Silverfort is momenteel een van de meest onderbenutte platforms op het gebied van bedrijfsbeveiliging. Uit een rapport van Silverfort en Osterman Research blijkt dat 83% van de organisaties wereldwijd te maken heeft gehad met datalekken als gevolg van gecompromitteerde inloggegevens. Toch benutten de meeste van diezelfde organisaties Silverfort slechts voor een fractie van het geconfigureerde potentieel.
Een deel van het probleem ligt in de manier waarop SOC (Security Operations Center) en MDR (Managed Detection & Response) aanbieders het platform gebruiken. De andere helft ligt bij het platform zelf: zonder specifiek onderhoud raakt Silverfort uit koers. Beleidsregels raken verouderd, nieuwe aanvalsvlakken blijven ongedekt en de telemetrie die de SOC ontvangt, verslechtert na verloop van tijd.
ACEN lost beide problemen op. Ons gespecialiseerde Silverfort-team houdt het platform up-to-date en breidt de dekking uit naarmate uw omgeving verandert. En dankzij deze integratie werken beide teams als één geheel. De experts van Silverfort voorzien ons 24/7 SOC van nieuwe telemetrie en directe kennis over de AD-aanvalspatronen die zij bij hun klanten waarnemen, en onze analisten ondernemen daarop actie.
Wat de meeste organisaties doen: Het Log-Only Probleem
De meeste MDR-diensten en -organisaties die Silverfort ondersteunen, doen er precies één ding mee: ze voeren logbestanden in hun SIEM in. Daarmee krijg je authenticatie. Dat is beter dan niets, maar het laat het grootste deel van de waarde onbenut.
Wat je op logniveau mist, is context. Silverfort registreert elk authenticatieverzoek in alle omgevingen door native te integreren met alle identiteitsproviders, inclusief Active Directory. Dat zijn niet alleen cloud-logins. Het gaat ook om PsExec, RDP, PowerShell-remoting, toegang tot gedeelde bestanden, authenticatie voor legacy-applicaties en command-line tools. Dit alles wordt gecorreleerd met gedragsbaselines en risicoscores.
Elke login, elk tokenverzoek, elke API-call en elke domeinoverschrijdende hop wordt in context vastgelegd. Silverfort correleert signalen op basis van protocolafwijkingen, gedragsreferenties voor identiteiten, risicoscores en aanvullende indicatoren. Afwijkingen worden onmiddellijk gesignaleerd.
Wanneer het alleen als passieve bron voor logs wordt gebruikt, loopt u een van de meest geavanceerde engines voor threat hunting en ITDR (Identity Threat Detection en Response) mis die er zijn.
What Changes With Our Full Integration: True Identity Security & Response
Onze volledige MDR-integratie met Silverfort omvat zowel de on-premise- als de SaaS-versie van het platform.
Wat detectie betreft, heeft ons SOC directe toegang tot de Active Directory-analyses van Silverfort. Dit omvat kerberoasting, NTLM-relay, AS-REP-roasting, misbruik van Active Directory Certificate Services en lopende laterale bewegingen. Aanvalspatronen die opgaan in de normale AD-ruis worden zichtbaar. Afwijkend gedrag van serviceaccounts, schendingen van de toegangsregels tussen verschillende niveaus en verdachte authenticatiekettingen worden allemaal meegenomen in onze workflows voor het opsporen van bedreigingen.
Het tweede onderdeel is inperking. Hier wordt het verschil tussen Silverfort en de standaardcontroles van AD of Entra ID duidelijk. Bij AD alleen is het uitschakelen van een gebruikersaccount je belangrijkste middel. Met Entra ID krijg je Conditional Access, dat cloudresources redelijk goed dekt. Maar geen van beide biedt u inline, realtime handhaving in de volledige hybride omgeving.
Ons SOC maakt gebruik van de inperking van Silverfort om laterale bewegingen direct te stoppen, zelfs via tools als PowerShell of PsExec, zonder dat er vooraf een langdurig onderzoek nodig is. De toegang wordt onmiddellijk geblokkeerd om verdere verspreiding over on-premise resources, legacy-applicaties en clouddiensten tegelijkertijd te voorkomen.
"We hebben nauw samengewerkt met het productteam van Silverfort om de volledige reikwijdte van hun API-mogelijkheden te benutten. Deze mogelijkheden worden door de meeste organisaties die op logniveau werken vandaag nog niet ingezet. Dit vereiste aan beide kanten een grote technische inspanning."
Sepp Janssens, CTO & Cyber Security Advisor bij ACEN
Tijdens een actief incident maken onze teams gebruik van de ‘freeze-modus’ van Silverfort om ransomware en laterale bewegingen onmiddellijk in te dammen, waarbij ze het mogelijk hebben om blokkeringsbeleidsregels af te dwingen in zowel verouderde als moderne omgevingen.
Entra ID Conditional Access heeft geen toegang tot uw legacy-applicaties op locatie. Het duurt even voordat wijzigingen in het AD-groepsbeleid worden doorgevoerd. Zonder Silverfort kan geen van beide een actieve poging tot laterale verspreiding op de authenticatielaag in realtime blokkeren.
Met deze mogelijkheden biedt ACEN echte Identity Threat Detection and Response.
Silverfort en MDR al in gebruik, of klaar om te starten?
Heb je Silverfort en wil je de integratie verdiepen en uitbreiden? Of wil je je Identity Security verbeteren? Neem contact op of lees meer over onze MDR service.