Daniel Lattimer | Vice-Presidente de Área - EMEA Oeste

Esta semana, o Digital Operational Resilience Act (DORA) da União Europeia entra em vigor, num esforço para fornecer um roteiro claro para melhorar a cibersegurança em todo o sector dos serviços financeiros. Todas as entidades financeiras que operam na ou com a UE - bem como os fornecedores de tecnologias de informação e comunicação (TIC) que apoiam essas entidades - são agora obrigadas a cumprir a DORA.

Se os requisitos DORA se aplicam à sua organização e ainda não avaliou o seu efeito na sua estratégia e procedimentos de deteção e resposta a ameaças à identidade (ITDR), não há tempo a perder.

Porque é que o DORA é necessário?

A rápida digitalização acelerou drasticamente a inovação no sector dos serviços financeiros. As expectativas dos clientes aumentaram à medida que a tecnologia se desenvolveu, com os intervenientes do sector a procurarem agora alinhar-se e capitalizar as oportunidades de quota de mercado através da prestação de serviços instantâneos e personalizados.

Para as empresas e os seus negócios, as oportunidades são imensas. No entanto, do ponto de vista da segurança, estes avanços tecnológicos apresentam desafios, tornando o sector financeiro mais vulnerável a um conjunto crescente de ciberameaças sofisticadas.

3 passos a incluir na sua lista de verificação de conformidade DORA

Anteriormente, apresentámos uma visão geral dos cinco pilares de resiliência delineados pela DORA e a sua aplicação no contexto do Active Diretory (AD). Para adotar estes pilares de forma eficaz, é vital incluir os três passos seguintes na sua lista de verificação de conformidade DORA:

  1. Identifique quem é responsável por garantir que a segurança do Active Diretory cumpre os requisitos de resiliência do DORA.
  2. Identifique com precisão os riscos para o seu ambiente híbrido do Active Diretory.
  3. Gerencie os riscos de forma eficaz, garantindo sua capacidade de corrigir automaticamente alterações suspeitas no Active Diretory e no Entra ID para recuperar o Active Diretory e o Entra ID de forma rápida e segura, caso os invasores rompam suas defesas.

Etapa 1: Quem é responsável pela conformidade com o ITDR e o DORA?

A crescente prevalência de ciberameaças está a empurrar o Active Diretory para fora das competências das equipas de infraestrutura de TI e para profissionais dedicados à segurança ou à gestão do acesso a identidades (IAM).

O Active Diretory integra-se facilmente com as aplicações e fornece capacidades de início de sessão único em todo o ambiente empresarial. O AD tem-se mantido omnipresente como um serviço de diretório essencial que liga os utilizadores aos recursos de rede de que necessitam para realizar as suas tarefas no quarto de século desde o seu lançamento. De facto, hoje em dia, continua a simplificar a vida dos administradores, fornecendo uma plataforma centralizada para configurações de computadores e utilizadores e gestão de direitos.

Dado este papel, o AD tem sido tradicionalmente da competência das equipas de infra-estruturas de TI responsáveis pelo desenvolvimento, gestão e manutenção dos processos e serviços digitais que mantêm uma empresa a funcionar sem problemas. No entanto, nos últimos tempos, a situação mudou.

O mundo moderno trouxe uma complexidade muito maior, com muitas empresas a dependerem agora de uma vasta gama de aplicações críticas, dados e outros activos que residem em cenários digitais cada vez mais complexos. Ao mesmo tempo, as ciberameaças e os ataques aumentaram exponencialmente, com empresas de todas as formas e dimensões a enfrentarem atualmente ameaças que vão desde fugas de propriedade intelectual a ataques de negação de serviço (DDoS) e ransomware.

Como resultado, o AD já não é apenas uma ferramenta de rede. Atualmente, tornou-se uma questão crítica de segurança e gestão de identidades.

Servindo como uma plataforma centralizada que permite aos administradores gerir permissões e controlar o acesso aos recursos da rede, o AD detém efetivamente as "chaves do reino" para as empresas. Consequentemente, tornou-se um alvo privilegiado para os ciber-atacantes. O comprometimento do AD pode conceder acesso a quase todos os sistemas, aplicações e recursos de uma organização.

"Uma vez que o Active Diretory fornece capacidades avançadas de gestão de identidades e acessos para utilizadores, servidores, estações de trabalho e aplicações, é invariavelmente visado pelos atacantes. Se um atacante obtiver acesso altamente privilegiado a um domínio ou controlador de domínio do Active Diretory, esse acesso pode ser aproveitado para aceder, controlar ou mesmo destruir toda a floresta do Active Diretory. "1

Planeamento para o Compromisso (Microsoft)

Esta transição levantou uma questão importante: onde se deve situar agora a gestão dos AD e quem a deve supervisionar?

Cada vez mais, especialmente no contexto do DORA, vemos cada vez mais empresas a transferir a propriedade do AD para a gestão de acesso à identidade (IAM) e para as equipas de segurança - uma mudança motivada pelos potenciais impactos de longo alcance de ataques, erros ou tempo de inatividade no AD e, por sua vez, nas operações comerciais.

Etapa 2: Identificar os riscos para a infraestrutura de identidade

Considere as aplicações críticas para o negócio e viradas para o cliente. Estas dependem de vários componentes, incluindo contas de serviço e DNS, que são geridos no Active Diretory. Se o AD não estiver a funcionar corretamente ou não for gerido e protegido de forma eficaz, a aplicação pode ficar exposta, o que pode ter consequências que afectem a reputação da empresa, as receitas e as violações da conformidade com o DORA.

As empresas estão a reconhecer cada vez mais estes riscos e compreendem a necessidade de dar prioridade à gestão eficaz e à segurança do AD. No entanto, a compreensão dos riscos reais associados ao AD pode ser complexa.

Nem sempre estamos a falar de problemas cibernéticos; as vulnerabilidades e os problemas também podem resultar de erro humano. O AD é gerido por pessoas, e as pessoas cometem erros.

Um cenário comum envolve indivíduos que eliminam acidentalmente componentes críticos. Por exemplo, um administrador pode remover inadvertidamente centenas de utilizadores ao tentar modificar um grupo de utilizadores. Outro problema frequente é a remoção de contas de serviço consideradas como ameaças à segurança. Sem compreender totalmente as suas funções ou relevância, a remoção destas contas pode prejudicar as operações noutras partes da empresa.

Para mitigar estas ameaças - tanto internas como externas; maliciosas e acidentais - as organizações precisam de ter uma compreensão completa do seu ambiente AD, das suas associações e dependências relevantes e das vulnerabilidades que lhe estão associadas.

"Para compreender melhor o ambiente de uma organização, os agentes maliciosos costumam enumerar o Active Diretory em busca de informações depois de obterem acesso inicial a um ambiente... Ao fazê-lo, os agentes maliciosos obtêm por vezes uma melhor compreensão do ambiente do Active Diretory da organização do que a própria organização. Isto permite-lhes atacar o Active Diretory com maior probabilidade de sucesso. Os agentes maliciosos utilizam o seu conhecimento do ambiente para explorar fraquezas e configurações incorrectas para aumentar os seus privilégios, mover-se lateralmente e obter o controlo total do domínio do Active Diretory.... Para melhorar o Active Diretory, as organizações têm de compreender exaustivamente a sua própria configuração única do Active Diretory. "2

Detectando e mitigando o comprometimento do Active Diretory (relatório da Five Eyes Alliance)

Felizmente, estão disponíveis várias ferramentas gratuitas que fornecem visibilidade imediata das configurações do AD, ajudando as organizações a reduzir os seus riscos mais críticos.

  • Purple Knight: Especificamente designada como uma ferramenta de auditoria de AD pelo Centro Nacional de Cibersegurança e outras agências de cibersegurança da aliança Five Eyes, esta ferramenta oferece avaliações de segurança para AD, Entra ID e Okta. Ajuda as organizações a identificar indicadores de exposição (IOEs) e indicadores de compromisso (IOCs) nos seus ambientes AD híbridos, melhorando a segurança e a resiliência globais.
  • Forest Druid: Concebido para enfrentar o desafio das permissões excessivas no Active Diretory e no Entra ID, o Forest Druid adopta uma gestão única do caminho de ataque. Em vez de analisar manualmente cada grupo e relação de utilizador, dá prioridade aos caminhos de ataque que conduzem ao perímetro de Nível 0 em ambientes de identidade híbrida. Este enfoque em activos críticos poupa tempo e melhora a segurança ao abordar primeiro as vulnerabilidades mais significativas.

Obter visibilidade do seu ambiente atual desta forma é crucial. Estas ferramentas fornecem uma base sólida para identificar as principais vulnerabilidades e potenciais caminhos de ataque a activos críticos para a empresa, oferecendo uma visão geral instantânea dos seus potenciais riscos num determinado momento.

Etapa 3: Adotar a automação para a gestão contínua de riscos

Embora Purple Knight e Forest Druid possam fornecer um bom ponto de partida, é importante tratar estas ferramentas como o início de uma análise contínua e de esforços de correção. Qualquer ação pontual é normalmente inadequada para mitigar os riscos potenciais associados à DA numa base contínua.

Considere a natureza dinâmica da maioria das empresas: as aquisições trazem novas estruturas do Active Diretory, os utilizadores são adicionados ou removidos diariamente, as funções de trabalho mudam e as aplicações e definições de rede são continuamente actualizadas. Por outras palavras, o AD é um ambiente vivo, onde as políticas estão sempre a mudar.

Traçar uma linha hoje não garante que a mesma postura de segurança será verdadeira amanhã. Em vez disso, para gerir e captar eficazmente este risco em evolução ao longo do tempo e permanecer em conformidade com a DORA, as empresas precisam de um meio de captar o seu perfil de risco, quer regularmente quer em tempo real.

Neste caso, as ferramentas automatizadas são a solução mais poderosa e lógica. Tentar monitorizar o AD e corrigir alterações suspeitas manualmente pode ser moroso e estar sujeito a erros humanos. As soluções automatizadas podem fornecer monitorização e avaliação contínuas, garantindo que se mantém à frente das ameaças emergentes.

E se o pior acontecer - como é frequentemente o caso devido à frequência, persistência e sofisticação das ameaças cibernéticas modernas - a capacidade de recuperar de forma rápida e segura o Active Diretory e o Entra ID é fundamental. Até que o AD esteja em funcionamento, as operações comerciais normais simplesmente não podem ser recuperadas.

A Semperis tem várias ferramentas disponíveis para apoiar estes processos, incluindo:

  • Directory Services Protector (DSP): Reconhecida pelo Gartner, esta solução de deteção e resposta a ameaças à identidade (ITDR) coloca a segurança híbrida do Active Diretory no piloto automático. Ela oferece monitoramento contínuo e visibilidade inigualável em ambientes locais de AD e Entra ID. Os recursos incluem rastreamento inviolável e reversão automática de alterações maliciosas, garantindo proteção robusta e recuperação rápida.
  • Lightning IRP: Esta ferramenta com tecnologia ML detecta ataques de identidade sofisticados que as soluções tradicionais não detectam, incluindo ataques de força bruta, ataques de pulverização de palavras-passe e actividades anómalas.
  • Active Directory Forest Recovery (ADFR): Esta ferramenta ajuda as organizações a prepararem-se para os piores cenários, garantindo uma recuperação rápida e sem malware da floresta AD em caso de ciberdesastre. Permite configurar facilmente uma réplica do ambiente AD de produção para exercícios de recuperação de desastres e automatiza todo o processo de recuperação da floresta AD para minimizar o tempo de inatividade. Além disso, o ADFR permite a recuperação do AD para um estado de segurança conhecido, evitando ataques subsequentes e garantindo a continuidade do negócio.

Preencha hoje a sua lista de verificação de conformidade DORA

Sendo o AD um sistema crítico utilizado para armazenar informações do utilizador, gerir o acesso e a autenticação do utilizador e atribuir recursos a serviços, activos e dados, é fundamental que as empresas de serviços financeiros trabalhem para garantir a sua proteção.

Não só a conformidade com a DORA o exige, como a segurança e a integridade da sua empresa e dos seus clientes dependem disso. Por conseguinte, é fundamental tomar as medidas necessárias para mitigar potenciais vulnerabilidades e riscos numa base contínua.

  1. Certifique-se de que a sua organização compreende o impacto significativo que uma única identidade pode ter em vários aspectos do negócio, incluindo aplicações críticas, processos e cadeias de fornecimento. Dada esta interdependência, poderá ser necessário reavaliar a propriedade e a gestão do AD para garantir que se alinha com as prioridades empresariais e as necessidades de segurança.
  2. Tire partido de ferramentas de código aberto, como o Forest Knight e o Purple Druid, para obter uma visibilidade valiosa do estado atual do seu ambiente AD e identificar vulnerabilidades e potenciais caminhos de ataque a activos críticos para a empresa. Esta avaliação inicial é fundamental para a conceção de estratégias para gerir e atenuar eficazmente os principais riscos.
  3. Estabeleça mecanismos que garantam que está a mitigar ativamente os riscos AD numa base contínua. Para as empresas com ambientes de TI dinâmicos, vale a pena investir em ferramentas automatizadas que podem ajudar a simplificar este processo, ao mesmo tempo que ajudam a demonstrar aos auditores a conformidade e a prontidão do DORA.

Ao seguir estes passos, as organizações podem melhorar a postura de segurança dos seus ambientes AD, reduzir os riscos de ciberameaças e alcançar e manter a conformidade com o DORA num cenário de TI em constante evolução.

Obter ajuda para avaliar a conformidade da segurança do AD

Notas finais

  1. Planeamento para o compromisso | Microsoft Learn
  2. Detectando e mitigando os comprometimentos do Active Diretory