Recentemente, tive o prazer de me juntar a Ran Harel, principal gestor de produtos de segurança da Semperis, para um webinar centrado em tornar o MITRE ATT&CK Framework relevante e accionável para as organizações que procuram aumentar a sua segurança. No webinar, concentrámo-nos no alvo mais atacado - o Active Directory - e demonstrámos como os atacantes exploram o AD, como esses ataques são mapeados para a estrutura MITRE e mostrámos algumas ferramentas valiosas que podem ajudar a descobrir e a combater estes ataques implacáveis.
Um ponto interessante que surgiu no webinar foi a falsa sensação de segurança que a maioria dos profissionais tem em relação às suas implementações de AD. Começámos a sessão pedindo a todos os participantes que classificassem a segurança do seu AD. Cinquenta por cento afirmaram que consideram o AD "muito seguro", enquanto 43% afirmaram "um pouco seguro". Estes resultados estão em conflito directo com os dados do mundo real gerados por centenas de avaliações do AD efectuadas pela Semperis Purple Knight . A pontuação média de segurança do Purple Knight para o AD em geral é de 64%, o que representa uma nota negativa em qualquer avaliação. Isto não é realmente surpreendente, dado o estado actual da protecção do AD.
Leitura relacionada
Durante a sessão, sugeri que muitas organizações "desistiram" da protecção do AD. Actualmente, a melhor protecção existe sob a forma de directrizes e melhores práticas da Microsoft, o que não é suficiente para proteger as chaves do reino. As organizações gastaram muito tempo e dinheiro em auditoria e gestão do AD, mas não em protecção e detecção. Eu diria que o AD é o activo mais desprotegido na maioria das organizações. Para violar o AD só é necessário comprometer uma conta de utilizador.
Ran Harel levou esse ponto para casa com uma grande demonstração de táticas de ataque ao AD. Mostrou como a actual exploração Print Nightmare é executada em implementações AD normais e, se tivesse seguido os conselhos da Microsoft, continuaria vulnerável. Desde então, a Microsoft forneceu correcções para eliminar as vulnerabilidades, mas não antes de milhares de organizações terem sido vítimas do ataque. Quando mapeado para a estrutura MITRE ATT&CK, é simples ver como, mesmo com as melhores intenções, a maioria das organizações tem dificuldade em detectar e impedir o movimento lateral e as tácticas de aumento de privilégios que os atacantes utilizam e que a estrutura ajuda a expor.
O valor do Quadro MITRE ATT&CK surge quando os profissionais o utilizam, não apenas como uma visão teórica, mas como um guia para a correcção e prevenção práticas e accionáveis. Os agentes de ameaças pensam de forma diferente dos profissionais de segurança, e o Quadro permite-nos pensar como o atacante e, por conseguinte, protegermo-nos melhor.
O que é maravilhoso nesta passagem da teoria à prática é que existem organizações para o ajudar. A minha organização, a ISSQUARED, fornece a visão e a consultoria que o ajudam a pôr a Estrutura em acção. E a Semperis fornece as ferramentas mais poderosas do setor para todo o ciclo de vida dos ataques - antes, durante e depois. As ferramentas da Semperis fornecem monitorização contínua de nível empresarial e correcção automática através da solução Directory Services Protector (DSP) - que a Ran demonstrou de forma poderosa - e avaliação pontual através de Purple Knight, que é uma ferramenta gratuita para ajudar a gerar uma linha de base e fornecer uma visão realista da segurança real do seu ambiente AD. Ambas as ferramentas estão completamente mapeadas para a estrutura MITRE ATT&CK, bem como para muitos regulamentos do sector e estruturas de melhores práticas, como o CIS e o NIST.
Convido-o a assistir à gravação deste webinar para saber mais sobre o MITRE ATT&CK Framework e como passá-lo da teoria à prática. Pode encontrar a gravação aqui. E já agora, recomendo que descarregue e execute o Semperis Purple Knight para ver qual é a sua posição actual e como essa posição se relaciona com a estrutura. Quando souber, pode começar a defender.