A divulgação do ataque à cadeia de fornecimento contra a SolarWinds no final de 2020 foi um alerta para as agências federais responsáveis pela segurança dos activos de informação dos EUA - e para a indústria da segurança. À medida que mais detalhes por trás do ataque vêm à tona, uma das revelações mais significativas é que os invasores usaram métodos testados e comprovados para obter acesso inicial - por meio do Active Directory (AD) local.
Como Sean Deuby, Director de Serviços da Semperis, escreveu num artigo recente da InfoSecurity Magazine, se um atacante conseguir contornar os controlos de autenticação e obter acesso de administrador ao AD, então o agente da ameaça pode obter visibilidade total do ambiente do AD - tanto no local como na nuvem. À medida que as ameaças patrocinadas pelo Estado continuam a aumentar, a monitorização contínua do AD em busca de actividades suspeitas é um componente essencial para prevenir, detectar e impedir actividades maliciosas.
O ataque da SolarWinds indica que os recursos de identidade no local serão cada vez mais utilizados como ponto de entrada para ambientes de nuvem. No entanto, as boas práticas de segurança podem ajudar a mitigar até os ataques mais complexos. Deuby aponta para recursos recentes, incluindo uma publicação no blogue da Microsoft que fornece directrizes para proteger o Azure AD, bem como orientações actualizadas da CISA.
A utilização de uma abordagem em camadas para proteger o AD que inclua a monitorização contínua de indicadores de exposição que possam comprometer o AD ajudará as organizações a proteger os seus activos de informação. Embora os ataques cibernéticos estejam se tornando cada vez mais sofisticados, proteger o Active Directory é uma etapa fundamental no plano de defesa contra ataques cibernéticos de uma organização.