Num webinar recente que organizei em conjunto com a Semperis (as pessoas por detrás da ferramenta de avaliação de segurança Purple Knight ), centrámo-nos num denominador comum fundamental dos recentes ataques de alto perfil - o Active Directory. Na sessão "How Attackers Exploit Active Directory: Lessons Learned from High-Profile Breaches", Sean Deuby e Ran Harel, da Semperis, juntaram-se a mim para discutir quatro ataques recentes que foram manchetes - SolarWinds, os ataques 0-day do Hafnium Exchange, o ataque ao Colonial Pipeline e o ataque ao Ireland Health Service. Embora cada violação tenha sido diferente em termos de tácticas e tenha sido executada por diferentes agentes mal intencionados, todas tiveram consequências devastadoras. Na nossa discussão, abordámos três das mais importantes medidas preventivas que as organizações podem tomar para se protegerem contra ciberataques.
"É preciso ter vivido debaixo de uma pedra durante o último ano para não ter visto os eventos significativos de cibersegurança que ocorreram numa base semanal. Passamos muito tempo a falar sobre as novas formas de ataque dos maus da fita. Mas, na realidade, os agentes de ameaças não estão envolvidos para encontrar novas formas; eles só querem entrar - e a superestrada para os agentes de ameaças é o Active Directory."
Sean Deuby, Director de Serviços da Semperis
1. Proteger o correio electrónico contra ameaças avançadas
Um dos pontos de entrada mais comuns para os atacantes é o correio electrónico. As campanhas avançadas de phishing são extremamente convincentes para os utilizadores finais e proporcionam uma via para os atacantes obterem credenciais válidas e/ou entregarem malware aos pontos finais. É crucialmente importante que as organizações adoptem uma abordagem multifacetada para se protegerem destas ameaças. A formação de sensibilização para a segurança e as simulações de phishing são importantes para educar e medir o risco. Por mais formação que se faça, os atacantes continuarão a ser bem sucedidos. Para combater esta situação, uma solução avançada de protecção contra ameaças por correio electrónico - uma solução que ultrapasse as ferramentas anti-spam e anti-vírus - deve fazer parte da sua estratégia de defesa. Um serviço que utilize algoritmos de aprendizagem automática e outras detecções avançadas para detectar e bloquear mensagens de phishing e anexos suspeitos deve estar implementado no actual cenário de ameaças.
2. Impedir os movimentos laterais
Quando um atacante compromete um computador cliente ou um servidor membro, ele tentará mover-se lateralmente pela rede e aumentar os privilégios. Impedir o movimento lateral torna o trabalho do atacante muito mais difícil. É possível implementar alguns controlos tecnicamente simples - mas por vezes operacionalmente difíceis - para bloquear o movimento lateral. Em primeiro lugar, a palavra-passe do administrador local em cada ponto final deve ser diferente. A Microsoft oferece uma solução gratuita chamada LAPS (Local Administrator Password Solution ) para conseguir isso. Em segundo lugar, não é possível aninhar contas de domínio no grupo de administradores locais para facilitar o suporte de TI. O pessoal de TI tem de utilizar o LAPS para obter credenciais administrativas para pontos finais específicos.
3. Acesso seguro a credenciais privilegiadas
Impedir que os adversários obtenham acesso privilegiado - especialmente o Administrador do Domínio - é uma defesa crítica. Se um adversário conseguir aumentar os seus privilégios, pode obter um controlo mais elevado ou mesmo total de toda a rede. A implementação de controlos eficazes que isolem e protejam as credenciais de privilégios é extremamente importante. Dois dos conjuntos de controlos mais comuns que implementamos no Grupo de Tecnologia Ravenswood são os conceitos de controlos de segurança por níveis e estações de trabalho de acesso privilegiado (PAWs). Os controlos de segurança por níveis impedem que as credenciais com privilégios elevados sejam expostas a activos de risco mais elevado, tais como computadores cliente, onde as credenciais podem ser roubadas. As PAWs isolam as tarefas que um administrador executa da sua estação de trabalho diária para uma estação de trabalho altamente segura, protegendo a credencial e a sessão do administrador de vectores de ameaça como o correio electrónico, o acesso à Internet e alguns tipos de malware.
O seu AD está preparado para o actual cenário de ameaças?
Os ataques que discutimos neste webinar são apenas quatro das inúmeras violações que estão nas manchetes diárias. Fortalecer o ambiente de TI da sua organização é fundamental e, para praticamente qualquer empresa, o Active Directory deve ser um componente central da sua estratégia de proteção. Para uma avaliação gratuita dos controles de segurança do Active Directory, faça Purple Knight para um test drive gratuito para avaliar seu Active Directory. Entre Ravenswood e Semperis, provavelmente não existem duas organizações (fora a própria Microsoft) com mais experiência combinada em segurança de AD. Temos uma parceria extremamente poderosa que ajuda organizações em todo o mundo a elevar o nível de segurança de identidade híbrida.
Para obter mais conselhos sobre como proteger a sua organização, consulte o seminário Web a pedido. E, claro, pode descarregar Purple Knight gratuitamente para identificar e resolver as lacunas de segurança do AD e ganhar confiança na segurança do seu ambiente AD, independentemente da sua complexidade, complexidade ou negligência.