Bij aanvallen op identiteitsinfrastructuren kan elke eerste toegang snel escaleren tot een kritisch incident wanneer een aanvaller domeinbeheerrechten verkrijgt. Met deze rechten beheerst de aanvaller het Active Directory-domein volledig: hij kan groepslidmaatschappen en Access Control Lists (ACL's) wijzigen, Kerberos-tickets aanmaken, directorygeheimen repliceren en beleidsregels via Group Policy Objects (GPO's) doorvoeren.

Wat een domeincompromis bijzonder uitdagend maakt, is de snelheid waarmee dit kan gebeuren. In veel gevallen worden domeinreferenties direct na de eerste toegang buitgemaakt en vrijwel meteen misbruikt, nog voordat verdedigers het incident volledig kunnen onderzoeken. Het reageren op zo'n compromis is complex, omdat het simpelweg uitschakelen van domeincontrollers, service-accounts of identiteitsinfrastructuur risico's voor de continuïteit van de bedrijfsvoering met zich meebrengt. Bovendien verspreiden gecompromitteerde referentiegegevens zich snel en kunnen ze herhaaldelijk worden gebruikt om toegang uit te breiden. Het herstellen van een vertrouwde staat vereist daarom vaak ingrijpende acties zoals krbtgt-rotatie, GPO-opruiming en ACL-validatie, wat extra tijd en inspanning kost in een al stressvolle situatie.

Deze uitdagingen onderstrepen de noodzaak van een proactieve aanpak om credential-gebaseerde aanvallen tijdens het plaatsvinden te verstoren en in te dammen. De predictive shielding-functionaliteit van Microsoft Defender, onderdeel van automatic attack disruption, speelt hierop in. Deze technologie voorspelt waar een aanval waarschijnlijk naartoe beweegt en voert tijdig versterkende maatregelen uit om credentialmisbruik te blokkeren, ook bij hooggeprivilegieerde accounts zoals domeinbeheerders. Dit gebeurt vrijwel in realtime, waardoor het voordeel naar de verdedigers verschuift.

In een eerder voorbeeld toonde Microsoft hoe predictive shielding een door mensen bediende ransomware-aanval kon verstoren. Dit artikel bespreekt een praktijkvoorbeeld van een Active Directory-domeincompromis, waarbij het cruciale moment wordt belicht waarop een aanvaller domeincontrole verkrijgt. De technische details van het incident illustreren de werkwijze van de aanvaller, de operationele uitdagingen voor verdedigers na een domeincompromis en de waarde van de proactieve, op blootstelling gebaseerde inperking die predictive shielding biedt.

Predictive shielding werkt door post-breach activiteiten te detecteren die sterk wijzen op credentialdiefstal op een apparaat. Vervolgens beoordeelt het welke hooggeprivilegieerde identiteiten waarschijnlijk zijn blootgesteld en past het beperkingen toe op deze accounts. Dit vermindert de mogelijkheid van de aanvaller om zich lateraal te verplaatsen en kritieke identiteitsoperaties uit te voeren, terwijl het incident wordt onderzocht en opgelost. Het doel is de zogenaamde 'speed gap' te dichten, waarbij aanvallers nieuwe credentials sneller kunnen hergebruiken dan verdedigers kunnen reageren. Deze functionaliteit is beschikbaar voor Microsoft Defender for Endpoint P2-klanten die aan de vereisten voldoen, en biedt een belangrijke aanvulling op bestaande beveiligingsmaatregelen.