Os ambientes de computação híbrida serão a norma num futuro previsível: De acordo com um relatório da Gartner de 2021, apenas 3% das organizações de média e grande dimensão migrarão completamente do Active Directory (AD) local para um serviço de identidade baseado na nuvem até 2025. Mas os líderes de TI que gerem ambientes híbridos enfrentam um desafio cada vez mais complexo: proteger eficazmente os sistemas de identidade que englobam o AD no local e o Azure AD. Este mundo híbrido tem um cenário de risco muito diferente daquele com que os administradores do Active Directory (AD) se confrontavam há duas décadas.
À medida que a utilização da nuvem explodiu, os atacantes tomaram nota desta mudança e concentraram-se em comprometer as credenciais da nuvem, que podem utilizar para obter privilégios elevados em todo o sistema - incluindo no ambiente AD no local - e lançar malware.
Proteger e monitorizar o Azure AD, mesmo para organizações que estão a utilizar o Azure AD apenas como um subproduto da implementação do Microsoft 365, tornou-se uma parte crítica da manutenção das operações comerciais. Tal como a protecção do AD envolve a detecção de alterações não autorizadas e a correcção de quaisquer configurações incorrectas e vulnerabilidades, o mesmo se aplica ao Azure AD.
Para ajudar as organizações a enfrentar estes desafios, actualizámos a nossa soluçãoDirectory Services Protector ( DSP) com novos indicadores de ameaças concebidos especificamente para ajudar a avaliar a postura de segurança do Azure AD. Combinados com os indicadores de ameaças do DSPpara o Active Directory, os novos recursos permitem que as organizações protejam as identidades em seus ambientes locais e na nuvem.
Cada cliente é responsável por definir e personalizar os controlos de segurança do Azure AD de uma forma que faça sentido para a sua organização. Uma vez que o Azure AD permite o acesso seguro a recursos internos, bem como ao Microsoft 365 - e a inúmeras outras aplicações de software como serviço (SaaS) -, a incapacidade de identificar configurações de risco e alterações não aprovadas ou acidentais no Azure AD pode levar a empresa moderna a uma paragem brusca.
Ao introduzir os indicadores do Azure AD em DSP, demos prioridade aos indicadores que ajudam as organizações a abordar alguns dos vectores de ataque mais comuns que os agentes de ameaças utilizam para obter acesso ao ambiente do AD, o que pode levar a uma escalada de privilégios e, eventualmente, à implementação de malware. Aqui está um resumo dos indicadores de segurança do Azure AD em DSP e por que eles são importantes para rastrear para melhorar sua postura de segurança do Azure AD.
1. As unidades administrativas não estão a ser utilizadas
No Azure AD, as unidades administrativas são um recurso que pode conter utilizadores, grupos ou dispositivos. Podem ser utilizadas para restringir as permissões de uma função a qualquer parte da organização que especifiquem, como uma unidade de negócios ou uma área geográfica específica. Os atacantes que comprometem uma conta administrativa podem ter acesso alargado a todos os recursos, pelo que a utilização de unidades administrativas ajuda-o a limitar o âmbito de administradores específicos e a garantir que um único compromisso de credenciais é restringido e não afecta todo o ambiente.
2. Acesso de leitura concedido ao registo de aplicações do Azure
Ver #4.
3. O registo de aplicações do Azure obteve acesso de escrita
Ver #4.
4. Registos de aplicações Azure adicionados ou removidos
Quando esses indicadores de registro de aplicativo do Azure são executados, eles verificam se essas permissões foram concedidas (ou revogadas) nos últimos sete dias. Embora estas acções possam nem sempre ser uma preocupação de segurança, uma aplicação maliciosa ou mal configurada pode levar à exposição de dados ou ao comprometimento de um inquilino do Azure.
5. Verificar se os convidados têm autorização para convidar outros convidados
Os utilizadores convidados não devem poder convidar outros convidados a aceder aos seus recursos na nuvem. Este poder deve ser limitado aos administradores para manter um controlo rigoroso, e DSP verificará se esta definição está correctamente configurada.
6. Verificar se existem permissões de API de risco concedidas aos mandantes do serviço de aplicação
Um objecto de entidade de serviço é criado quando uma aplicação recebe permissão para aceder a recursos. Se um administrador de aplicação tiver privilégios excessivos, isso pode abrir a porta a actividades maliciosas.
7. Verificar se a autenticação herdada é permitida
O Azure AD suporta vários protocolos de autenticação. Infelizmente, os métodos de autenticação herdados podem não suportar a autenticação multifactor (MFA), um componente crítico da protecção de contas. Permitir a autenticação herdada aumenta o risco de um atacante iniciar sessão utilizando credenciais previamente comprometidas.
8. A MFA não está configurada para contas com privilégios
A MFA é fundamental para proteger as contas contra o roubo de credenciais. No caso de contas privilegiadas, a MFA é ainda mais importante, e DSP emitirá um aviso se a funcionalidade não estiver activada.
9. O grupo privilegiado contém uma conta de convidado
O número de contas privilegiadas deve ser limitado de acordo com o princípio do menor privilégio. A presença de uma conta de convidado num grupo privilegiado pode ser um sinal de permissões excessivas ou de comprometimento por um atacante.
10. Predefinições de segurança não activadas
Os padrões de segurança, como o bloqueio de protocolos de autenticação herdados e a exigência de MFA para administradores, oferecem uma camada importante de proteção para o Azure AD. Os padrões de segurança devem ser usados para locatários que não têm políticas de acesso condicional configuradas. Essa configuração notifica as organizações se esses padrões não estiverem em vigor.
11. Autorização ilimitada do utilizador
Este indicador verifica se os utilizadores têm permissão para adicionar aplicações de editores não verificados. Esta definição pode criar um risco adicional, uma vez que essas aplicações podem executar acções intrusivas ou arriscadas.
12. Utilizadores privilegiados do Azure AD que também têm privilégios no AD
Este indicador verifica os utilizadores privilegiados do Azure AD que também têm privilégios no AD local. O comprometimento de uma conta que tem privilégios tanto no AD como no Azure AD pode resultar no comprometimento de ambos os ambientes.
13. Os utilizadores não-administradores podem registar aplicações personalizadas
Este indicador verifica a existência de uma política de autorização que permite a utilizadores não-administradores registar aplicações de clientes. Se os utilizadores não-administradores tiverem permissão para registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas, que podem depois aproveitar para obter permissões adicionais.
Proteger um ambiente de identidade híbrida
À medida que os riscos de ameaça mudam, as estratégias de segurança devem mudar com eles. As alterações arriscadas ao Azure AD - quer sejam atribuídas a um ciberataque ou a um acidente - podem resultar em tempo de inactividade significativo e perturbações do negócio. As organizações necessitam de uma abordagem à gestão de identidades híbridas que abranja todo o seu ambiente, o que requer não só a detecção de violações de políticas e configurações incorrectas, mas também o acompanhamento de alterações e a sua correlação com a actividade que ocorre no local e na nuvem. Armadas com indicadores de ameaças baseados numa compreensão do risco, as organizações podem combater proactivamente os problemas antes que estes surjam.