A Lei da Resiliência Operacional Digital (DORA) é um quadro legislativo da União Europeia (UE) que visa reforçar a resiliência operacional dos sistemas digitais no sector financeiro. Todas as entidades financeiras que operam na ou com a UE têm de cumprir a DORA até ao início de 2025, tal como os fornecedores de tecnologias de informação e comunicação (TIC) que apoiam essas entidades. Este artigo analisa os 5 pilares da conformidade com o DORA numa perspetiva de segurança do Active Diretory, para que a sua organização esteja bem preparada para cumprir as exigências deste regulamento.
Ler "Conformidade DORA e ITDR"
Os 5 pilares da conformidade DORA
O DORA contém cinco pilares de resiliência:
- Gestão do risco das TIC
- Gestão, classificação e comunicação de incidentes relacionados com as TIC
- Teste de resiliência operacional digital
- Gestão do risco de terceiros no domínio das TIC
- Partilha de informações
Para alcançar a conformidade geral com o DORA, cada pilar precisa de ser considerado e abordado. Como expliquei em "Conformidade com a DORA e ITDR", uma parte essencial da conformidade com a DORA é compreender e mapear os serviços essenciais, os sistemas e as suas dependências para garantir que estão bem protegidos contra ameaças digitais e que cada serviço tem um plano de resposta a incidentes abrangente e testável.
A gestão e monitorização do Active Diretory é a pedra angular da segurança eficaz do seu ambiente através da gestão da identidade e do acesso dos utilizadores (IAM). Isto coloca a segurança do Active Diretory firmemente sob a alçada da DORA.
Uma imagem clara e precisa da sua configuração do AD é crucial para manter a postura de segurança do seu ambiente e demonstrar a conformidade com o DORA. Eis como pode cumprir os requisitos dos cinco pilares críticos de resiliência do DORA no contexto do Active Diretory e dos seus desafios específicos.
Pilar 1 da Conformidade DORA: Gestão e governação do risco das TIC
A gestão do risco exige que as empresas tenham quadros de gestão do risco das TIC bem documentados para todos os seus principais activos comerciais. Este quadro deve incluir as ferramentas, a documentação e os processos adequados para a ciberdefesa, as perturbações operacionais e qualquer cenário que possa interromper ou perturbar a continuidade da atividade dos sistemas críticos.
O Active Diretory é um serviço fundamental, fornecendo autenticação e acesso à maioria dos serviços críticos para a empresa, incluindo correio eletrónico, documentos, dados e acesso a aplicações. Se o Active Diretory falhar, tudo o resto também falhará.
Para cumprir as exigências do pilar de gestão de riscos da DORA no que diz respeito ao Active Diretory, a sua organização tem de provar isso:
- Tem visibilidade total da sua configuração do Active Diretory e dos seus sistemas e serviços dependentes
- É possível controlar o que acontece no Active Diretory
- É possível recuperar o Active Diretory se algo correr mal
Por onde começar com a gestão do risco?
As empresas não precisam de começar do zero com a DORA e a gestão de riscos. Pode utilizar estruturas, conformidades e orientações industriais existentes, como a MITRE ATT&CK®(uma base de conhecimentos global de tácticas e técnicas de ciberataque), como ponto de partida.
As conformidades históricas, como o SANS Top 20 ou os Controlos CIS, são também recursos abrangentes sobre os quais se pode construir uma estrutura de gestão de riscos. Estas conformidades analisam os seus activos de hardware e software e o respetivo estado de configuração.
Estas estruturas e conformidades constituem a base a partir da qual pode tomar decisões baseadas no risco para o seu ambiente.
A tecnologia e as ferramentas devem fazer o trabalho pesado
O DORA exige que se adopte uma abordagem proactiva e contínua da avaliação dos riscos e das estratégias de mitigação. A legislação exige que os quadros de gestão do risco "sejam documentados e revistos pelo menos uma vez por ano ... bem como aquando da ocorrência de incidentes graves relacionados com as TIC, e na sequência ... de conclusões derivadas de testes de resiliência operacional digital ou de processos de auditoria relevantes. O quadro deve ser continuamente melhorado com base nos ensinamentos retirados da aplicação e do controlo "1.
As revisões regulares e a melhoria contínua são as melhores práticas para uma gestão eficaz dos riscos. No entanto, estas práticas também colocam uma quantidade significativa de pressão e trabalho nas equipas necessárias para manter e rever estas estruturas.
A tecnologia e as ferramentas são inestimáveis para assumir o trabalho pesado através da automatização e da monitorização proactiva, garantindo que a conformidade contínua requer o mínimo de tempo e esforço. Por exemplo, o Semperis Directory Services Protector (DSP) fornece uma visão abrangente dos seus activos de software do Active Diretory e do seu estado de configuração, tornando a avaliação de riscos e o mapeamento do ambiente simples - mesmo para organizações complexas.
Para além de fornecer esta informação, o DSP também dá contexto a quaisquer alterações efectuadas, mesmo em ambientes onde estão a ocorrer milhares de alterações ao Active Diretory. O DSP pode detetar, alertar e reverter automaticamente as alterações com base em regras de alerta e resposta configuráveis pelo cliente. A solução também monitoriza continuamente os indicadores de exposição e ataque, para que possa identificar vulnerabilidades antes que possam ser exploradas; se forem detectados vestígios de uma exploração, o DSP apresenta-os como indicadores de compromisso.
"DSP...ajuda-nos a proteger o Active Diretory. Conseguimos reforçar a nossa infraestrutura do Active Diretory como nunca antes o tínhamos feito. Conseguimos acertar em todas aquelas pequenas caixas de verificação e certificarmo-nos de que é absolutamente segura."
Paul Ladd, vice-presidente de sistemas de informação e tecnologia, AMOCO Federal Credit Union
Para aqueles que necessitam de assistência adicional, os nossos serviços de preparação para violações podem fornecer uma avaliação completa da segurança AD.
Conhecimento é poder quando se trata de conformidade. É vital dedicar algum tempo a compreender totalmente o que tem antes de passar para as fases de planeamento e teste.
Pilar 2: Comunicação de incidentes
O DORA exige a normalização do modo como são classificados os incidentes relacionados com as TIC. As organizações devem utilizar processos e modelos definidos para a comunicação de incidentes, e os reguladores exigirão relatórios em três fases:2
- Inicial
- Intermediário
- Fase final de um incidente
Tal como acontece com o pilar de gestão do risco do DORA, as orientações e os quadros de comunicação existentes podem ser úteis para desenvolver o seu processo de comunicação.
A abordagem da DORA em relação à resiliência não consiste necessariamente em analisar cada componente individualmente, mas em rever a cadeia global de ataque ou a cadeia defensiva que está a ser implementada, bem como as interdependências dos componentes. É aqui que a estrutura MITRE ATT&CK pode ser útil. Mapeie cenários teóricos e, em seguida, apresente relatórios sobre esses cenários. A base de conhecimentos e os modelos do MITRE são padrão da indústria, gratuitos e de código aberto. É uma óptima forma de compreender como os atacantes geralmente tentam ir atrás de si e como deve defender-se contra essas ameaças.
O regulamento descreve os componentes essenciais de um processo holístico e eficaz de notificação de incidentes. Vamos analisar estes requisitos e as suas implicações para a comunicação de incidentes do Active Diretory.
Identificar e classificar os incidentes
Em primeiro lugar, o DORA exige que as entidades financeiras "estabeleçam procedimentos para identificar, acompanhar, registar, categorizar e classificar os incidentes relacionados com as TIC de acordo com a sua prioridade e com a gravidade e criticidade dos serviços afectados".3 Por outras palavras, agora que identificou e avaliou os seus riscos, o passo seguinte é acordar e normalizar a forma como os diferentes incidentes são categorizados na empresa.
A classificação é um passo fundamental. Ao agrupar os tipos de incidentes e os respectivos planos de resposta, permite uma resolução atempada e precisa dos mesmos.
Como parte do pilar de gestão de riscos da DORA, deve ter mapeado todos os cenários prováveis de incidentes do Active Diretory e considerado os impactos, preparando esses incidentes para classificação. Como expliquei anteriormente, o Active Diretory é fundamental para a continuidade dos negócios, portanto sua classificação deve refletir essa criticidade.
No Relatório de Defesa Digital Microsoft 2023, a Microsoft salientou que, durante os compromissos relativos a incidentes, 43% dos seus clientes que sofreram incidentes tinham configurações inseguras do Active Diretory:
As lacunas mais prevalecentes que encontrámos durante os compromissos de resposta reactiva a incidentes foram:
- Falta de proteção adequada para as contas administrativas locais.
- Uma barreira de segurança quebrada entre a administração no local e na nuvem.
- Falta de adesão ao modelo do menor privilégio.
- Protocolos de autenticação herdados.
- Configurações inseguras do Active Directory.
Para quase todas as entidades financeiras, o Active Diretory deve ser classificado como de alta prioridade e gravidade devido ao potencial impacto de comprometimento, infiltração ou interrupção.
Semperis' livre Purple Knight e Forest Druid As ferramentas gratuitas e comunitárias da Semperis permitem que as organizações obtenham uma imagem do estado da configuração do AD. Purple Knight detecta indicadores de exposição e compromisso e fornece um plano claro e acionável para abordar estas áreas e corrigir quaisquer problemas. Forest Druid mapeia caminhos de ataque para o Active Diretory e Entra ID. Ao executar Purple Knight e Forest Druid como parte de seu ciclo de revisão regular, você dá mais um passo para alcançar a conformidade.
Descarregar Purple Knight e Forest Druid agora
Atribuição de funções de resposta a incidentes
Em seguida, o DORA determina que as organizações "atribuam funções e responsabilidades que precisam de ser activadas para diferentes tipos e cenários de incidentes relacionados com as TIC".4
A deteção e o tempo de resposta são dois dos factores mais importantes na resolução bem sucedida de incidentes e na minimização do impacto. Esta janela de oportunidade fecha-se rapidamente. A Microsoft e outras fontes observaram que, normalmente, passam menos de 2 horas entre o momento em que um atacante compromete um dispositivo e o movimento lateral do atacante através da rede, dando às equipas apenas um curto espaço de tempo para conter um ataque. Por conseguinte, garantir que cada pessoa e equipa conhece o seu papel na resposta a incidentes e tem um manual e um conjunto de ferramentas bem ensaiados para desempenhar essas funções coloca a sua organização na melhor posição possível para enfrentar rapidamente qualquer cenário de incidente.
Comunicação e notificação
O DORA também exige que as organizações "estabeleçam planos para a comunicação ao pessoal, às partes interessadas externas e aos meios de comunicação social [...] e para a notificação aos clientes, para os procedimentos internos de escalonamento" e "assegurem que, pelo menos, os incidentes graves relacionados com as TIC sejam comunicados à direção pertinente e informem o órgão de gestão de, pelo menos, incidentes graves relacionados com as TIC, explicando o impacto, a resposta e os controlos adicionais a estabelecer em consequência "5.
A comunicação eficaz e a notificação de incidentes requerem visibilidade das acções dos atacantes. Esse conhecimento não só permite uma resolução rápida, como também pode ajudá-lo a criar um processo de notificação simples e definido, para que possa comunicar rapidamente os incidentes, os seus impactos e a sua resposta.
Responder a ataques ao Active Diretory
Por último, o DORA dá instruções às organizações para "estabelecerem procedimentos de resposta a incidentes relacionados com as TIC para atenuar os impactos e garantir que os serviços se tornam operacionais e seguros em tempo útil".6
A automação pode acelerar a resposta a incidentes. Por exemplo, o Semperis DSP pode automatizar o processo de correção e tomar medidas contra ações mal-intencionadas, revertendo automaticamente alterações indesejadas no Active Diretory e no Entra ID até que as equipes de TI ou de segurança possam analisá-las e aprová-las. Também é possível criar alertas personalizados para notificar automaticamente o pessoal sobre atividades suspeitas ou perigosas no AD e no Entra ID.
Naturalmente, a simples documentação do seu plano de comunicação não é suficiente para satisfazer os requisitos da DORA. Deve também rever, testar e formar o pessoal sobre os seus procedimentos e ferramentas de comunicação e informação. Isto ajuda a garantir a conformidade do plano.
Pilar 3: Teste de resiliência operacional digital
Até agora, abordámos as componentes de planeamento, mapeamento e comunicação dos pilares DORA. Agora é altura de testar a resiliência. A DORA afirma que as organizações devem "manter e rever um programa de testes de resiliência operacional digital sólido e abrangente" que inclua "uma gama de avaliações, testes, metodologias, práticas e ferramentas" e estabelecer "procedimentos e políticas para dar prioridade, classificar e resolver todos os problemas revelados durante a realização dos testes".7
Os testes de resiliência são uma componente crucial do regulamento, uma vez que a conformidade com a DORA exige provas de que foram efectuados testes bem sucedidos.
O problema de testar cenários do Active Diretory
Os testes de resiliência no âmbito do DORA devem abranger uma variedade de possíveis perturbações, desde ciberataques sofisticados que visam violar ou perturbar os sistemas até erros operacionais, como a eliminação acidental de dados. O problema é que os testes do Active Diretory não são simples. Além disso, a criticidade do armazenamento de diretórios pode fazer com que as equipas tenham receio de executar testes ao vivo:
- Se desativar o Active Diretory, nada mais funciona.
- Os testes do Active Diretory são demorados e exigem muita mão de obra.
- Qualquer erro acarreta um elevado risco de perda de dados e de perturbação da atividade.
Por estas razões, muitas organizações preferem efetuar exercícios de teste em papel no que diz respeito à AD. No entanto, essa abordagem não é suficiente para alcançar a conformidade com o DORA.
Quais são os principais cenários que precisa de testar?
Cada cenário de ataque potencial ao Active Diretory requer um manual de testes diferente, devido aos diferentes níveis de acesso à plataforma entre as equipas de resposta. Considere as seguintes possibilidades:
- O Active Diretory desapareceu. A plataforma está comprometida e não é de confiança.
- O AD está operacional, mas sob ataque ativo. O Active Diretory não foi encriptado, mas alguma forma de ameaça cibernética ou malware violou o sistema.
- Ocorreu um erro catastrófico. Por exemplo, uma base de dados está corrompida, um grupo de utilizadores críticos foi eliminado ou alguns utilizadores deixaram de ter acesso.
Para cada um destes cenários, os exercícios em tempo real e a implementação de processos manuais desempenham um papel fundamental nos testes de resiliência.
Por exemplo, realizámos recentemente um exercício em direto com um cliente. Durante o exercício, descobrimos que a organização precisaria de 48 horas para repor as operações normais do Active Diretory, utilizando processos manuais e cópias de segurança históricas. Este período de tempo está muito para além da tolerância ao risco da maioria das empresas.
Estratégias de simulação e resposta
Uma boa opção para reduzir o risco e a ansiedade de testar a recuperação AD é criar um ambiente de teste alternativo onde os cenários potenciais possam ser simulados em segurança sem pôr em risco a infraestrutura operacional principal. Esta abordagem permite uma avaliação realista das estratégias de preparação e resposta da entidade sem expor os sistemas principais ao risco.
Pilar 4: Gestão do risco de terceiros no domínio das TIC
O penúltimo pilar destaca o risco de terceiros, proveniente de fornecedores de TIC. A DORA estipula que este risco deve ser gerido pela organização de serviços financeiros, mas que os fornecedores terceiros são contratualmente obrigados a apoiar a empresa na eventualidade de um incidente de cibersegurança. Nesses casos, os fornecedores de TIC têm de contribuir com a informação adequada e com os mais elevados padrões de segurança possíveis para os serviços queprestam8.
Como é que a gestão de riscos de terceiros afecta o Active Diretory?
A muitos utilizadores terceiros, quer sejam parceiros externos ou fornecedores, é concedido acesso aos sistemas de uma organização através do Active Diretory. Embora externos, estes utilizadores aparecem e funcionam no sistema como utilizadores internos legítimos, utilizando contas fornecidas pela organização.
Esta prática, embora essencial, introduz complexidades na gestão e segurança do acesso. Aumenta a exposição potencial ao risco, uma vez que as contas de terceiros podem ser vulneráveis a utilizações indevidas ou ciberataques.
As organizações devem estar preparadas para combater esse risco. Por exemplo, através da monitorização contínua das alterações do ambiente e da deteção de ataques baseados em ML, a Semperis pode identificar e mitigar ataques baseados na identidade, minimizando assim os riscos de terceiros no Active Diretory.
Pilar 5: Partilha de informações
O último pilar de resiliência diz respeito à partilha de informações, solicitando que as entidades financeiras definam estratégias para a partilha de informações sobre ameaças e para a troca segura de informações no seio de comunidades de confiança.9
Esta prática já está a ser seguida em muitos casos. Por exemplo, o Centro Nacional de Cibersegurança (NCSC) e o Banco de Inglaterra facilitam estes debates no âmbito da comunidade dos serviços financeiros. Mas ao abrigo do DORA, as entidades financeiras são obrigadas a contribuir com o objetivo de melhorar a postura global de segurança do sector.
Partilhar informações sobre incidentes e ameaças AD
A Semperis faz parte dessas discussões, compartilhando insights e pesquisas para educar o setor sobre como se proteger melhor contra ameaças emergentes e em evolução. A nossa equipa de investigação designada expõe regularmente novas e interessantes formas de os atacantes abusarem do Active Diretory e do Entra ID. Toda essa pesquisa é inserida em nossas ferramentas comunitárias gratuitas, como Purple Knight e Forest Druido que significa que qualquer organização pode se beneficiar do poder desses insights.
Obtenha agora uma imagem abrangente da sua configuração de AD híbrido
Um dos principais desafios da conformidade com a DORA é o facto de o regulamento definir as expectativas de conformidade, mas não fornecer quadros específicos sobre a forma como as empresas podem pôr em prática essas medidas e, em última análise, por onde devem começar.
Trabalhar com estes cinco pilares e os seus requisitos no Active Diretory é um excelente primeiro passo - se tiver uma boa visibilidade da sua configuração. Mas, como vimos, é impossível proteger algo sem informações suficientes.
Por onde começar? Descarregar Purple Knight e Forest Druid para obter uma imagem do estado da configuração do seu Active Diretory e das potenciais exposições. Obterá um plano claro, acionável e gratuito para abordar estas áreas e corrigir quaisquer problemas, colocando-o na melhor posição para iniciar a sua jornada de conformidade DORA para o Active Diretory.
Descarregue as ferramentas gratuitas agora
Outros artigos da nossa série Conformidade DORA
Recursos
1 https://www.digital-operational-resilience-act.com/Article_6.html
2 https://www.digital-operational-resilience-act.com/Article_19.html
3,4,5,6 https://www.digital-operational-resilience-act.com/Article_17.html
7 https://www.digital-operational-resilience-act.com/Article_24.html
8 https://www.digital-operational-resilience-act.com/Article_28.html
9 https://www.digital-operational-resilience-act.com/Article_45.html