更改密码?

什么是KRBTGT,以及为何需要更改密码?

KRBTGT是用于Kerberos的Microsoft实施的帐户,也是默认的Microsoft Windows身份验证协议。
Bryan Patton
有效组策略管理的4步计划,以及更高的IT安全性

有效组策略管理的4步计划,以及更高的IT安全性

组策略有多么重要?如果您的锁定策略发生更改,并且黑客能够无限制地尝试猜测用户的密码,可能会发生什么情况?
Jennifer LuPiba

立即开始使用

全面的攻击路径管理。