SpecterOps BloodHound Enterprise

攻撃パスを最小化し、あらゆる角度からActive DirectoryおよびAzureを保護します。攻撃パスの管理は、攻撃からActive Directory（AD）およびMicrosoft 365環境を守るための非常に重要な要素です。Microsoftによる報告で、2021年だけで企業アカウントに対する攻撃試行が250億回以上あったことを考慮すると、攻撃パスの保護は不可欠です。SpecterOps BloodHound Enterpriseは、攻撃パスのチョークポイントの優先順位付けと定量化によってこのプロセスを大幅に簡素化し、最も露出度が高くリスクの高いパスを特定して排除するために必要な情報を提供します。

How to identify Active Directory attack paths before cyberattackers do

02:44

営業担当者へのお問い合わせ

Nav Menu

営業担当者へのお問い合わせ

従来の方法では攻撃パスの管理は困難でした。なぜでしょうか? これは、多くの場合、セキュリティ担当者がリスト形式で数千件もの一般的な設定の問題をチェックすることに慣れてきたからです。これに対し、攻撃者はグラフで考えます。グラフで考えることで、攻撃者は有効な攻撃パスを見つけられるようになります。SpecterOps BloodHound Enterpriseは、お客様がADとAzureのすべての攻撃パスをグラフィカルにマッピングし、攻撃者が利用できる最も重要な手段を簡単に特定し、優先順位付けし、排除できるようにすることで攻撃のリスクを大幅に削減します。

主なメリット

攻撃パスの継続的なマッピング

ADおよびAzureのすべての関係と接続を可視化し、新しい攻撃パスや既存の攻撃パスを簡単に特定できるようにします。

チョークポイントの優先順位付け

攻撃パス内の任意のポイントの影響を測定し、最大数のパスをブロックするための最適な場所を特定します。

重要な資産の保護

すべての重要なTier Zero資産を識別し、On Demand Auditとの統合により、資産が侵害されたことを示す疑わしいアクティビティの発生を自動的に監視します。

実践的な修復ガイダンス

わかりやすい手順の実践的な修復ガイダンスを提供します。ADを大幅に変更する必要はありません。

包括的な修復分析

On Demand Auditの詳細なユーザ活動履歴を活用し、パスへのアクセスを削除する前に攻撃パスのエッジを調査することで、修復による予期しない結果の発生を確実に防ぎます。

ADセキュリティ体制の測定

ADおよびAzureの継続的なベースラインを確立し、攻撃パスの除去によるリスクの削減を監視および測定します。

Azure ADのこれまでにない可視性

AzureはIDとアクセスの管理にさまざまな技術を使用していますが、ADと同じタイプのID攻撃パスに対しては脆弱です。

機能

重要な資産のトップダウンビュー

SpecterOps BloodHound Enterpriseは、サイバー攻撃者に支配権を握られるとゲームオーバーとなるADおよびAzure（Azure ADおよびAzure Resource Manager）の重要な資産のスーパーセットを示すことで攻撃パスの管理を強力にサポートします。その後、このビューから下に向かうすべての攻撃パスをマッピングします。防御側が攻撃パスを保護するためには、可能なすべてのパスを把握する必要があります。SpecterOps BloodHound Enterpriseは、ハイブリッド環境全体のあらゆる関係を特定し、攻撃者がプリンシパルのセットを悪用してこれらの重要な資産にアクセスする方法を明確にします。

露出チョークポイントの特定と定量化

ただし、重要な資産とパスのマッピングは攻撃パス管理の一部に過ぎません。SpecterOps BloodHound Enterpriseは、チョークポイントを定量化することでこれを一歩先へ進めます。例えば、この定量化により、Active Directoryのすべてのユーザとコンピュータの92 %が、この1つのドメインコントローラーに適用されたこの1つのACLを通じて、ドメインを侵害する能力を持っていることが分かります。また、これに関わるリスクの他、攻撃パスの修復やダウンストリームの設定ミスの軽減に対応するために必要となる固有の権限や特権についても極めて具体的に示します。

セキュリティ体制に対する影響の定量化

SpecterOps BloodHound Enterpriseはすべてのリスクを測定するため、組織がハイブリッドAD環境で抱えている総合的なリスクを確認できます。ただし、チョークポイントを排除することで攻撃パスの管理を向上させると、これらの変更が総合的なセキュリティ体制に与える影響を確認できるようになります。例えば、攻撃パスを保護することで攻撃への露出を大幅に改善できます。多くの企業では、最初はこのリスクが70～100 %となっています。目標は、組織のリスクを20 %未満に抑えることであり、このためにSpecterOps BloodHound Enterpriseが役立ちます。

包括的なリスク評価と脅威からの保護

SpecterOps BloodHound EnterpriseとOn Demand AuditおよびChange Auditorを統合することで、包括的なリスク評価および脅威監視ソリューションが確立されます。この組み合わせにより、Tier Zero資産すべてを特定し、その資産への全攻撃経路を計算して、攻撃経路での疑わしいアクティビティの発生を監視します。不正なドメインレプリケーション、ADデータベースのオフライン抽出、およびGPOリンクなどの脅威を早期に検出できます。特権グループやグループポリシーなど、機密性の高いオブジェクトへの変更をブロックし、特権昇格の試みを防ぐこともできます。また、出費を強制されるランサムウェア攻撃を軽減および回避することも可能です。

GPOの保護による攻撃パスの軽減

SpecterOps BloodHound EnterpriseをGPOADminと組み合わせて使用すると、GPOの保護により攻撃パスの管理を向上させることができます。これらのソリューションにより、Active Directoryグループポリシー管理の重要なステップである展開の前に、変更内容が変更管理のベストプラクティスに準拠していることを確認できます。さらに、自動アテステーションによりGPOを継続的に検証できます。これはサードパーティのグループポリシー管理ソリューションに欠かせません。さらに、GPOの変更によって望ましくない影響がある場合には動作中のGPOにすばやく戻すことができるため、数秒のうちに環境を円滑に再稼働させることができます。

リスクからの保護と修復の備え

真のリスクからの保護と修復の備えのために、SpecterOps BloodHound EnterpriseをRecovery Manager for Active Directory Disaster Recovery EditionまたはOn Demand Recoveryと組み合わせることができます。この製品の組み合わせにより、ハイブリッドActive Directoryのバックアップと、ミス、破損、または災害から迅速に回復するための包括的な機能が提供されます。さらに、ADのオンライン状態とバックアップとを比較したり、複数のバックアップを比較したりすることによって、前回のバックアップ以降に行われた変更をハイライトできます。また、ADのあらゆるオブジェクト（ユーザ、属性、組織単位（OU）、コンピュータ、サブネット、サイト、構成、グループポリシーオブジェクト（GPO）など）を復元できます。

ツアー

攻撃パスの継続的なマッピング

チョークポイントの特定

重要な資産のトップダウンビュー

複雑な関係の確認

包括的な脅威の監視

修復の優先順位付け

実践的な修復ガイダンス

GPO攻撃パスの軽減

リスクからの保護と備え