Mais e mais profissionais de TI estão lidando com um problema crescente que está à espreita em suas próprias organizações. Com as recentes histórias de violação de dados de alto perfil chegando às manchetes, o risco representado por ameaças internas tornou-se uma questão de extrema preocupação para as equipes de TI, com tais incidentes aumentando 44% nos últimos dois anos, de acordo com o Relatório global de custos de ameaças internas Ponemon 2022.
Enquanto ameaças internas são percebidas pelo público em geral como funcionários insatisfeitos sabotando sistemas ativamente ou roubando dados para vender aos concorrentes, o problema é muito mais complexo do que isso. Devido ao aumento do custo de vida em todo o mundo, mais funcionários ficarão suscetíveis às solicitações de agentes mal-intencionados que procuram cúmplices em potencial para implantar ransomware. Além disso, o uso indevido de acesso interno não se limita apenas a liberar ransomware, pois os usuários podem se sentir incentivados a também vender suas credenciais em uma tentativa de ganhar dinheiro fácil. Esses riscos geram grandes preocupações para qualquer organização, pois os privilégios do usuário podem ser facilmente aproveitados e escalados para assumir recursos críticos de TI. Na verdade, nossas próprias avaliações de segurança da Quest descobriram que uma parte significativa das contas de usuário-impressionantes 70% a 100%-têm direitos de acesso que podem ser facilmente escalados por hackers para obter acesso a ativos Tier Zero, incluindo o domínio do Active Directory.
Infelizmente, a ameaça não termina aí, pois os hackers estão sempre prontos para qualquer oportunidade de causar estragos-incluindo a exploração de erros descuidados cometidos por funcionários. Os hackers podem usar esses contratempos para obter o controle das credenciais em seu ambiente, transformando-se de invasores externos em ameaças internas.
Sabemos que ter visibilidade sobre as contas de usuário da sua organização pode ser difícil. Com tantas empresas tendo centenas, senão milhares, de contas de usuário com vários níveis de privilégios, por onde começar?
Você pode começar dando uma olhada nessas três práticas recomendadas que ajudarão você reduza as ameaças internas e melhore a postura de segurança cibernética da sua empresa.
Compreendendo os privilégios de controle da sua organização
A primeira etapa para mitigar a ameaça interna é obter uma imagem clara de quem tem acesso a quê. Para a maioria das empresas, isso significa entender os usuários e grupos do Active Directory e as permissões atribuídas a eles. Uma área de foco comum para muitas organizações são grupos como Administradores de Domínio, Administradores Corporativos e Operadores de Conta. A associação a qualquer um desses grupos poderosos fornece enormes privilégios sobre um ambiente, por isso é fundamental mantê-los sob controle rígido.
Infelizmente, os hackers muitas vezes sabem que esses grupos são altamente monitorados, então eles procuram outras maneiras de elevar seus privilégios. Por exemplo, atores mal-intencionados podem tentar obter acesso de administrador local no servidor de banco de dados com os dados que procuram ou comprometer uma conta que tenha acesso aos dados que desejam, seja uma conta de administrador ou uma conta de usuário. Além disso, como observado anteriormente, não requer necessariamente credenciais privilegiadas ou intenção maliciosa para causar sérios problemas–um usuário apressado ou um administrador descuidado pode simplesmente cometer um erro que comprometa seus dados.
Ter o controle correto sobre seus GPOs
Objetos de política de grupo (GPOs) são coleções de configurações de política que você pode usar para controlar requisitos de complexidade de senha, impedir que usuários acessem partes do sistema, renomear a conta de administrador ou redefinir sua senha, implantar valores de registro personalizados e muito mais. É difícil exagerar o poder da Política de Grupo em qualquer ambiente da Microsoft. Apenas uma modificação em um GPO por um agente mal-intencionado pode bloquear rapidamente os usuários de aplicativos críticos para os negócios ou até mesmo fazer com que ransomware ou outro malware seja executado quando o sistema é inicializado, possivelmente levando à perda de dados incapacitante ou tempo de inatividade do sistema.
Configurando os privilégios de administrador adequados
Sua principal prioridade final deve se concentrar em reduzir a capacidade dos hackers de obter controle sobre as contas dos usuários em primeira instância. Na maioria dos casos, as estações de trabalho do usuário são visadas primeiro. Depois que os invasores conseguem uma posição na estação de trabalho do usuário, eles procuram credenciais que possam usar para mover-se lateralmente para outros sistemas e escalar seus privilégios de forma maliciosa. É ruim o suficiente se eles coletarem credenciais de usuário, é claro, mas é muito pior se eles conseguirem coletar credenciais de administrador que concedem privilégios mais poderosos. Portanto, é fundamental controlar de perto onde as credenciais de administrador são usadas.
Não há solução mágica para eliminar completamente a ameaça interna. No entanto, garantir os privilégios de nível correto para seus usuários e administradores é obrigatório se você deseja minimizar qualquer acesso indesejado aos seus sistemas. Ao implementar essas três práticas simples, sua organização estará em uma posição muito melhor para responder corretamente e se proteger do risco constante de ameaças internas.
Crédito da imagem: LeoWolfert/Shutterstock
Bryan Patton é o Diretor Consultor de sistemas estratégicos, Quest.