Este blogue aborda a razão pela qual a auditoria do Active Directory é necessária.
Quem mexeu no meu objeto e outros mistérios da AD
O Active Directory foi criado para simplificar os serviços de identidade na empresa e facilitar a vida dos administradores de sistemas em todo o lado, mas a falta de visibilidade das operações do AD continua a ser um grande problema. Para alguém responsável pela manutenção do AD, não há nada mais frustrante do que não ser capaz de compreender quem fez uma alteração no Active Directory e qual foi essa alteração. Pode literalmente passar horas a tentar perceber porque é que um Objecto de Política de Grupo está num estado de aviso e nunca encontrar a causa principal. Além disso, se o excesso de privilégios for comum num ambiente e mais utilizadores tiverem direitos de Administrador do Domínio, isso leva a mais questões sobre quem fez o quê no Active Directory. Mais recentemente, os malfeitores que pretendem infiltrar-se na sua rede estão a utilizar cada vez mais o Active Directory como ponto de partida para tipos de ataques mais persistentes.
Leitura relacionada
Para além do factor incómodo, não auditar o seu ambiente Active Directory coloca a sua organização em risco, tanto do ponto de vista operacional como legal.
Aqui estão apenas algumas razões pelas quais é crucial auditar o Active Directory:
- Estado do sistema: O Active Directory não possui ferramentas de alerta nativas para o actualizar sobre o estado do seu sistema. Se uma das muitas funções de replicação do AD estiver degradada, poderá só descobrir quando os utilizadores finais estiverem a ser afectados. A monitorização proactiva do estado do sistema fornece alertas em tempo real para que possa tomar medidas antes que alguém se aperceba.
- Actividade suspeita: Os agentes de ameaças residem frequentemente num ambiente durante meses antes de efectuarem um ataque informático. Se estiver a auditar activamente o seu ambiente do Active Directory, há uma boa hipótese de ser alertado para actividades suspeitas antes de um ataque completo.
- Conformidade: Para algumas instituições, agora é lei que você deve auditar seus serviços do Active Directory. Os regulamentos, como o SOX 404, exigem que as organizações implementem controlos para garantir que os erros das aplicações são identificados e corrigidos.
O assistente de auditoria do Active Directory por trás da cortina
A maioria das soluções de auditoria do Active Directory monitoriza simplesmente as alterações efectuadas no sistema. No entanto, esse tipo de auditoria não é abrangente por dois motivos:
- Se o rastreio for desactivado por apenas um minuto, quer seja acidental ou intencional, poderá perder de vista os eventos críticos que ocorrem no Active Directory.
- Se um ciberataque tiver acesso ao AD, pode modificar ou apagar os registos de segurança e ocultar o seu rasto. As investigações post-mortem das violações da Target e da Sony mostraram que os atacantes modificaram os registos de segurança, o que lhes permitiu permanecer no sistema sem serem detectados durante mais de 200 dias.
É importante que considere mais do que apenas um mecanismo de controlo de alterações para fins de auditoria do AD. O Semperis Directory Services Protector (DSP) fornece uma visão confiável das modificações do Active Directory, correlacionando informações de duas fontes e comparando estados em tempo real para garantir que nenhum evento passe despercebido. Os eventos são então registados na base de dados backend, para que possa efetuar pesquisas de texto livre e ver um "ticker" de todas as actividades que ocorreram no período de tempo pretendido.
DSP também inclui recuperação pontual, para que possa reverter rapidamente o Active Directory para um estado anterior, quando necessário. Quer necessite de anular uma alteração em massa de um grupo de segurança que causou estragos nas suas aplicações, quer necessite de restaurar um site do AD eliminado que destruiu a replicação do AD, o DSP pode tornar estes processos tão fáceis como um clique no rato.
Obter visibilidade dos serviços do Active Directory
A Microsoft concebeu o Active Directory para acomodar muitas alterações em toda a organização, e é fundamental detetar e registar essas alterações para uma implementação segura e bem gerida. Uma solução abrangente de auditoria do Active Directory não só fornecerá visibilidade das alterações feitas no AD, como também tornará a sua organização mais eficiente, alertando-o para operações degradadas e eliminando as horas gastas na análise e restauração da causa raiz. E, além da visibilidade e da eficiência, a auditoria do Active Directory é essencial para manter a conformidade em muitos setores.