Com base na minha experiência na Equipa de Deteção e Resposta da Microsoft (DART), sei que os operadores de ransomware visam quase sempre identidades com privilégios elevados. Quando os atacantes ganham controlo, utilizam essas identidades para espalhar o ransomware, por exemplo, através da Política de Grupo ou do PsExec. Os ataques de ransomware são normalmente ruidosos e destrutivos, com o objetivo de causar o máximo impacto no menor tempo possível. É por isso que é importante não só recuperar os sistemas de identidade após um ataque, mas também garantir que o ambiente pode ser novamente fiável para evitar ataques subsequentes.
A resposta a incidentes (IR) tem se concentrado tradicionalmente na caça a ameaças e na análise forense para entender como um ataque aconteceu, identificando contas e máquinas comprometidas, analisando malware e rastreando as atividades do invasor. No entanto, quando sistemas de identidade como o Active Diretory (AD) e o Entra ID são comprometidos, a investigação padrão não é suficiente. Para reduzir o risco de os invasores recuperarem o acesso, a contenção, a perícia específica de identidade e a recuperação segura tornam-se igualmente essenciais. É aqui que o Identity Forensics & Incident Response (IFIR) se destaca.
O que é o IFIR?
O IFIR prioriza a resiliência dos sistemas de identidade, reduzindo a superfície de ataque e eliminando ameaças à segurança antes, durante e depois de um ataque. A nossa abordagem inclui a procura de "backdoors" do AD e de configurações incorrectas que os atacantes podem explorar para entrar ou voltar a entrar num ambiente alvo: Persistência baseada em ACL, injeção de histórico de SID, malware em SYSVOL, abuso de delegação Kerberos, manipulação da Política de Grupo, backdoors relacionados com ADCS e PKI, e muitos outros.
Na era do ransomware, as funções de resposta a incidentes estão a expandir-se. Matt Zorich, um profissional de IR, tweetou sobre a forma como a Digital Forensics & Incident Response (DFIR) tradicional inclui agora a contenção e a recuperação, salientando que estes passos são tão importantes como a própria investigação(Figura 1). Esta mudança está a tornar-se mais comum na indústria. Os responsáveis pela resposta a incidentes não devem apenas determinar o que aconteceu, mas também ajudar na contenção e recuperação.
Com os invasores indo atrás de sistemas de identidade como o Active Diretory e o Entra ID, a investigação por si só não é suficiente. As organizações precisam de uma forma de restaurar o seu ambiente de identidade com confiança, e é exatamente aí que entra a Semperis.
Colocar os controladores de domínio (DCs) novamente online após um ataque é apenas uma parte da equação. O verdadeiro desafio é garantir que os sistemas de identidade permaneçam seguros e resilientes para evitar ataques posteriores. A nossa equipa IFIR é especializada não só na contenção e recuperação, mas também na limpeza do ambiente de quaisquer migalhas de pão deixadas pelos atacantes e na identificação proactiva de configurações fracas no AD - reforçando as defesas e reduzindo o risco de futuros ataques baseados na identidade(Figura 2).
Muitas organizações operam em um modelo de identidade híbrida, no qual o AD local está intimamente integrado a provedores de identidade (IdPs) baseados em nuvem, como o Entra ID. Essa configuração permite autenticação e acesso contínuos a aplicativos SaaS, como Office 365, Salesforce e Zoom, mas também expande a superfície de ataque. Um comprometimento no AD não afeta apenas os sistemas locais; ele pode afetar diretamente a segurança na nuvem também, tornando os recursos IFIR essenciais para implantar o mais cedo possível.
O IFIR não se concentra apenas na recuperação do AD. A Semperis também investiga o Entra ID em busca de pontos fracos e mecanismos de persistência que os atacantes possam utilizar para manter o controlo a longo prazo sobre as identidades na nuvem. Os invasores que obtêm acesso ao AD local podem escalar sua posição na nuvem, o que torna a segurança de identidade híbrida uma preocupação crítica (Figura 3).
A Figura 3 ilustra a complexidade da arquitetura de identidade empresarial, na qual estão interligados vários sistemas, tais como bases de dados no local, IdPs na nuvem e aplicações SaaS. Quando os atacantes comprometem o AD, podem entrar em ambientes de nuvem, aumentar os privilégios ou estabelecer persistência.
Implantação em instalações industriais abandonadas vs implantação em instalações verdes
Uma implantação greenfield do Active Diretory começa do zero, com um ambiente AD totalmente novo. Em teoria, esta abordagem parece ideal após um grande compromisso porque remove quaisquer ameaças persistentes do ambiente antigo. Mas num ambiente empresarial, a recuperação greenfield raramente é prática.
Uma implementação brownfield restaura e protege o ambiente AD existente em vez de o reconstruir de raiz. Uma recuperação completa de raiz requer a migração de utilizadores, a reconfiguração de aplicações e a garantia de que tudo se integra corretamente, o que constitui um esforço enorme que pode ser dispendioso e perturbador. Uma recuperação brownfield, por outro lado, centra-se na correção de ameaças e no reforço da segurança, mantendo as operações comerciais em funcionamento.
A análise forense de identidades e a resposta a incidentes desempenham um papel fundamental. Restaurar o AD sem identificar e resolver completamente as configurações incorrectas, backdoors e outras falhas de segurança pode deixar as organizações vulneráveis a reinfecções.
Embora uma reconstrução greenfield possa ser necessária em casos extremos, uma recuperação brownfield é geralmente o melhor equilíbrio entre segurança, custo e continuidade dos negócios. Com o IFIR, as organizações podem restaurar e proteger o AD e, ao mesmo tempo, reduzir o risco de reintroduzir o comprometimento, identificando e eliminando configurações incorretas e pontos fracos antes de colocar os sistemas novamente em produção.
Obter ajuda dos especialistas do IFIR
Durante a resposta a um incidente, as organizações costumam chamar especialistas em DFIR para investigar o que aconteceu. Mas a investigação é apenas uma parte da equação. A recuperação e a contenção são igualmente importantes. Restaurar as operações de forma segura e minimizar as hipóteses de os atacantes voltarem a ter acesso requer um conjunto de competências diferente.
A equipa IFIR da Semperis faz a diferença. Somos especializados na recuperação do Active Diretory e do Entra ID, garantindo que seus sistemas de identidade voltem a ficar on-line com segurança e proteção. Se você precisa conter uma ameaça ativa, remover configurações inseguras, desenvolver um plano de recuperação de desastres ou fortalecer sua postura geral de segurança de identidade, estamos aqui para ajudar.
A Semperis também pode trabalhar em conjunto com a sua equipa DFIR preferida, fornecendo a experiência especializada em recuperação de identidade necessária para proteger totalmente o seu ambiente.
Se a sua organização estiver a enfrentar um incidente relacionado com a identidade, contacte a nossa equipa IFIR para uma recuperação segura e fiável.
Saiba mais sobre os serviços Semperis IFIR
