O Active Directory tem sido uma das principais ferramentas de cibersegurança há mais de duas décadas. O problema de proteger o AD - utilizado por cerca de 90% das empresas da Fortune 1000 - deataques de ransomware é simplesmente o facto de não ter sido concebido para o panorama de segurança actual. Muitas organizações nem sequer conhecem o mapa completo da sua implementação, tornando o AD o alvo perfeito para os agentes de ameaças.
As organizações de cuidados de saúde, em particular, enfrentam um risco significativo. Outrora considerado "fora dos limites" pelos atacantes, este sector é cada vez mais visado. O que é que as organizações de cuidados de saúde podem fazer para se protegerem?
O que torna o Active Directory um alvo tão atractivo?
No que diz respeito à infra-estrutura de TI, o Active Directory é o alicerce de toda a infra-estrutura de TI. Pense da seguinte forma: Quando uma implantação do AD é comprometida, o invasor não tem apenas as chaves do reino - ele agora tem um mapa do tesouro que mostra onde encontrar qualquer coisa valiosa, além de uma superestrada para chegar lá.
"Há muita informação armazenada no Active Directory", diz Matt Sickles, Arquitecto Estratégico da Sirius Healthcare. "Um mapa da rede, uma lista de sites e serviços, as localizações e detalhes de todos os administradores, até mesmo um organograma. Isto permite que os atacantes utilizem o Active Directory como arma para ataques altamente sofisticados."
A prevenção começa com o básico
Ciberataques sofisticados como o da SolarWinds podem ter muita cobertura da imprensa, mas esses casos de grande visibilidade não são a norma. A maior parte dos atacantes procura alvos fáceis. Querem encontrar alvos que lhes proporcionem a melhor relação esforço/retorno possível.
A maioria dos ataques envolve um atacante que explora uma falha, como um servidor não corrigido. As medidas de segurança básicas podem contribuir muito para eliminar este tipo de ameaças, incluindo o ransomware.
"Como muitos cenários de ataque são baseados em credenciais elevadas comprometidas, o menor privilégio é um conceito importante ao proteger o Active Directory", explica Sickles. "Limite as permissões, certifique-se de que tem um catálogo das suas políticas de grupo e monitorize quaisquer alterações. Garantir que todas as contas de serviço têm uma palavra-passe forte é também uma obrigação.
"As empresas também precisam de uma forma de filtrar os alertas de segurança do AD e gerir ou controlar as contas de serviço", acrescenta. "Por último, a autenticação multifator é uma das melhores defesas contra o ransomware."
Porque é que a segurança "tradicional" é insuficiente
Quando se trata de cibersegurança, o Active Directory revela-se uma dificuldade única. Devido à complexidade inerente ao AD e à natureza das contas de serviço, a detecção de indicadores de comprometimento e a protecção proactiva do AD contra ameaças pode ser difícil, especialmente se a detecção depender da análise dos registos de segurança.
"Quando se obtém uma palavra-passe para uma conta de serviço com permissões elevadas, parece frequentemente uma actividade normal", observa Sickles. "Normalmente não se sabe que está comprometida até que haja algum tipo de entrega de carga útil ou ataque directo. Além disso, embora existam algumas ferramentas fornecidas pela Microsoft para ajudar a proteger o Active Directory, não existe um único download que cubra facilmente as questões básicas de segurança."
"Abordar as complexidades do Active Directory é muito difícil", continua ele. "Sendo um fornecedor especializado, a Semperis tem alguns conjuntos de ferramentas excelentes para isso."
Os criminosos visam cada vez mais as cópias de segurança
As cópias de segurança são a melhor defesa contra o ransomware. Infelizmente, os criminosos sabem disso. Como resultado, muitos agentes de ransomware esperam semanas ou mesmo meses para activar o seu payload. Pior ainda, muitos visam directamente as cópias de segurança do Active Directory.
Quando efectua uma cópia de segurança convencional de um controlador de domínio do AD, está a fazer uma cópia de segurança de todo o servidor e de tudo o que nele se encontra - incluindo qualquer malware oculto.
"Um dos maiores riscos para qualquer organização é ligar o SSO do Active Directory ao seu sistema de cópias de segurança", afirma Sickles. "Por conseguinte, as suas cópias de segurança devem ser de domínios separados e completamente isolados ou de contas locais. A minha maior recomendação, no entanto, é garantir que as cópias de segurança são verdadeiramente imutáveis e manter cópias air gapped de todos os sistemas críticos, não apenas do Active Directory."
Conheça a implantação do Active Directory
Muitas organizações consideram o Active Directory um dado adquirido. Ou não compreendem a sua importância ou não têm visibilidade do AD. Também assumem que o seu plano de recuperação de desastres abrange o Active Directory, o que muitas vezes não é o caso.
"O Active Directory é um dos principais serviços de base da organização", observa Sickles. "É importante ter uma rede de segurança para quando estiver offline - um controlador de domínio em modo de porto seguro, por exemplo. E é imperativo que as empresas saibam como tudo se encaixa."
Não se limite a implementar soluções de segurança; tenha um plano
As soluções de segurança, por si só, nunca serão suficientes. Para que as empresas se protejam verdadeiramente, também precisam de examinar os processos organizacionais.
A diferença entre uma resposta rápida e uma resposta lenta - entre travar ou recuperar com êxito de um ataque e ser vítima dos atacantes - resume-se muitas vezes ao seu planeamento antecipado.
"As organizações precisam de se perguntar como irão recuperar o Active Directory se perderem o sistema de cópia de segurança", afirma Sickles. "Isso começa com a garantia de que o centro de operações de segurança planeou e praticou os casos e cenários de utilização correctos. Eles precisam executar tabletops de forma recorrente para garantir que seus planos e ferramentas realmente funcionem."
Combater as maiores ameaças de AD nos cuidados de saúde
Proteger as organizações de cuidados de saúde contra o cibercrime envolve avaliar proactivamente as ameaças, mitigar os ciberataques e ter um plano testado para restaurar o Active Directory. Ferramentas de avaliação gratuitas como Purple Knight podem procurar indicadores de exposição e compromisso e são um excelente ponto de partida para melhorar a sua posição de segurança do AD. Ferramentas e serviços de backup e recuperação centrados no AD, incluindo Semperis Directory Services Protector (DSP) e Active Directory Forest Recovery (ADFR), podem fornecer cópias de segurança fiáveis do AD e até automatizar o processo de correcção de alterações suspeitas ao AD.
Saiba mais
