Edward Amoroso

[Nota do editor: Este artigo é um post convidado do CEO e fundador da TAG, Ed Amoroso].

Um amplo suporte de cibersegurança engloba uma grande variedade de obrigações, que vão desde a documentação de conformidade à formação dos utilizadores. Mas o aspeto mais desafiador - e essencial - da segurança do Microsoft Active Diretory (AD) envolve a deteção de ataques, antes, durante e depois do seu início. Sem essa capacidade, as equipas de todos os sectores - incluindo o Governo e a Educação Estatal e Local (também conhecido por SLED) - terão graves deficiências operacionais de segurança.

A nossa equipa de investigação e consultoria no TAG acompanha regularmente as questões levantadas pela nossa base de clientes de equipas de segurança empresarial. Sem dúvida, os desafios de segurança do Active Diretory são alguns dos problemas mais intensos que surgem entre as equipas lideradas por Chief Information Security Officer (CISO). Este facto não deve surpreender nenhum profissional que analise os ataques comuns, muitos dos quais utilizam o AD como um recurso de compromisso essencial.

O AD é a espinha dorsal da gestão de identidades e acessos (IAM) para a maioria das empresas, o que o torna um alvo preferencial para ataques. Como o AD controla as permissões e o acesso a sistemas, aplicações e dados críticos, qualquer comprometimento pode levar a violações de segurança, incluindo o aumento de privilégios, o roubo de dados ou até mesmo ransomware. O reforço da segurança do AD é, por isso, essencial para salvaguardar as operações comerciais, especialmente à medida que as organizações mudam para redes híbridas.

Além disso, os atacantes exploram frequentemente as configurações incorrectas do AD, as vulnerabilidades não corrigidas ou as credenciais roubadas, o que lhes permite deslocar-se lateralmente e obter o controlo dos recursos. Dada a função que o AD desempenha no acesso dos utilizadores, garantir a segurança é essencial para manter uma postura segura. Aprendemos na TAG que as estratégias de segurança modernas precisam priorizar o fortalecimento do AD, o monitoramento contínuo e a deteção rápida para impedir o acesso não autorizado.

O que é a deteção de ataques AD?

A deteção de ataques ao AD envolve a monitorização e identificação de sinais de actividades maliciosas dirigidas ao AD. Isto inclui a deteção de comportamentos anormais, aumentos de privilégios ou tentativas de explorar vulnerabilidades do AD. As soluções de deteção de ataques tiram partido da monitorização em tempo real, da inteligência artificial e da análise comportamental para detetar indicadores de compromisso (IOCs), tais como alterações não autorizadas às políticas de grupo, inícios de sessão anormais ou concessões de privilégios inesperadas.

Estes métodos de deteção são cruciais para mitigar os ataques atempadamente, especialmente devido à persistência de ameaças avançadas como o ransomware, em que o AD é frequentemente um alvo de elevado valor. A deteção eficaz de ataques ao AD permite que as equipas de segurança respondam rapidamente a potenciais violações, limitando os danos e preservando a segurança dos activos críticos de uma organização. A TAG agora rastreia a segurança do AD como sua própria categoria de solução para ajudar a enfatizar esses pontos.

Ciberameaças actuais para a administração estatal e local e para o sector da educação

Embora todos os sectores considerem a segurança dos AD uma preocupação extremamente importante, observamos que um sector crítico - nomeadamente o Governo estatal e local e a Educação - enfrenta um conjunto de desafios particularmente difícil. Vale a pena mencionar que a nossa equipa de analistas do TAG mantém relações estreitas com este sector através de cátedras e outras nomeações em várias instituições estatais e educativas.

O que vemos neste sector é um número crescente de ciberameaças, impulsionado por recursos frequentemente limitados e infra-estruturas envelhecidas. O ransomware continua a ser uma ameaça significativa, em que os atacantes exploram as vulnerabilidades do AD para obter acesso e exigir o pagamento em troca da desencriptação de dados. As instituições de ensino e as administrações estatais e locais são também alvos frequentes de phishing com o objetivo de roubar credenciais, o que pode comprometer o AD e permitir que os atacantes se desloquem lateralmente pelas redes.

Uma gestão de patches insuficiente e políticas de palavra-passe fracas também expõem as instituições SLED a uma vasta gama de ataques. Com o aumento dos modelos de trabalho híbridos e das iniciativas de transformação digital, os ambientes do Governo e da Educação Estatal e Local estão a expandir a sua utilização da tecnologia, incluindo nas salas de aula, o que os torna ainda mais susceptíveis a ataques. Dadas estas vulnerabilidades, uma abordagem proactiva à segurança do Active Diretory é essencial para manter a resiliência destes serviços críticos.

Apoio das agências federais dos EUA à segurança da AD na administração estatal e local e na educação

Embora nenhuma agência federal ou órgão regulador específico dos EUA exija exclusivamente a segurança do AD pelo nome, muitos regulamentos e estruturas no sector público, incluindo os ambientes do Governo Estadual e Local e da Educação, enfatizam práticas de cibersegurança que abrangem inerentemente a segurança do AD. Isto implica que as equipas de segurança no sector SLED devem assumir a liderança no aproveitamento dos principais regulamentos para promover uma cibersegurança de AD mais robusta. Isso inclui as seguintes estruturas:

  1. (Política de segurança dos serviços de informação sobre justiça penal (CJIS). Gerida pelo FBI, esta política define os controlos de segurança para sistemas que tratam informações sobre justiça criminal. Dado que o AD é frequentemente utilizado nesses sistemas para controlo de acesso, a segurança do AD é essencial para a conformidade.
  2. Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA). Em ambientes de cuidados de saúde públicos (por exemplo, hospitais estatais ou municipais), a HIPAA exige medidas de segurança rigorosas para o tratamento de informações de saúde protegidas (PHI). Nesses ambientes, a segurança do AD seria essencial para gerir o acesso às PHI.
  3. NIST 800-53 e NIST Cybersecurity Framework. Estas estruturas, amplamente adoptadas por agências governamentais, fornecem controlos de segurança que afectam os ambientes AD, tais como IAM, resposta a incidentes e monitorização contínua.
  4. Lei Federal de Gestão da Segurança da Informação (FISMA). Embora se aplique principalmente a agências federais, a FISMA tem um efeito a jusante nos governos estaduais e locais que recebem financiamento federal. Exige medidas de segurança adequadas para os sistemas de informação, tornando a segurança AD essencial para a conformidade.
  5. Regulamentos específicos do estado. Alguns estados, como a Califórnia (através da Lei de Privacidade do Consumidor da Califórnia [CCPA]) e Nova Iorque (através da Lei SHIELD), têm os seus próprios regulamentos de cibersegurança que afectam os ambientes SLED. A segurança AD torna-se frequentemente um componente chave da conformidade com estes mandatos de cibersegurança mais alargados.

Em resumo, embora não exista um requisito explícito e direto para a segurança do AD em ambientes SLED (pelo menos que seja do nosso conhecimento na TAG), a conformidade com regulamentos de segurança cibernética federais, estatais e sectoriais mais amplos exige-o indiretamente devido ao papel central que o AD desempenha na gestão das identidades e do acesso dos utilizadores.

Utilização de Semperis para a segurança AD no sector SLED

Para o Governo Estadual e Local e para a Educação, estão disponíveis soluções avançadas de segurança do Active Diretory para proteger, detetar e recuperar de ataques relacionados com o AD.

A empresa de cibersegurança Semperis - fundadaem 2014 por uma equipa de especialistas em cibersegurança liderada por Mickey Bresman, Guy Teverovsky e Matan Liberman - centra-se especificamente na cibersegurança orientada para a identidade, com soluções para proteger o Active Diretory. A Semperis desenvolveu um conjunto de ferramentas de classe mundial, incluindo Directory Services Protector ( DSP), concebidas para fornecer monitorização contínua e proteção em tempo real para ambientes AD.

A plataforma de resiliência de identidade da Semperis oferece deteção automatizada de ameaças, monitoramento em tempo real e recursos de resposta que ajudam a reduzir riscos como abuso de privilégios, ransomware e exploração do AD. A plataforma garante que quaisquer alterações não autorizadas ao AD sejam identificadas e sinalizadas imediatamente para as equipas SLED.

Além da deteção e do monitoramento, o Semperis também oferece às organizações governamentais e educacionais estaduais e locais a capacidade de envolver ferramentas de recuperação de desastres para restaurar rapidamente ambientes AD comprometidos, uma prioridade óbvia nesse setor. Tendo em conta os recursos de TI limitados que são tão comuns em muitos ambientes SLED, a automatização e a facilidade de utilização do Semperis são cruciais para garantir que as equipas de segurança podem manter o controlo e recuperar de incidentes com um tempo de inatividade mínimo.

Plano de ação para os líderes da cibersegurança no SLED

O TAG aconselha os CISOs das instituições SLED a darem prioridade a uma abordagem de segurança em vários níveis que enfatize a segurança do AD. Isso começa com auditorias e avaliações regulares para identificar e corrigir vulnerabilidades no AD, como configurações incorretas ou políticas desatualizadas. A implementação de soluções de monitorização contínua como a Semperis para detetar actividades anormais em tempo real é crucial para manter uma defesa proactiva.

Os CISOs das administrações estatais e locais e do sector da educação devem também concentrar-se em garantir que as suas equipas estão formadas e preparadas para responder a violações relacionadas com o AD. A melhor forma de o fazer é em conjunto com a implementação de uma plataforma de segurança de AD de classe mundial, e a nossa recomendação é que a Semperis se enquadre nesta situação. Os leitores podem contactar os analistas de investigação e consultoria da TAG para obterem assistência na seleção da fonte, ou podem contactar diretamente a Semperis.

Precisa de ajuda para melhorar a segurança de AD na sua agência governamental ou escola estatal ou local? Contacte a nossa equipa de especialistas em AD.

Sobre a TAG: Reconhecida pela Fast Company, a TAG é uma empresa confiável de pesquisa e consultoria de próxima geração que utiliza uma plataforma SaaS alimentada por IA para fornecer insights, orientações e recomendações sob demanda para equipes corporativas, agências governamentais e fornecedores comerciais em segurança cibernética, inteligência artificial e ciência climática.

Mais recursos