O Active Directory (AD) é usado por 90% das empresas como a principal fonte de confiança para identidade e acesso. Mas também pode ser um elo fraco, explorado em muitos ataques cibernéticos modernos.
Conversamos com Ran Harel, diretor sênior de gerenciamento de produtos da Semperis, para explorar os desafios na proteção de um ambiente AD híbrido e como as organizações podem defender melhor essa superfície de ataque expandida.
BN: O que são Active Directory e Azure Active Directory?
RH: Active Directory (AD) é uma tecnologia da Microsoft usada para gerenciar contas de usuários, sistemas de computador e outros recursos em uma rede. AD fornece autenticação centralizada e autorização para computadores baseados em Windows e pode ser usado para gerenciar uma variedade de recursos de rede, como impressoras e servidores de arquivos.
Azure Active Directory (Azure AD) é uma versão baseada em nuvem of AD que fornece gerenciamento de identidade e acesso para aplicativos baseados em nuvem, incluindo os próprios serviços online da Microsoft, como Office 365 e Microsoft 365. O Azure AD pode ser usado para gerenciar e proteger o acesso a recursos locais, em nuvem e híbridos e integra com uma variedade de plataformas e linguagens de programação.
BN: Por que o salto para sistemas baseados em nuvem para atender às demandas de um ambiente de trabalho híbrido criou vulnerabilidades crescentes?
RH: A rápida adoção de sistemas baseados em nuvem para dar suporte a ambientes de trabalho híbridos aumentou as vulnerabilidades de várias maneiras:
Falta de familiaridade com a segurança na nuvem: muitas organizações carecem de experiência interna para proteger adequadamente a nuvem baseados em sistemas, levando a configurações incorretas ou descuidos que os invasores cibernéticos podem explorar. Maior superfície de ataque: os sistemas baseados em nuvem geralmente têm uma superfície de ataque maior do que os sistemas locais tradicionais, pois podem ser acessados de qualquer lugar com uma conexão à Internet. Isso pode torná-los alvos mais atraentes para os invasores. Responsabilidade compartilhada: com sistemas baseados em nuvem, a responsabilidade pela segurança geralmente é compartilhada entre o cliente e o provedor de nuvem. Isso pode levar à confusão sobre quem é responsável por proteger aspectos específicos do sistema, resultando em falhas de segurança. Privacidade de dados: as organizações podem lutar para manter o controle sobre dados confidenciais armazenados na nuvem e podem ser vulneráveis a acesso não autorizado ou violações de dados. Dependência de conectividade com a Internet: os sistemas baseados em nuvem dependem de conectividade confiável com a Internet, deixando as organizações vulneráveis a tempo de inatividade ou perda de dados durante uma interrupção da Internet.
Em suma, a mudança para sistemas baseados em nuvem criou novas vulnerabilidades que devem ser tratadas adequadamente para garantir a segurança de informações confidenciais e a continuidade das operações de negócios.
BN: Quais lacunas em segurança são mais importantes para as empresas se concentrarem ao operar um ambiente híbrido?
RH: As empresas devem se concentrar em cinco áreas críticas:
Identidade: identidade adequada e gerenciamento de acesso (IAM ) envolve a implementação de métodos seguros de autenticação e autorização, como autenticação multifator (MFA) e controle de acesso a recursos com base em funções e responsabilidades do usuário.Infraestrutura de rede: Proteger a infraestrutura de rede ajuda a evitar o acesso não autorizado a recursos e dados. Isso inclui a implementação de firewalls, redes privadas virtuais (VPNs) e outras medidas de segurança para proteger sistemas locais e baseados em nuvem.Dados confidenciais: a proteção de dados confidenciais inclui a implementação de soluções de criptografia de dados, backup e recuperação de desastres. Controlar o acesso aos dados por meio de IAM e medidas de segurança de rede também é crítico.Endpoints: Proteger endpoints–laptops, smartphones e outros dispositivos–inclui implementar soluções antivírus e antimalware, proteger configurações de dispositivos e controlar o acesso a recursos corporativos.Aplicativos: Proteger os aplicativos–geralmente o principal meio de acessar e manipular dados confidenciais–envolve a implementação de medidas de segurança, como firewalls de aplicativos, validação de entrada e práticas seguras de codificação.
Ao focar nessas possíveis lacunas, as empresas podem proteger melhor as informações confidenciais e garantir a continuidade das operações em um ambiente de trabalho híbrido.
BN: Quais são os vetores típicos que você vê os cibercriminosos usarem? como uma maneira de entrar no AD de uma organização?
RH: Os cibercriminosos costumam usar os seguintes vetores para obter acesso não autorizado ao AD de uma organização:
Ataques de phishing: esses ataques geralmente envolvem o envio de e-mails que parecem ser de uma fonte confiável e que contêm links ou anexos maliciosos que instalam malware no dispositivo do usuário. Malware: Malware, como vírus, worms e cavalos de Tróia, podem infectar a rede de uma organização e permitir que criminosos cibernéticos obtenham acesso ao AD da organização. Senhas fracas ou comprometidas: senhas fracas ou a reutilização de senhas podem facilitar o acesso de criminosos cibernéticos ao AD de uma organização por meio de ataques de força bruta. Escalonamento de privilégios: os criminosos cibernéticos podem usar vulnerabilidades nos sistemas ou aplicativos de uma organização para obter privilégios elevados e acesso ao AD da organização. Insiders: Ameaças internas, sejam maliciosas ou acidentais, podem representar um risco significativo para o AD de uma organização. Essas ameaças podem envolver funcionários, contratados ou fornecedores terceirizados com acesso a informações confidenciais.
Ao implementar fortes medidas de segurança, como detecção e resposta a ameaças de identidade (ITDR), MFA, atualizações regulares de software e treinamento de funcionários sobre práticas recomendadas de segurança cibernética, as organizações podem reduzir o risco de esses vetores serem usados para comprometer seu AD.
p>
BN: Você pode nos guiar por um dos ataques de alto perfil, por exemplo SolarWinds e o que deu errado lá?
RH: O ataque SolarWinds em 2020 afetou várias agências governamentais e organizações privadas. Os invasores usaram um ataque à cadeia de suprimentos para se infiltrar nos sistemas da SolarWinds, um fornecedor de software de gerenciamento de TI amplamente utilizado.
Os invasores modificaram o software SolarWinds e distribuíram a versão maliciosa aos clientes, que então instalaram o software infectado em seus sistemas. Isso deu aos invasores um backdoor nas redes dos clientes, permitindo que eles realizassem novos ataques e roubassem informações confidenciais.
O que deu errado no ataque da SolarWinds:
Ataque à cadeia de suprimentos: os invasores conseguiram comprometer a cadeia de suprimentos de software, o que permitiu a distribuição de software malicioso para milhares de organizações.Falta de visibilidade: muitas organizações tinham visibilidade inadequada da atividade em suas redes, dificultando a detecção do ataque e a resposta em tempo hábil.Sistemas mal configurados: alguns as organizações configuraram incorretamente seus sistemas, o que tornou mais fácil para os invasores obter acesso e persistir na rede.Resposta lenta: algumas organizações demoraram vários meses para detectar o ataque, o que deu aos invasores tempo suficiente para exfiltrar informações confidenciais.Subestimação do risco: Muitas organizações podem ter subestimado o risco representado pelos ataques à cadeia de suprimentos e não conseguiram implementar medidas suficientes para se proteger.
Nos últimos anos, outros ataques cibernéticos em grande escala tiveram como alvo o AD, incluindo:
Ataques do Microsoft Exchange Server (2021): várias vulnerabilidades de dia zero foram descobertas no Microsoft Exchange Server. As vulnerabilidades permitiram que os invasores comprometessem os servidores Exchange e acessassem informações confidenciais, incluindo dados armazenados em ataques de ransomware AD.NetWalker (2021): o grupo NetWalker ransomware tem como alvo várias organizações, usando táticas como phishing e exploração de vulnerabilidades em sistemas como o AD para obter ganhos iniciais acesso à rede do alvo. Ataques de ransomware Ryuk (2021): os ataques de ransomware Ryuk têm sido uma ameaça crescente. Sabe-se que o grupo visa o AD para obter acesso a informações confidenciais e chaves de criptografia, que podem ser usadas para criptografar os dados de uma organização e exigir o pagamento de um resgate.
Esses exemplos ilustram a necessidade de as organizações monitorarem e protegerem continuamente seu AD e outras infraestruturas de identidade com soluções de ITDR e implementarem medidas de segurança robustas para proteger contra ataques mal-intencionados contra seus usuários, sistemas e redes.
BN: Como os profissionais de TI podem fazer a transição do local para a nuvem da maneira mais segura?
RH: Os profissionais de TI podem fazer a transição do local para a nuvem de maneira segura seguindo estas práticas recomendadas:
Planeje e avalie: comece planejando a transição, incluindo a identificação das cargas de trabalho a serem movidas, determinando os recursos necessários e estabelecendo o cronograma de migração. Avalie os requisitos de segurança e realize uma análise de risco para identificar possíveis ameaças à segurança. Proteja seu ambiente de nuvem: implemente medidas de segurança–como segmentação de rede, IAM e criptografia de dados–para proteger o ambiente de nuvem. Use ferramentas e serviços de segurança, como ITDR, para monitorar e proteger continuamente seu ambiente.Gerenciar acesso e permissões: implemente controle de acesso baseado em função (RBAC) para gerenciar permissões de usuário. Garanta que apenas usuários autorizados tenham acesso a dados e recursos confidenciais. Implemente MFA para aumentar a segurança.Implemente um plano de recuperação de desastres: certifique-se de ter um plano de recuperação de desastres para restaurar sistemas e dados em caso de falha ou perda de dados. Esse plano pode incluir o backup de dados e a implementação da recuperação de desastres como um serviço. Teste o plano regularmente. Monitore e audite: monitore continuamente seu ambiente de nuvem em busca de atividades incomuns e audite seus logs e eventos de segurança para detectar possíveis incidentes de segurança. Responder prontamente a quaisquer incidentes de segurança e implementar contramedidas apropriadas.
Ao seguir essas práticas recomendadas, os profissionais de TI podem garantir uma transição segura do local para a nuvem e reduzir o risco de incidentes de segurança e violações de dados.
Crédito da imagem: IgorVetushko/depositphotos.com