Após um período de 10 anos em tecnologias de virtualização, juntei-me à Semperis e mergulhei no mundo do Active Directory. Ao longo dos últimos três anos, que incluíram alguns dos ataques de malware mais cruéis alguma vez documentados, penso que finalmente consegui dominar esta parte do mundo IAM.
Eis algumas das conclusões a que cheguei. Primeiro, os ataques à segurança não são uma questão de "se", mas sim de "quando". Se quiser contestar isto, consulte o seu feed de notícias. A segunda conclusão é que, em quase todos os ataques, o Active Directory é manipulado, encriptado ou destruído. Não importa se é um pequeno governo municipal, um hospital de média dimensão ou uma grande empresa, uma vez que o atacante entra, é para lá que ele quer ir. Considerando o tesouro que é "possuir" a espinha dorsal da segurança da organização, como é que um bandido pode resistir.
Leitura relacionada
Disse há pouco que estou a par de tudo, o que devo admitir que pode não ser inteiramente verdade. O maior mistério por resolver para mim é o que acontece a uma empresa quando o seu Active Directory é comprometido? Vou ser claro sobre o que quero dizer com comprometido. Quero dizer que alguém obteve direitos de administrador do domínio. Pode ver tudo na floresta, pode ir a qualquer lado, pode esconder-se em qualquer lado, pode transformar-se em qualquer pessoa e fazer praticamente tudo o que quiser.
Depois de dezenas de conversas com muitos especialistas, houve apenas uma resposta conclusiva - "Go Nuclear!" - o que significa eliminar todo o Active Directory e reconstruí-lo de raiz. Esta é a altura em que estamos nestas discussões em que todos brincam com o facto de ser um "evento que muda o currículo".
Agora, serei o primeiro a dizer que não posso falar sobre a quantidade de trabalho envolvido na reconstrução do seu AD, mas a palavra "proibitivo" é frequentemente usada quando pergunto. Sei que, sem a tecnologia da Semperis, o simples restauro manual de uma floresta do Active Directory a partir de uma cópia de segurança demora entre vários dias e algumas semanas, dependendo da complexidade, da largura de banda, etc. Então, o que é reconstruir - Meses? Anos? Uma organização pode sobreviver a isso?
Uma resposta possível é que é raro um atacante conseguir dominar um domínio e a maioria das invasões ocorre numa parte muito inferior da pilha de segurança. (Não estou a acreditar nisso. Depois da Conferência sobre Protecção da Identidade Híbrida deste ano, da Conferência HIP do ano passado e de todas as outras conferências sobre este assunto em que participei, é demasiado fácil.
A minha opinião é que se eles obtiveram os dados financeiros da sua empresa, a lista de clientes ou qualquer outra coisa de valor, então também podem ter as "jóias da coroa". Consegue viver com essa possibilidade?
Assim, deixem-me recapitular e pintar um quadro infelizmente comum. É um fabricante com 20.000 empregados. O seu Active Directory controla os robôs das suas fábricas, todas as TI, os telefones VoIP e os cartões de identificação. Sem o seu conhecimento, alguém penetrou na sua rede e tem estado a mover-se lateralmente (e lentamente para cima) durante oito meses. Agora tem permissão para fazer tudo e tem tudo mapeado - carrega no botão e tudo é encriptado.
O que é que faz?
Vou terminar a parte 1 aqui? Gostaria de receber os vossos comentários/feedback. Aqui ou por PM.
Para os técnicos, vou acrescentar uma reviravolta e dizer-vos para assumirem que existe um rootkit incorporado nos vossos controladores de domínio. Portanto, a BMR ou a restauração do estado do sistema não ajudarão, pois reintroduzirão o invasor?