[Nota do editor: Este artigo é um post convidado do CEO e fundador da TAG, Ed Amoroso].
Qualquer observador da cibersegurança no sector público reconhecerá os graves desafios em matéria de proteção das tecnologias da informação (TI) para os organismos do sector público dos EUA nas últimas décadas. Incidentes graves, como a violação de dados de 2015 no Gabinete de Gestão de Pessoal dos EUA (OPM), bem como violações de agências importantes por parte de Estados nacionais, como o Departamento de Estado dos EUA, ilustram o desafio permanente para os funcionários do sector público.
Como é que o Active Diretory afecta a cibersegurança do sector público?
Não é de surpreender que os organismos do sector público sejam susceptíveis às mesmas vulnerabilidades em matéria de cibersegurança que qualquer outro sector. Fazer parte do sector público parece não oferecer grandes vantagens em termos de prevenção de ameaças ou de proteção cibernética. Nesse sentido, é razoável supor que uma das vulnerabilidades de cibersegurança mais comuns e intensas do sector público envolve pontos fracos no Microsoft Active Diretory (AD).
O AD é a base da gestão de identidades e do controlo de acessos na maioria das agências do sector público.
- A integridade do AD é vital para garantir que apenas o pessoal autorizado pode aceder a informações governamentais sensíveis, sistemas críticos e recursos classificados.
- Uma violação da segurança dos AD pode comprometer a segurança nacional, expor os dados dos cidadãos e perturbar serviços públicos essenciais.
- As agências do sector público enfrentam uma conformidade rigorosa e mandatos regulamentares que exigem protocolos de segurança AD.
- A complexidade dos ecossistemas de TI da administração pública e o aumento dos ambientes de trabalho híbridos aumentam ainda mais a necessidade de medidas avançadas de segurança AD.
As organizações do sector público devem, por isso, dar prioridade à proteção AD para evitar o acesso não autorizado, garantir a conformidade e manter a continuidade operacional face à evolução das ciberameaças.
Saiba mais sobre a proteção do Active Diretory
O que é a deteção de ataques AD?
A obtenção de um nível suficiente de segurança do AD depende de uma vasta gama de funções, controlos e serviços. Por sua vez, estes dependem não só de boas capacidades de segurança, mas também de uma administração quotidiana adequada. Dito isto, a nossa observação é que o aspeto mais difícil da segurança do AD para o sector público envolve a deteção e atenuação de ataques antes, durante e após o seu início num alvo real.
A deteção de ataques ao AD envolve a identificação de actividades maliciosas que visam os sistemas AD. Essas actividades incluem:
- Logins não autorizados
- Aumento de privilégios
- Modificações nas estruturas de diretórios
A deteção eficaz de ataques ao AD baseia-se na monitorização contínua, na utilização de inteligência artificial e na análise comportamental para assinalar actividades suspeitas. Estas capacidades permitem a deteção rápida de anomalias, tais como um aumento invulgar dos privilégios de acesso ou alterações às políticas de grupo.
Dado o papel crítico do AD na gestão do acesso aos sistemas governamentais, a deteção de ataques em tempo real é essencial para minimizar o impacto dos ciberataques. A deteção precoce melhora significativamente os esforços de resposta a incidentes, minimizando o risco de grandes violações. Ao identificar proactivamente as ameaças, as agências do sector público podem:
- Reduzir o tempo de permanência
- Limitar os movimentos dos atacantes nas redes
- Tomar medidas imediatas para proteger dados e serviços sensíveis
Ameaças actuais à cibersegurança do sector público relacionadas com a identidade
Como sugerido acima, as agências do sector público são alvos devido ao valor dos seus recursos. Os ataques de ransomware estão entre as ameaças mais prevalecentes, aproveitando frequentemente as vulnerabilidades do AD para se espalharem pelos sistemas governamentais e perturbarem os serviços.
Estes ataques têm frequentemente como objetivo paralisar a infraestrutura ou extorquir as agências em troca de grandes quantias para desencriptar dados essenciais. Os actores nacionais que visam as credenciais AD para espionagem são também uma preocupação séria.
Além disso, muitos ambientes de TI do sector público são sistemas antigos, que muitas vezes contêm vulnerabilidades não corrigidas e configurações incorrectas que os atacantes exploram. A mudança para o trabalho remoto complicou ainda mais os esforços de segurança, alargando a superfície de ataque e expondo o AD a potenciais violações. Estas ameaças em evolução sublinham a necessidade urgente de uma segurança AD robusta nas agências do sector público.
De um modo mais geral, o problema da cibersegurança no sector público aponta para deficiências gerais nos ecossistemas de gestão de identidades e de acesso (IAM) criados para gerir as identidades dos utilizadores e para se integrarem no AD. Este desafio não deve surpreender os profissionais, uma vez que a IAM representa um dos aspectos mais difíceis da segurança empresarial moderna. A segurança do sector público não é diferente.
Mandatos federais para a cibersegurança no sector público
Existem vários mandatos federais nos Estados Unidos para impor medidas de cibersegurança no sector público, especialmente no âmbito do IAM e dos sistemas relacionados, como os serviços de diretórios. Um dos principais quadros legislativos é a Lei Federal de Modernização da Segurança da Informação (FISMA), que exige que as agências federais protejam os sistemas de informação e os dados dos utilizadores, incluindo a gestão de identidades.
Nos termos da FISMA, as agências devem implementar salvaguardas como a autenticação multifactor (MFA) e controlos de acesso dos utilizadores para garantir um acesso seguro aos recursos governamentais. Além disso, a Ordem Executiva 14028 (Improving the Nation's Cybersecurity) impulsionou a adoção da Arquitetura de Confiança Zero (ZTA), exigindo que as agências passem de uma segurança baseada no perímetro para uma abordagem mais centrada na identidade, que assume que todos os pedidos de acesso não são fiáveis até serem verificados.
Os sistemas IAM do sector público também são regulados por mandatos como a Publicação Especial 800-63 do NIST sobre Diretrizes de Identidade Digital, que estabelece as melhores práticas para a prova de identidade, autenticação e gestão do ciclo de vida dos utilizadores federais. Estas diretrizes têm um impacto direto na segurança dos sistemas de identidade e serviços de diretórios do sector público, incluindo a aplicação de processos de verificação rigorosos e a melhoria dos mecanismos de federação de identidades.
Assim, embora não estejam explicitamente presentes mandatos para melhorar a AD, as implicações mais amplas destas políticas sugerem um impulso para a segurança dos sistemas de identidade das empresas. O AD desempenha um papel crucial na gestão das identidades e na aplicação de políticas em todo o sector público, incluindo os contratantes. Como parte da ênfase do governo na Confiança Zero, a Agência de Segurança Cibernética e de Infra-estruturas (CISA) publicou as melhores práticas para a segurança dos controlos de identidade e de acesso, incentivando as agências e os contratantes a adoptarem estratégias de segurança de diretórios mais robustas.
Utilizar a Semperis para a segurança AD no sector público
Uma boa notícia é que, embora o IAM continue a ser um empreendimento complexo (cujas soluções estão além do escopo deste documento), podemos informar que existem opções eficazes para grupos do setor público, incluindo agências federais, para reduzir os riscos associados à implantação do AD. Essa deve ser uma situação bem-vinda, dado o papel importante que o AD desempenha no ambiente geral de identidade da maioria das agências.
Em particular, a empresa de cibersegurança Semperis oferece um conjunto de soluções de segurança AD adaptadas às necessidades das organizações do sector público, centradas na monitorização em tempo real, na deteção rápida de ataques e na recuperação de desastres. A sua plataforma detecta alterações não autorizadas no AD, tais como aumentos de privilégios ou modificações nas políticas de grupo, e fornece alertas automáticos às equipas de segurança, garantindo a tomada de medidas imediatas.
A Semperis fornece às agências do setor público ferramentas robustas de recuperação de AD que minimizam o tempo de inatividade e evitam a disseminação de ransomware. Se um ambiente de AD for comprometido, os recursos de recuperação automatizada da Semperis permitem que as organizações restaurem rapidamente os diretórios afetados para um estado anterior ao comprometimento. Para agências vinculadas a requisitos rígidos de conformidade e tempo de atividade, a resposta e a recuperação rápidas de ataques ao AD são essenciais.
Reforçar a cibersegurança do sector público com um plano de ação de reforço da AD
O conselho da TAG é que os CISOs do sector público desenvolvam uma estratégia de segurança que dê ênfase ao reforço do AD, à monitorização contínua e à resposta a incidentes. Um primeiro passo importante é realizar avaliações de segurança regulares para identificar configurações incorretas do AD, vulnerabilidades não corrigidas e áreas que podem ser exploradas. A implementação de soluções avançadas de segurança do AD, como a plataforma da Semperis, pode permitir que as agências detectem ataques em tempo real, garantindo uma resposta e mitigação rápidas. As agências interessadas em colaborar com a Semperis devem contactar diretamente a empresa para identificar o melhor veículo contratual disponível para a implementação da prova de conceito (POC).
Explore estratégias especializadas para fortalecer o Active Diretory
Sobre a TAG: Reconhecida pela Fast Company, a TAG é uma empresa confiável de pesquisa e consultoria de próxima geração que utiliza uma plataforma SaaS alimentada por IA para fornecer insights, orientações e recomendações sob demanda para equipes corporativas, agências governamentais e fornecedores comerciais em segurança cibernética, inteligência artificial e ciência climática.