Академический Документы
Профессиональный Документы
Культура Документы
PARA A SEGURANÇA DO
ACTIVE DIRECTORY
A anatomia de uma ameaça
interna e as melhores estratégias
de defesa
Introdução
"Quer dizer que este foi um trabalho interno?"
2
Os ataques internos e seus impactos
OS PRINCIPAIS ENVOLVIDOS NOS ATAQUES INTERNOS
Muitas organizações acreditam que ações inadequadas de funcionários internos, tanto acidentais
quanto mal-intencionadas, podem causar tantos danos quanto os ataques iniciados externamente.
A atenção é voltada aos funcionários antigos e atuais descontentes ou que não receberam
treinamento adequado, mas os prestadores de serviços e parceiros de
negócios desempenham um crescente papel na prática e na facilitação
dos crimes cibernéticos. Além disso, o roubo de credenciais de todos
esses tipos de funcionários internos está cada vez mais comum.
O custo médio total de uma
violação de dados nos EUA
Os ataques internos assumem vários dos mesmos formatos que outros
crimes, inclusive:
A quanto isso chega? De acordo com o Ponemon Institute, o custo médio total de uma violação de
dados nos EUA é de US$ 7,35 milhões, enquanto que a média global é de US$ 3,62 milhões. Mas
mais da metade das empresas admitem francamente que não fazem ideia de como estimar suas
possíveis perdas devido a um ataque interno.
3
Active Directory:
as joias da coroa
POR QUE O AD É UM ALVO PRINCIPAL
Como o Active Directory é o principal diretório de autenticação e
autorização para mais de 90% das empresas em todo o mundo e cerca
de 500 milhões de contas ativas de usuários, ele se torna um alvo
comum para os ataques cibernéticos. Na verdade, mais de 95 milhões
de contas do AD sofrem ataques cibernéticos diariamente, de acordo
com a Microsoft.
4
Para resolver esse problema, acima de 75% dos clientes com mais
de 500 funcionários que utilizam o Office 365 sincronizam o AD local
com o Azure AD para permitir uma única autenticação, criando assim
um ambiente de AD híbrido. Especificamente, com o uso do Azure
AD Connect, as organizações integram os dois diretórios, o que
mantém ambos os ambientes sincronizados e oferece aos usuários
a possibilidade de fazer login sem interrupções no Office 365 com o
uso de suas credenciais locais. Como se trata de uma sincronização
unidirecional com o AAD, é importante lembrar que o seu ambiente
AD local determina o conteúdo do AAD. Portanto, o seu AD local se
torna o ponto principal para administrar os controles de acesso, criar
controles de compensações de segurança e determinar como o acesso
é concedido no AAD e nos aplicativos associados.
5
Os desafios da
segurança do AD
O AD foi criado para ser seguro, mas a segurança é violada quando
o acesso elevado está nas mãos erradas. Mesmo em ambientes AD
híbridos, em que a Microsoft garante um contrato de nível de serviço
de 99,9% com garantia financeira para o Office 365, o controle de
alterações, a governança de acesso e a segurança geral de dados ainda
são responsabilidades do cliente.
6
A auditoria do Azure AD nativo possui seus próprios desafios, que incluem:
• Não há uma forma de monitorar as políticas de auditoria para saber se elas foram alteradas Monitorar os registros de
ou desativadas por outros administradores. eventos do AD e do Azure
• Os dados de auditoria são muito básicos, não possuem nomes de exibição propícios AD é um começo, mas
e o formato muda constantemente. Na verdade, não há um formato 5W normalizado
(quem, o quê, quando, onde, workstation/origem) entre os eventos.
muitas ameaças internas
• Os dados de auditoria são mantidos por um tempo limitado antes de serem perdidos
se aproveitam dos eventos
permanentemente. que não estão registrados.
As ferramentas tradicionais de gerenciamento de eventos e informações de segurança (SIEM)
estão sujeitas a essas limitações da auditoria de registros nativos. Por exemplo, o registro de
auditoria nativa indica que um Objeto da Diretiva de Grupo (GPO) foi modificado, mas não registra
quais configurações foram alteradas ou os seus valores antes e depois da alteração, de forma que
a solução SIEM não consegue relatar esses detalhes críticos.
Mas o AD e o Azure AD não permitem que as organizações apliquem um modelo real de privilégio
mínimo. Dessa forma, os usuários geralmente possuem privilégios superiores e mais acesso do
que o necessário para a realização de seus trabalhos. Por exemplo, se um administrador deseja
atribuir a capacidade de AD ao funcionário do Help Desk, JSmith, para mover os objetos de usuário
da unidade organizacional (OU) de Planejamento para a OU de Engenharia, o administrador teria
de conceder a JSmith o direito de excluir qualquer objeto do usuário da OU de Planejamento e o
direito de fazer gravações na OU de Planejamento. Isso inclui consideravelmente mais permissões
do que JSmith precisaria (e que o administrador realmente gostaria de conceder) para executar a
ação e aumenta significativamente a exposição da organização ao risco.
Além disso, é difícil aplicar a fidelidade de dados e os padrões de nomenclatura da empresa no AD,
o que aumenta os desafios de fazer auditoria em ativos e analisar direitos.
7
FALTA DE RECURSOS DE AUTOMAÇÃO NATIVA
A segurança exige que os controles de acesso sejam continuamente avaliados e corrigidos,
mas o AD e o AAD não fornecem nenhuma maneira de automatizar esses processos. Eles
oferecem somente visibilidade limitada sobre quem tem acesso ao quê, como essas pessoas
receberam o acesso, quem possui permissões elevadas e quais objetos e sistemas estão
vulneráveis às ameaças.
Além disso, por uma questão de confiança e conveniência nos negócios, é comum que os
funcionários, prestadores de serviço e parceiros de negócios saibam e compartilhem entre si as
suas credenciais privilegiadas do AD, o que aumenta o risco de uso indevido por funcionários
internos, seja acidental ou mal-intencionado.
8
Observe um ataque
ser revelado
Considere esta história fictícia que descreve como uma ameaça interna
causada por controles de segurança fracos pode afetar o AD.
JSmith faz login na rede da Acme de sua casa com suas credenciais
de administrador ainda ativas e cria uma nova conta de administrador,
caso a Acme remova sua conta original de administrador ou redefina
sua senha. Para evitar chamar atenção, ele chama a nova conta de
corpsvcbk1, que segue a convenção de nomenclatura da Acme para as
contas de serviço de backup.
9
ETAPA 2. OBTENÇÃO DE PRIVILÉGIOS DE Então, ele encontra o servidor de arquivos (FSRV1) em que a Acme
ADMINISTRADOR DE DOMÍNIO armazena informações de identificação pessoal (PII) e conecta-se
localmente a ele. Novamente, eliminando seus rastros, ele adiciona sua
JSmith sabe que o sistema de monitoramento genérico da Acme
conta de administrador a um grupo aninhado que é membro do grupo
está configurado para monitorar alterações diretas no grupo de
de administradores integrado no FSRV1. Na pasta Contas a receber, ele
administradores de domínio, então, ele não pode adicionar corpsvcbk1
encontra o arquivo com as PII. Para acessá-lo, ele adiciona a sua conta
a esse grupo para obter os privilégios necessários para roubar dados
de administrador ao grupo de Contas a receber; isso evita que a sua
confidenciais. Em vez disso, ele adiciona corpsvcbk1 a um grupo que
conta seja exibida na lista de controles de acesso, mas ainda obtém
é membro dos administradores de domínio, o que fornece a ele os
todos os direitos ao arquivo. Ele abre o arquivo, verifica se é o que está
mesmos privilégios sem gerar nenhum alerta.
procurando e o copia para um drive de rede mapeada em seu notebook.
ETAPA 3. ROUBO DOS DADOS
ETAPA 4. CONFIGURAÇÃO DE INTERCEPTAÇÃO NÃO
Com a sua nova conta de administrador, JSmith localiza o SQL Server AUTORIZADA
(SQL1) em que a Acme armazena os dados de cartão de crédito. Ele
Em seguida, JSmith modifica uma chave de registro que reduz o
modifica o GPO que impede que os administradores se conectem a
LmCompatibilityLevel e a segurança da sessão o bastante para que ele
determinados bancos de dados e servidores de arquivo e, em seguida,
instale um malware que secretamente intercepte dados enquanto o SQL1
conecta-se localmente ao SQL1. Ele adiciona a sua conta corpsvcbk1
e FSRV1 fazem a autenticação das credenciais. Isso permite que, no
ao grupo de administradores locais no SQL1 e atribui a ela a função
futuro, ele decifre outras credenciais quando os administradores fizerem
de administrador de sistemas no SQL Server. Ao vasculhar a rede, ele
a autenticação. Dessa forma, mesmo que a Acme exclua a sua conta falsa
encontra o banco de dados de cartão de crédito descriptografado
corpsvcbk1, ele ainda poderá roubar mais dados de cartões de crédito.
e exporta todos os registros para o seu notebook por meio de
conexão remota. ETAPA 5. LIMPEZA
JSmith remove a sua conta corpsvcbk1 dos grupos de administradores,
limpa os registros para apagar as evidências do seu ataque e deixa o
As políticas de segurança e os malware na rede para exploits futuros.
10
Melhores
práticas para a
segurança do AD
Não há uma abordagem que garanta
completamente a segurança do Active
Directory, mas as organizações podem se
proteger contra ameaças internas ao AD com
essas importantes melhores práticas:
11
2. FORTALEÇA O CONTROLE DE ACESSO A CREDENCIAIS
E SISTEMAS CONFIDENCIAIS
Para minimizar ainda mais o risco de comprometimento dos seus dados
mais valiosos, exija a autenticação multifator em sistemas confidenciais
e certifique-se de que os administradores usem jumpboxes durante
a conexão com o uso de contas privilegiadas e que eles façam login
somente em workstations protegidas.
12
4. ALERTE SOBRE ATIVIDADE SUSPEITA faça relatórios regulares sobre contas inativas e desativadas e limpe-as
antes que elas possam ser exploradas.
Além do atendimento de segundo nível de privilégio, você também
deve procurar por outros sinais de invasores ativos em seu ambiente. Por último, mas não menos importante, faça relatórios frequentes sobre
Certifique-se de gerar alertas sobre os seguintes sinais de acesso sistemas que não possuem os patches de segurança mais importantes e
anormal ou de invasor: recentes da Microsoft e corrija essa vulnerabilidade.
• Logins suspeitos em servidores confidenciais após o horário 6. AUTOMATIZE, APLIQUE E CORRIJA SUAS POLÍTICAS
comercial normal DE SEGURANÇA
• Alterações de senhas feitas em contas confidenciais e VIP Quando se trata de segurança, a automação é a sua melhor amiga.
por terceiros Complemente as ferramentas nativas com soluções que podem
detectar e impedir de forma automática intrusões não autorizadas
• Logins bem-sucedidos após diversas tentativas que falharam
a contas e grupos privilegiados e VIP, além de impedir que os
• Atribuição direta de direitos administrativos a qualquer usuário controles sejam ignorados ao aplicar o acesso baseado em regras a
recursos confidenciais.
• Consultas a protocolos LDAP em excesso ou atípicas, que podem
ser um sinal de reconhecimento e coleta de informações
13
Impeça também alterações não autorizadas em grupos empresariais importantes e a configurações
do GPO com o uso de uma lista branca de usuários autorizados. Com a lista branca, mesmo
que funcionários internos ganhem direitos de administrador de credenciais comprometidas, as
tentativas de alteração feitas às associações em grupos privilegiados, como Administradores de
domínio e Administradores empresariais, serão negadas. A lista branca também é aplicada às
alterações feitas nas configurações confidenciais do GPO, como desativar ou negar o login em
servidores importantes e enfraquecer a autenticação NTLM.
Teste continuamente o seu plano de continuidade dos negócios, inclusive todos os estágios
do seu plano de recuperação de desastres. Certifique-se de incorporar a recuperação em seu
processo de resposta a incidentes de segurança e confirme que o seu processo de recuperação
de desastres atende aos seus Recovery Time Objectives após um desastre ou uma violação.
Implemente um processo automatizado para desprovisionar usuários que inclua desativar ou excluir
contas, remover contas de todos os grupos e listas de distribuição, remover acesso remoto VPN e
notificar a gerência de instalações, segurança e HR automaticamente.
14
Conclusão
A ameaça interna ao AD é real, comum e onerosa. Um funcionário
insatisfeito ou ambicioso, principalmente um que tenha uma conta
administrativa, ou um invasor que comprometatal conta, pode explorar
vulnerabilidades técnicas e fatores humanos para lançar violações de
dados de dentro para fora.
15
SOBRE A QUEST © 2017 Quest Software Inc. TODOS OS DIREITOS RESERVADOS.
Na Quest, nosso propósito é resolver problemas complexos com Este guia contém informações confidenciais protegidas por direitos autorais. O software
descrito neste guia é fornecido com uma licença de software ou um contrato de
soluções simples. Fazemos isso com uma filosofia focada em ótimos confidencialidade. Este software deve ser usado ou copiado somente de acordo com
produtos, ótimo serviço e uma meta geral de simplicidade para fazer os termos do contrato aplicável. Nenhuma parte deste guia pode ser reproduzida ou
transmitida em qualquer forma ou por qualquer meio, eletrônico ou mecânico, inclusive
negócios. Nossa visão é oferecer uma tecnologia que elimine a fotocópia e gravação para qualquer propósito exceto o uso pessoal pelo comprador, sem
necessidade de escolher entre eficiência e eficácia, o que significa a permissão por escrito da Quest Software Inc.
que você e sua organização podem gastar menos tempo com a As informações fornecidas neste documento referem-se aos produtos da Quest Software.
administração da TI e mais tempo com a inovação dos negócios. Este documento, isoladamente ou em conjunto com a venda de produtos da Quest
Software, não concede nenhuma licença, expressa ou implícita, por preclusão ou de
qualquer outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME
Se você tiver dúvidas sobre o possível uso deste material, entre em
DEFINIDO NOS TERMOS E CONDIÇÕES ESPECIFICADOS NOS CONTRATOS DE
contato com: LICENÇA PARA ESTE PRODUTO, A QUEST SOFTWARE NÃO ASSUME QUALQUER
RESPONSABILIDADE E RENUNCIA A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA
Quest Software Inc. OU ESTATUTÁRIA, RELACIONADA A SEUS PRODUTOS, INCLUINDO, ENTRE OUTROS,
A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO
Attn: LEGAL Dept PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA A QUEST SOFTWARE SERÁ
4 Polaris Way RESPONSÁVEL POR QUAISQUER DANOS DIRETOS, INDIRETOS, CONSEQUENCIAIS,
PUNITIVOS, ESPECIAIS OU INCIDENTAIS (INCLUINDO, SEM LIMITAÇÃO, DANOS POR
Aliso Viejo, CA 92656
PERDA DE LUCROS, INTERRUPÇÃO DE NEGÓCIOS OU PERDA DE INFORMAÇÕES)
DECORRENTES DO USO OU IMPOSSIBILIDADE DE UTILIZAR ESTE DOCUMENTO,
Acesse nosso site (https://www.quest.com/br-pt/) para obter informações MESMO QUE A QUEST SOFTWARE TENHA SIDO AVISADA DA POSSIBILIDADE DE TAIS
sobre escritórios regionais e internacionais. DANOS. A Quest Software não se responsabiliza por qualquer garantia ou declaração
referente à exatidão ou à integridade deste documento e reserva-se o direito de fazer
alterações em especificações e descrições de produtos a qualquer momento, sem
aviso prévio. A Quest Software não se compromete a atualizar as informações contidas
neste documento.
Patentes
A Quest Software tem orgulho da sua tecnologia avançada. Este produto pode possuir
patentes e patentes pendentes. Para obter informações atualizadas sobre as patentes
aplicáveis a este produto, acesse nosso site em www.quest.com/legal
Marcas comerciais
Quest e o logotipo Quest são marcas comerciais e marcas registradas da Quest Software
Inc. Para conferir a lista completa de marcas da Quest, acesse www.quest.com/legal/
trademark-information.aspx. Todas as outras marcas comerciais pertencem aos seus
respectivos proprietários.
Ebook-InsiderThreats-US-GM-pt_BR-WL-30924
16