No passado, abordei o privilégio excessivo do Active Directory como parte de outros tópicos mais abrangentes. Mas recentemente comecei a pensar que seria uma boa altura para lhe dedicar um artigo inteiro. Não se trata de um pensamento aleatório da minha parte. Basta analisar alguns factos para compreender por que razão deve rever os privilégios do AD na sua organização em breve, se não mesmo hoje:
- O privilégio excessivo do Active Directory existe na maioria das empresas, ainda hoje
- É muito mais provável que ocorram erros (que podem ser devastadoramente dispendiosos) com um número desnecessariamente elevado de utilizadores que PODEM fazer alterações que não deviam poder fazer
- Como sabe, os ciberataques centrados no AD utilizam a escalada de privilégios como método de eleição e, com muitos utilizadores privilegiados no seu sistema, os atacantes podem literalmente permanecer invisíveis, mesmo que tente monitorizar as actividades do AD
- Não vai querer aperceber-se de que teve um empregado excessivamente privilegiado e descontente (especialmente quando for demasiado tarde). Não é tão raro como se pensa. O Verizon DBIR 2016 refere que cerca de 8% das violações de dados organizacionais têm origem em fontes internas intencionais (funcionário ou antigo funcionário mal-intencionado).
E agora já sabem porque é que eu quis fazer disto o tema do meu post.
Se toda a gente sabe que é mau, porque é que o excesso de privilégios do Active Directory é tão comum?
Acontece que determinados funcionários precisam de executar tarefas que requerem mais privilégios. É normal que os administradores permitam esses privilégios, mas será que alguém se lembra de remover os privilégios adicionais mais tarde? Na maioria dos casos, não. E é importante lembrar que é provável que os funcionários indiquem que precisam de um privilégio que não têm, mas não é provável que se queixem de ter um privilégio que não utilizam. E o excesso de privilégios pode realmente acumular-se ao longo do tempo desta forma.
No que diz respeito aos grupos privilegiados, as funções mais privilegiadas no AD são normalmente os Administradores da empresa, os Administradores do domínio e os Administradores. Além disso, existem outras funções com privilégios que, por vezes, são atribuídos automaticamente aos funcionários e quase nunca são revistos. Em primeiro lugar, é importante notar que nem todas as pessoas que são atribuídas a grupos específicos precisam de todos os privilégios do seu grupo. Em segundo lugar, pense na última vez que analisou o número de pessoas na sua organização que tinham contas privilegiadas. Provavelmente já foi há algum tempo e pode haver demasiadas pessoas na lista.
Outra razão, que pode ser o fator chave: embora muitos de vós saibam porque é que os privilégios excessivos são arriscados, começar a rever todos os privilégios na organização pode ser uma tarefa desanimadora. Pode exigir muito tempo e recursos, e você não tem nenhum de sobra. É uma coisa importante a fazer, mas raramente parece ser urgente, por isso, em muitas organizações, é rotulada como uma prioridade menor.
O que pode acontecer se não se fizer nada
sobre o assunto?
Mencionámos a possibilidade de nos depararmos com um cenário de funcionário insatisfeito. É fácil compreender porque é que quer ter a certeza de que os seus dados estão mais seguros e que todos os seus funcionários têm APENAS os privilégios de que necessitam para trabalhar neste momento (privilégio mínimo). Nunca se pode saber qual dos seus funcionários se tornará desonesto, pelo que limitar o acesso de todos ao mínimo necessário é uma óptima forma de evitar surpresas.
É claro que nem todos os problemas têm origem em intenções maliciosas. Todos nós somos humanos e, por vezes, cometemos erros. Embora se saiba que o Active Directory é um sistema muito estável, todos nós já ouvimos pelo menos uma história terrível de "oops-moment" em algum momento. Quando remove privilégios desnecessários, pode minimizar a possibilidade de ocorrência de tais "oops-moments" que, de outra forma, poderiam acontecer.
Também mencionamos a possibilidade de ataque cibernético. Não é exatamente uma notícia de última hora que o Active Directory seja cada vez mais alvo de hackers externos porque é uma porta fabulosa através da qual um invasor pode obter muitas informações. Se você tiver contas mais privilegiadas do que o necessário, caso os hackers obtenham acesso ao seu sistema, será mais difícil descobri-las. Mesmo quando você monitora a atividade no Active Directory o tempo todo, você não quer precisar encontrar uma “agulha em um palheiro”. Para aumentar sua capacidade de detectar invasores, você pode minimizar os privilégios tanto quanto possível. E para adicionar outro motivo, imagine que um de seus usuários clica ou baixa inadvertidamente algo que não deveria e acaba lançando um código malicioso. Se o usuário estiver conectado com privilégios de administrador, o vírus poderá acessar muitos dados em sua organização. Se o malware for executado em uma conta não privilegiada, ele acessará, pelo menos a princípio, apenas os dados de um único usuário.
Como resolver de forma responsável o problema dos privilégios excessivos?
Há muitas coisas que pode fazer para evitar o excesso de privilégios, e é importante encontrar o equilíbrio certo para a sua equipa e para a sua organização. Implementar as políticas mais rigorosas parece tentador como uma forma de errar pelo lado da precaução, mas também pode acrescentar cargas de trabalho pesadas à equipa de TI - por isso, avalie as suas necessidades e capacidades para escolher o plano certo. Vamos abordar aqui algumas das opções mais fáceis de gerir.
É possível implementar controlos de acesso granulares que aplicam o privilégio mínimo. De facto, a Microsoft viu privilégios excessivos em muitos dos seus clientes e decidiu publicar um guia para o ajudar na tarefa de implementar modelos administrativos de privilégios mínimos.
Para além disso, quando adicionar privilégios, certifique-se de que estes são temporários para os funcionários que fazem pedidos (limite de uma semana ou um mês). Na pior das hipóteses, os funcionários irão pedir novamente os mesmos privilégios no futuro. Na melhor das hipóteses, pode poupar a sua organização a um desastre desnecessário.
Como o processo de eliminação de privilégios excessivos na organização pode parecer assustador, tente dividi-lo e conquistá-lo. Comece por abordar as contas que têm privilégios que representam o maior risco. É tão simples como o Princípio de Pareto (ou a regra 80/20). Por vezes, é possível eliminar 80% do risco, abordando 20% das causas.
A lista de métodos possíveis continua, até à abordagem mais radical de não ter quaisquer contas AD privilegiadas na organização. Isto é mantido permitindo que os administradores acedam a anfitriões administrativos seguros, onde lhes será permitido executar todas as tarefas administrativas. A razão pela qual lhe chamo uma abordagem radical é que, como deve saber, aumentará a segurança, mas tornará muito mais difícil a tarefa de manter um funcionamento sem problemas. Nas organizações actuais, as cargas de trabalho dos profissionais de AD não param de aumentar. Além disso, os recursos para gerir as necessidades de AD das organizações não crescem tão rapidamente como deveriam. Assim, adicionar esta camada de obstáculos pode parecer um pouco improdutivo.
E quando se procura um plano de reserva...
Existem outros factores que podem causar um desastre no AD, para além da questão do excesso de privilégios. Provavelmente, está a pensar em actualizações do AD, ataques maliciosos direccionados ou mesmo catástrofes naturais. Por isso, é sempre mais seguro ter uma solução sólida de automatização da recuperação de desastres do Active Directory na sua "caixa de ferramentas". Essas tecnologias de automação/orquestração não diferenciam as causas dos desastres: Não importa o que levou a organização a ter uma falha no AD, apenas importa que a recuperação seja rápida e fácil. Um bom exemplo de uma solução que pode aproveitar é o Semperis Active Directory Forest Recovery, que minimiza os tempos de recuperação e simplifica significativamente o processo de recuperação de desastres do AD.
Também é importante ter SEMPRE uma boa cópia de segurança do Active Directory para recorrer. Caso ainda não disponha de uma tecnologia de DR do AD à qual possa recorrer, pode melhorar as suas cópias de segurança do Active Directory. Isso fornecerá uma rede de segurança muito necessária para qualquer cenário de desastre. Pode assistir a este tutorial de 20 minutos sobre as melhores práticas de cópia de segurança do AD para verificar se a sua atual estratégia de cópia de segurança responde a todas as suas necessidades (aumente o volume dos altifalantes :).
Tudo o que mencionei aqui sobre as vantagens de reduzir os privilégios dos utilizadores também se aplica aos servidores, estações de trabalho e aplicações - por razões semelhantes. O importante é lembrar que, embora o processo de resolução do problema do excesso de privilégios seja longo, existem práticas recomendadas para o ajudar a começar e tecnologias para ajudar a proteger o seu AD - antes, durante e depois de concluído o processo.