As organizações estão à procura de tecnologias de ponta para facilitar as crescentes exigências comerciais. Mas à medida que a sua organização cresce, também cresce a sua superfície de ataque. É importante compreender as potenciais vulnerabilidades, especialmente as relacionadas com activos de identidade de Nível 0, como o Active Directory. Para ajudar a detectar esses riscos, muitas organizações recorrem a soluções de gestão de eventos e informações de segurança (SIEM) ou de orquestração, automatização e resposta de segurança (SOAR). Mas até que ponto o SIEM e o SOAR são competentes na protecção do AD?
Atenuação de ameaças através da monitorização de registos
A cibersegurança é um processo contínuo. Com o surgimento constante de novos ataques, é necessário monitorizar continuamente o seu ambiente para detectar ameaças à confidencialidade, integridade e disponibilidade dos activos de identidade e das operações comerciais da sua organização. Detectar as ameaças nas fases iniciais é vital se espera pará-las no seu caminho e minimizar o seu impacto financeiro ou na reputação.
Muitas organizações implementam soluções que detectam incidentes com base em registos de segurança. No entanto, monitorizar a enorme actividade de registo que pode resultar desta monitorização pode ser uma tarefa entediante. As soluções SIEM e SOAR fornecem respostas automatizadas que aliviam essa carga.
Diferenças entre SIEM e SOAR
Embora o SIEM e o SOAR sejam parecidos em alguns aspectos, existem várias diferenças entre estas duas tecnologias de segurança.
O que é o SIEM?
As empresas podem utilizar o SIEM para recolher, centralizar e armazenar registos de várias fontes, em tempo real. É possível utilizar esta abordagem para monitorizar actividades suspeitas e analisar eventos passados. O SIEM pode recolher registos de redes, sistemas, infra-estruturas, aplicações ou activos específicos.
O SIEM pode obter feeds de ameaças externas e utilizar análises avançadas para o notificar de eventos maliciosos no seu ambiente. O SIEM alivia a carga dos analistas, assumindo grande parte do trabalho manual e efectuando análises aprofundadas, facilitadas pela capacidade de centralizar a monitorização, o registo e os alertas. Com base na correlação de eventos, a ferramenta fornece visibilidade dos registos em toda a empresa, ajudando-o a mitigar potenciais ameaças mais rapidamente do que seria possível ao analisar esses registos separadamente. Por exemplo, os registos de eventos do Active Directory estão alojados em todos os controladores de domínio, pelo que a obtenção de uma visão holística da actividade do serviço requer a recolha e correlação de todos estes registos. Também pode criar alertas e dashboards personalizados para visualizar dados e problemas mais facilmente.
O que é o SOAR?
O SOAR ajuda as organizações a automatizar a resposta a incidentes, com base em alertas gerados. Também analisa padrões de comportamento, fornece previsões e unifica respostas. Estas soluções podem ser utilizadas para gerir casos, para além de terem fluxos de trabalho e manuais automatizados.
O SOAR apresenta vantagens técnicas e benefícios organizacionais. A sua automatização avançada poupa tempo aos analistas de segurança, reduzindo o trabalho manual e optimizando os recursos. O SOAR também pode ajudar a reduzir o tempo de resposta a incidentes, o que afecta directamente a produtividade e a eficiência. Além disso, a funcionalidade de gestão de casos da solução permite-lhe aceder a alertas anteriores para fins de investigação, como a compreensão de padrões específicos da organização e de eventos anteriores.
E quanto aos ataques baseados no AD?
Com a utilização generalizada do Active Directory e o controlo sobre dispositivos e utilizadores, não é de admirar que os cibercriminosos estejam continuamente a encontrar novas formas de comprometer o AD e de obter acesso aos activos das organizações. É por isso que é essencial compreender os tipos de ataques que visam o AD, bem como a forma como o SIEM e o SOAR podem (e não podem) ajudar a detectar estas ameaças.
Proteger e monitorizar o AD pode ser um desafio devido ao crescente cenário de ameaças e às técnicas e tácticas avançadas que os hackers utilizam para encobrir os seus rastos. Para ataques relacionados com o AD, é necessário monitorizar principalmente os registos de eventos do controlador de domínio (DC). Pode utilizar o SIEM para detectar actividades suspeitas, mas atenção: Alguns dos ataques mais prejudiciais relacionados com o AD encobrem os seus rastos, permitindo-lhes esconderem-se das soluções SIEM sem capacidades alargadas.
- DCShadow: Esta funcionalidade do Mimikatz regista momentaneamente um DC desonesto, criando um novo objecto de servidor na partição de configuração. Uma vez criado, o novo DC injecta actualizações de objectos ou atributos (por exemplo, adicionando o conhecido SID da conta de Administrador do Domínio ao atributo sIDHistory para manter a persistência dos direitos administrativos) e depois remove-se imediatamente. Como o cliente do agente da ameaça é um DC no momento das actualizações, as alterações não são registadas no registo de eventos de segurança porque a actividade é uma replicação DC-to-DC normal. Como os criadores do DCShadow alertaram, este ataque pode "fazer com que o seu SIEM de um milhão de dólares fique cego".
- Zerologon: Esta vulnerabilidade (CVE-2020-1472) permite que um utilizador não autenticado com acesso à rede a um controlador de domínio obtenha privilégios de administrador de domínio e descarregue credenciais do AD. Como este armazenamento de credenciais também inclui a conta KRBTGT para o domínio, o Zerologon também está por detrás de muitos ataques Golden Ticket, que utilizam essa conta.
- Ataque baseado na alteração da Política de Grupo: Este ataque altera a Política de Grupo e executa actos destrutivos, como a propagação da instalação de ransomware para pontos finais. Infelizmente, as alterações à Política de Grupo não criam alertas suspeitos.
Limitações do SIEM e do SOAR na protecção do AD
Os registos de registo e monitorização desempenham um papel importante na detecção de ameaças, ajudando a proteger e a manter os padrões de segurança da sua organização. Mas como nem todos os ataques ao Active Directory deixam rastros de log, depender apenas de uma solução SIEM ou SOAR para detectá-los pode ser uma aposta arriscada. Portanto, as organizações precisam considerar um produto que possa se integrar ao SIEM e monitorar várias fontes de dados, em vez de depender apenas dos logs de eventos relacionados ao controlador de domínio.
Ao visar o AD, os cibercriminosos implementam várias tácticas para evitar a detecção. Uma vez que o AD desempenha um papel importante na gestão do acesso, é importante manter a sua integridade e detectar imediatamente alterações maliciosas, mesmo as que evitam o registo.
O recente relatório da Gartner sobre as melhores práticas de gestão de identidades e acessos (IAM), Implementar as melhores práticas de IAM no seu Active Directory, refere que as soluções de detecção e resposta a ameaças do AD (AD TDR) desempenham uma função importante na detecção e resposta a ameaças à identidade (ITDR) e podem integrar-se em ferramentas SIEM e SOAR para identificar ameaças que essas ferramentas não conseguem detectar.
Monitorização específica de AD para uma protecção abrangente
Ao monitorizar e avaliar várias fontes de dados, incluindo o fluxo de replicação do AD, para identificar ameaças, as organizações podem detectá-las rapidamente. Quando implementadas juntamente com soluções SIEM ou SOAR, as soluções de monitorização criadas para o AD fornecem a visibilidade mais profunda de que as organizações necessitam.
Ferramentas como Purple Knight e Semperis Directory Services Protector (DSP) centram-se nos indicadores de segurança do Active Directory. Estes indicadores de exposição (IOEs) ou indicadores de compromisso (IOCs) podem revelar vulnerabilidades e explorações que as soluções SIEM ou SOAR comuns não capturam. DSP também apresenta reversão automática de actividade suspeita para que os ataques possam ser mitigados mesmo sem intervenção humana.
As soluções SIEM e SOAR são ferramentas úteis. Mas no actual panorama de segurança, a melhor defesa é uma defesa em camadas.