De acordo com um novo relatório da Enterprise Management Associates (EMA), as vulnerabilidades desconhecidas são a principal preocupação dos profissionais de segurança de TI em relação à segurança do Active Directory. As vulnerabilidades conhecidas, mas não resolvidas, do AD vêm logo atrás.
Os riscos mais preocupantes para a postura global de segurança citados pelos inquiridos foram
- Falhas de segurança nativas da Microsoft
- Ataques de engenharia social, como o phishing
- Atacantes que se alternam entre o AD no local e o Azure AD
Com a grande atenção dada à AD pelos meios de comunicação social e pelas empresas de investigação, incluindo a 451 Research e a Gartner, não é de surpreender que as vulnerabilidades desconhecidas sejam a principal preocupação dos inquiridos, que incluem directores e gestores de TI, arquitectos de TI, profissionais de DevOps e directores de segurança.
O ano de 2021 trouxe uma mudança radical na consciencialização do Active Directory - o principal armazenamento de identidades para 90% das empresas em todo o mundo - como um vector de ataque para os cibercriminosos. Um dos maiores sinais de alerta foi o ataque da SolarWinds. Embora tenha sido necessário algum tempo para os investigadores desvendarem este ataque sofisticado, o papel do Active Directory era evidente. (Para mais pormenores sobre a forma como o AD foi incluído no ataque da SolarWinds, leia a publicação de Guido Grillenmeier "Now Is the Time to Rethink Active Directory Security.") À medida que ocorriam mais violações de alto nível envolvendo o AD, incluindo o ataque ao Colonial Pipeline, as vulnerabilidades do AD eram colocadas no centro das atenções.
As conclusões dos consultores da Mandiant corroboram a exploração frequente do AD: referem que em 90% dos ataques que investigam, o AD está envolvido de alguma forma como ponto de entrada inicial ou como parte de um esforço de aumento de privilégios. Como Paula Musich, Directora de Investigação da EMA, escreveu na introdução do relatório, os profissionais de segurança enfrentam uma vasta gama de riscos na gestão do AD.
"Como a configuração do Active Directory está num estado de fluxo contínuo, os malfeitores encontram perpetuamente novas formas de explorar vulnerabilidades para atingir os seus objectivos ilícitos."
Falhas bem divulgadas, como a vulnerabilidade do serviço Windows Print Spooler descoberta em Junho de 2021, serviram de catalisador para que os profissionais de TI e de segurança investigassem a segurança dos ambientes AD das suas organizações. Desde o seu lançamento inicial em Março de 2021, mais de 5.000 utilizadores descarregaram Purple Knightuma ferramenta de avaliação de segurança gratuita da Semperis que analisa o ambiente do AD em busca de indicadores de exposição e comprometimento e gera um relatório que fornece uma pontuação geral de segurança, bem como orientação especializada para corrigir falhas. As organizações relataram uma pontuação inicial média de cerca de 68% - uma nota que mal passa.
Em entrevistas individuais, muitos utilizadores de Purple Knight disseram que foram apanhados de surpresa pelas conclusões do relatório.
"Sei que tenho o Active Directory", disse um CISO de uma empresa de fabrico canadiana. "Mas não sabia que tinha estes problemas. E eu sou bastante consciente da segurança. Por isso, foi uma boa bofetada na cabeça."
Preocupações com a recuperação do AD
Para além das preocupações com as vulnerabilidades desconhecidas e não resolvidas do AD, os inquiridos também disseram que se preocupam com os seus planos de recuperação do AD, incluindo:
- Não ter um plano de recuperação pós-ataque informático
- A incapacidade de recuperar rapidamente
- Não ter uma responsabilidade definida para a recuperação de AD
A maioria dos inquiridos afirmou que o impacto de um ataque que derrubasse os seus controladores de domínio variaria entre "significativo" e "catastrófico", aumentando a preocupação com um plano de resposta inadequado. Só nos últimos anos é que as organizações mudaram o enfoque dos planos de continuidade do negócio, que se destinam a catástrofes naturais ou erros humanos, para planos que fornecem uma resposta adequada a um ciberataque malicioso.
Tal como Gil Kirkpatrick (arquitecto chefe da Semperis) e Guido Grillenmeier (tecnólogo chefe) escreveram no seu whitepaper "O seu plano de recuperação de desastres do Active Directory cobre os ciberataques?", nos primórdios do AD, as equipas de TI estavam preparadas para recuperar o AD de vários problemas, incluindo a eliminação inadvertida de objectos do AD, configurações incorrectas das políticas de grupo e controladores de domínio avariados. Mas as hipóteses de ter de recuperar de uma interrupção completa do AD - como os ciberataques podem causar - eram "muito pequenas".
O cenário de ameaças mudou drasticamente desde os primeiros dias do AD, mas os desafios de recuperar uma floresta inteira do AD não mudaram. Como referem os autores do whitepaper, "continua a ser um processo complexo e propenso a erros que requer planeamento e prática para todas as implementações do AD, excepto as mais triviais."
Os resultados do relatório da EMA indicam que as equipas de TI e de segurança conhecem e estão preocupadas com os desafios da recuperação do AD de um ciberdesastre.
Os ambientes híbridos aumentam a complexidade da protecção dos serviços de identidade
A transferência de cargas de trabalho e aplicações para a nuvem será um processo contínuo e moroso, de acordo com o relatório da EMA (e corroborado por um relatório recente da Gartner), deixando as equipas de TI e de segurança a gerir a segurança num ambiente híbrido num futuro previsível. Enquanto 47% dos inquiridos no estudo da EMA classificaram a sua própria capacidade de gerir e proteger o AD no local como "muito competente", apenas 37% dos inquiridos atribuíram a si próprios essa classificação para ambientes de identidade híbridos. Cerca de um terço dos inquiridos classificou a sua capacidade de gestão e segurança de um ambiente híbrido como "adequada".
A confiança dos inquiridos na recuperação de recursos do Azure AD (como utilizadores, grupos e funções) após um ciberataque não foi tranquilizadora: Cerca de 55% dos participantes expressaram um nível "médio" de confiança. Gerir adequadamente a segurança num ambiente de identidade híbrido pode ser uma daquelas situações em que os profissionais ainda não sabem o que não sabem: A integração do Active Directory local com a autenticação do Azure AD requer uma mentalidade diferente, e a incapacidade de compreender algumas das principais diferenças pode expor as organizações a riscos de segurança.
Como é que as organizações estão a lidar com as preocupações de segurança do AD
Com a maior consciencialização dos ataques relacionados com o AD, as organizações estão a fazer alterações para reforçar as suas defesas em resposta a ataques de grande visibilidade como a violação da SolarWinds. O relatório da EMA constatou que:
- 45% das organizações aumentaram a colaboração entre as equipas operacionais e de segurança
- 44% concentram-se mais em colmatar as lacunas de segurança do AD, detectar ataques e garantir cópias de segurança sem malware
- 37% adicionaram profissionais especializados para resolver as deficiências de segurança do AD
A constatação de que as organizações estão a promover a colaboração entre as equipas operacionais e de segurança coincide com a de um relatório de 2021 da Identity Defined Security Alliance (IDSA), "2021 Trends in Securing Digital Identities", que relatou que 64% das organizações fizeram alterações para alinhar melhor as funções de segurança e identidade nos últimos dois anos. As organizações estão agora a reconhecer que um sistema de identidade seguro é o ponto de partida para proteger todos os outros activos da organização.
Estas mudanças organizacionais abrirão caminho para enfrentar os desafios e a urgência de identificar e resolver as vulnerabilidades do AD, a principal preocupação citada pelos inquiridos no relatório da EMA. À medida que as equipas de identidade e segurança partilham conhecimentos e colaboram em soluções, as organizações reforçarão as suas defesas contra ataques relacionados com a identidade. Apenas 3% dos inquiridos afirmaram que as suas organizações continuam a ver e a gerir o AD como um recurso operacional. Como Musich observou no relatório da EMA: "Esses retardatários terão uma escalada difícil para alcançar os 56% das organizações entrevistadas que fazem do Active Directory o núcleo de sua estratégia geral de segurança".