Недавно компания Tenable анонсировала доступность специализированного решения Tenable.ad для защиты Active Directory, а также новый набор плагинов для аудита Active Directory, который доступен всем пользователям Nessus, Tenable.sc и Tenable.io.
Чем отличаются эти два предложения? Разберем детально.
Плагины Active Directory (AD) в Nessus
Плагины Active Directory (AD) в Nessus — это 10 конкретных проверок на корректность конфигурации и наиболее типичные риски AD.
Вследствие того, что проверка корректности выполняется сканером Nessus локально на серверах с ролью контроллера домена, для работы этих плагинов сканеру Nessus требуется УЗ с права администратора домена.
Кроме того, поскольку Nessus сканирует хосты по запросу или по расписанию, данные проверки осуществляются точечно, в зависимости от периодичности сканирования соответствующей политикой сканера.
Набор плагинов доступен бесплатно всем пользователям Nessus, Tenable.sc и Tenable.io. Детальное описание плагинов для аудита Active Directory доступно здесь.
Решение Tenable.ad для обеспечения безопасности Active Directory
Tenable.ad, специализированное решение, подходит к вопросу обеспечения безопасности Active Directory более комплексно.
Во-первых, Tenable.ad включает в себя порядка 100 проверок на корректность конфигураций и возможные риски AD. Для каждого выявленного и потенциального риска Tenable.ad приводит детальное описание проблематики, ссылки на дополнительную информацию, примеры вредоносов и злоумышленников, использующих эту уязвимость, ссылки на соответствующие техники и тактики на сайте MITRE ATT&CK, детальное описание ошибочных компонентов или элементов, а также конкретные шаги по исправлению некорректной конфигурации. Все обнаруженные риски проранжированы по уровню критичности и по сложности их использования злоумышленником.
В дополнение к рискам и ошибкам конфигурации домена Tenable.ad выявляет рискованные доверенные связи между множеством доменов.
Во-вторых, помимо неверных конфигураций, Tenable.ad умеет выявлять атаки на AD в реальном времени по мере развития этих атак, в том числе DCSync, DCShadow, Golden Ticket и прочие.
Помимо этого, Tenable.ad предоставляет детальный аудиторский след всех изменений в AD, который невозможно получить в рамках обычного журналирования средствами Windows. Этот лог можно использовать как для расследования уже выявленных инцидентов, так и для хантинга за неизвестными AD-угрозами.
Весь описанный функционал работает непрерывно в реальном времени и не требует учетных записей с правами администратора домена. Tenable.ad является отдельным платным продуктом и лицензируется по числу всех enabled учетных записей в защищаемом домене.
Сравнение Tenable.ad и AD-плагинов в Nessus
Критерий | AD-плагины Nessus / TIO / TSC | Tenable.ad |
---|---|---|
Выявление ошибок и рискованных конфигураций AD | 10 проверок | Более 50 проверок |
Выявление атак на AD | Нет | Да, более 20 типов атак |
Аудиторский след всех изменений AD | Нет | Да |
Непрерывное выявление ошибок, рисков и атак в реальном времени | Нет, только в рамках ручных сканирований | Да |
Требования к учетной записи | УЗ с правами администратора домена | Не требуются права администратора домена |
Лицензирование | Бесплатно для всех пользователей Nessus, Tenable.io и Tenable.sc | Отдельный платный продукт |
Хотите узнать больше о Tenable.ad?
Закажите демо и презентацию Tenable по ссылке ниже.