一、沒有結合用戶行為分析(UBA)主動發現威脅
保護企業的資源免受破壞，需要結合企業內部、外部內部威脅并跨越眾多服務器或工作站收集和分析數據。然后，它需要與員工的行為模式進行關聯，進而發現異常和漏洞，這是一項耗時且復雜的任務，即使是最強大的安全工具很容易束手無策。

另一方面，如果將安全工具與用戶行為分析(UBA)相結合，它可以快速檢索海量數據，識別行為模式，并通過機器學習主動發現安全問題。

Gartner預測，到2024年底，75%的企業將從試點轉向正式開始采用人工智能技術。機器學習的使用有助于為每個員工建立行為基線，從中我們可以判斷什么是正常的，什么是不正常的。它包含了與文件訪問、進程運行、用戶管理活動、登錄行為等相關的各種模式。

ADAudit Plus 如何幫到您？

?它通過機器學習主動發現異常的操作行為，如登錄失敗次數突然劇增、異常登錄時間、用戶首次使用遠程訪問等。

?它可通過監控用戶行為的突然偏離來發現隱藏的威脅，例如服務器上運行的新進程或異常的賬戶鎖定時間或數量。

?它可每天更新正常的行為模式或基線，以提高ADAudit Plus威脅發現功能的準確性。

二、仍然使用傳統的身份驗證方式
使用傳統身份驗證會使企業易受勒索軟件攻擊并且數據容易被竊取。

在企業內部本地AD環境來說，傳統身份驗證是指使用不安全的協議，如NTLMv1、SMBv1以及TLS 1.0等。包括WannaCry和Petya在內的勒索軟件都會利用SMBv1漏洞在網絡設備間橫向擴散。此外，由于缺乏更安全的認證方式和存在弱密碼的情況，使得企業極易受到中間人攻擊。

另一方面, 在Azure中，傳統身份驗證是指來自舊軟件客戶端(如Office 2010)的身份驗證請求，這些客戶端使用SMTP、POP和 IMAP等協議。這是一種過時的身份驗證服務，最常用于訪問電子郵件服務器。

使用傳統身份驗證存在多種安全風險，因為它缺少保護憑據的額外安全層，即多因素身份驗證(MFA)。傳統的身份驗證協議無法強制執行MFA，這已成為攻擊者的主要攻擊目標。

超過99%的密碼噴射攻擊和97%的憑據填充攻擊是通過使用傳統身份驗證協議進行的。

阻止以上問題發生的第一步是確定這些協議在哪里使用，由誰使用，以及它們用于什么目的。一旦確定，分析并阻止對這些身份驗證協議的不當使用才能變得可行。

ADAudit Plus如何幫到您？

?可以審計所有使用NTLM身份驗證來訪問您的資源的用戶，并提供有關誰、何時以及從何處登錄的詳細信息。

三、域管理員太多
AD域管理員擁有在加入域的系統(如工作站和服務器)中執行重要任務的特權。當多人同時擁有這些權限時是十分危險的。

為用戶提升權限要十分慎重，定期檢查和管理域管理組非常重要。此外，監控高特權用戶的所有活動來發現異常非常重要。

ADAudit Plus如何幫到您？

?它可以幫助您有選擇地監控高特權用戶及其操作，以及誰在什么時間地點做了什么等詳細信息。

?它可以智能找出指定用戶行為中的突然偏差，找到惡意內部人員和被攻擊的用戶賬戶。