- Como é que as organizações estão a responder às ameaças do Active Directory?
- Que percentagem de organizações sofreu um ataque ao Active Directory nos últimos 1-2 anos?
- Que percentagem de ataques AD foram bem sucedidos?
- Com que frequência é que os testes de penetração são bem sucedidos?
- Quantas organizações planeiam aumentar o investimento na proteção do AD?
- Não se vislumbra o fim dos ataques AD
Nova pesquisa da EMA destaca o aumento das explorações do Active Directory
Ultimamente, o Active Directory tem sido muito falado nos meios de comunicação comerciais e tecnológicos, mas não no bom sentido. O AD continua a ser um alvo privilegiado para os cibercriminosos: Apenas alguns exemplos recentes incluem ataques relacionados com o AD ao Sinclair Broadcast Group, ao fabricante de câmaras Olympus e a uma subsidiária da Nokia.
Um novo relatório da Enterprise Management Associates (EMA) - "The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?" - explora o impacto nas organizações das fraquezas de segurança do AD e como elas estão respondendo. Uma descoberta importante que ilustra o nível de preocupação com as ameaças à segurança do AD: 86% das organizações inquiridas afirmaram estar a planear aumentar o seu investimento na protecção do AD. O número crescente de ataques publicitados ao AD aumentou a sensibilização para o AD como um vector de ataque.
Leitura relacionada
Como a analista da EMA Paula Musich observou no relatório, atacar o AD é o meio para atingir o fim para os agentes de ameaças. Os atacantes usam o AD para violar as redes das organizações e, em seguida, passam pelo sistema de informações comprometido para obter acesso a ativos valiosos. Por exemplo, na recente série de ataques "golden ticket", incluindo o ataque"Golden SAML" lançado contra a SolarWinds, os criminosos criaram credenciais de utilizador falsas, imitaram utilizadores reais e contornaram a autenticação de dois factores. No caso da SolarWinds, os atacantes aumentaram os privilégios explorando o acesso não autorizado nas listas de controlo de acesso do AD. Essa abordagem permitiu que eles se movessem lateralmente dentro das redes das vítimas - sob o disfarce desses níveis de permissão elevados roubados - para acessar e exfiltrar dados confidenciais. Ataques como este estão a levar as organizações a duplicar a segurança do AD.
Embora os ataques ao AD tenham aumentado tanto em termos de gravidade como de custos no último ano, não são novos. Os investigadores de segurança identificaram pela primeira vez explorações "golden ticket" em 2017, e os atacantes têm visado o AD há anos na esperança de obter acesso a recursos empresariais de elevado valor. O AD é um alvo interessante porque é o principal armazenamento de identidades utilizado para autenticar utilizadores e conceder acesso aos dados das organizações, incluindo dados de clientes altamente valiosos.
Como as organizações estão a responder às ameaças do Active Directory
Para compreender melhor o número crescente de ataques devastadores ao AD, a EMA inquiriu 250 profissionais e executivos de TI sobre a forma como as suas organizações estão a responder ao risco crescente e como as suas prioridades de segurança do AD estão a mudar. Musich apresentou as principais conclusões do relatório da EMA no seminário na Web, "The Rise of Active Directory Exploits: Como as empresas estão a responder a uma ameaça cada vez mais virulenta". As principais conclusões traçaram um quadro alarmante da forma como as fragilidades de segurança do AD estão a afectar a postura geral de segurança das organizações.
1. 50% das organizações sofreram um ataque ao Active Directory nos últimos 1-2 anos.
Dado o aumento da prevalência de ataques ao AD, é surpreendente que apenas 50% dos inquiridos tenham indicado que o sistema AD das suas organizações foi atacado nos últimos dois anos. Segundo a própria Microsoft, 95 milhões de contas AD são alvo de ciberataques todos os dias.
Musich observou que uma parte significativa destes ataques pode ter passado despercebida: 25% dos inquiridos afirmaram que a detecção de ataques em directo é o maior desafio de segurança do AD. Esta distinta falta de visibilidade e a elevada taxa de ataques ao AD sugerem que as organizações podem estar a perder atacantes furtivos que conseguiram encobrir o seu rasto. (Guido Grillenmeier, Tecnólogo Chefe da Semperis, escreveu sobre como algumas ameaças podem escapar às soluções de registo em "How to Defend Active Directory Attacks That Leave No Trace.") Também é possível que alguns profissionais de segurança não se apercebam de que o AD desempenha frequentemente um papel nos ataques de ransomware.
2. Mais de 40% dos ataques ao Active Directory foram bem sucedidos.
Os caçadores de ameaças da Mandiant estimam que 90% dos compromissos de resposta a incidentes que realizam com os clientes envolvem o AD de alguma forma, seja o AD o vetor de ataque inicial ou o meio pelo qual os invasores podem obter persistência ou privilégios. Esta constatação torna particularmente alarmante a elevada taxa de sucesso dos ataques ao AD.
3. Os testadores de penetração exploraram com êxito as exposições do Active Directory em 82% das vezes.
Embora as equipas de operações de TI e de operações de segurança sejam os principais grupos responsáveis pela realização de avaliações, o seu trabalho é, por vezes, reforçado por avaliações realizadas por equipas internas ou equipas de testes de penetração. Para 29% das organizações inquiridas que realizam exercícios internos de equipas vermelhas ou testes de penetração contra o AD, a tentativa de explorar as exposições do AD é uma parte comum do programa. Para as organizações que realizam testes de exploração do AD, a taxa de sucesso é surpreendentemente alta, 82%.
Dado o profundo nível de especialização necessário para encontrar vulnerabilidades e compreender os tipos de erros que podem conduzir a essas exposições, muitas organizações não dispõem dos recursos necessários para efectuar frequentemente avaliações do AD. E as ferramentas de testes de penetração automatizados oferecem capacidades limitadas para manter uma boa postura de segurança do AD. Mesmo com os conhecimentos especializados disponíveis, a correcção de exposições e vulnerabilidades continua a ser um processo complicado devido à estrutura complexa do AD. Factores como a falta de visibilidade das exposições do AD e os requisitos para investigar a exposição constituíram um desafio para 38% e 37% dos inquiridos, respectivamente.
4. 86% das organizações planeiam aumentar o investimento na protecção do Active Directory.
Dado o número crescente de manchetes sobre explorações de AD, não é de surpreender que as equipas de segurança estejam a colocar a segurança do AD no topo da lista de prioridades. O aumento dos ataques ao AD levou a maior percentagem de organizações a planear um aumento das despesas com a segurança, mas há outras questões que também estão a motivar essas decisões. A pandemia provocou duas grandes alterações inter-relacionadas na actividade de TI: a necessidade de suportar actividades remotas ou de trabalho a partir de casa em grande escala e a aceleração dos planos de migração para a nuvem.
Não se vislumbra o fim dos ataques AD
Embora a Microsoft continue a publicar actualizações de segurança para o AD, nada impedirá a ocorrência de ataques ao AD, o que é evidente pelo número crescente de incidentes. Para proteger as suas organizações das ameaças actuais, as equipas de segurança devem aumentar a sua visibilidade da superfície de ataque do AD e ter um plano testado para responder quando for detectado um ataque em directo.
Além disso, as auditorias continuam a ser o principal método para identificar e proteger as exposições, mas não são a única ferramenta que as equipas de segurança podem ou devem utilizar, especialmente devido à sua natureza instantânea. Actualmente, novas ferramentas podem detectar padrões de actividade maliciosa em tempo real, à medida que os atacantes procuram obter acesso a contas privilegiadas e criar portas traseiras. Recentemente apresentada pela Semperis, Purple Knight é uma ferramenta gratuita de avaliação da segurança do AD que consulta o ambiente AD de uma organização e efectua um conjunto abrangente de testes contra os vectores de ataque mais comuns e eficazes para descobrir configurações de risco e vulnerabilidades de segurança. A Semperis também oferece a plataforma híbrida de detecção e resposta a ameaças de AD mais abrangente do sector, Directory Services Protector.
Para obter mais informações sobre como as organizações estão a mudar as prioridades para lidar com a crescente ameaça das falhas de segurança do AD, transfira o relatório completo da EMA aqui.