Os CISOs do sector financeiro têm de enfrentar mais um novo desafio regulamentar. No início deste ano, a U.S. Securities and Exchange Commission (SEC) adoptou novas regras de divulgação e resposta a incidentes de cibersegurança, exigindo novas abordagens ao planeamento da recuperação de desastres. Para as organizações afectadas, os novos requisitos do Regulamento S-P da SEC exigem um novo olhar sobre a segurança da sua infraestrutura de identidade.
O Active Diretory (AD), como um sistema crítico que controla o acesso à rede, requer uma atenção especial neste reforço. Um comprometimento do AD poderia facilmente constituir um incidente relatável, tornando as capacidades robustas de recuperação do AD essenciais para cumprir os prazos apertados de divulgação da SEC. Para se prepararem, os CISO devem começar por avaliar (e testar efetivamente) os seus actuais planos de recuperação de desastres do AD, identificando lacunas no cumprimento dos novos requisitos e implementando soluções de recuperação automatizadas para melhorar a capacidade de resposta.
O que significam para os CISOs os novos requisitos do Regulamento S-P da SEC
A SEC exige que as empresas notifiquem os clientes afectados no prazo de 30 dias após uma violação cibernética. A empresa deve efetuar uma análise forense da violação:
- O que aconteceu
- Como aconteceu
- O que foi violado
Mesmo para satisfazer esses requisitos básicos de comunicação, em 90% dos ataques, as empresas têm primeiro de recuperar o Active Diretory. Sem um AD a funcionar, a rede mais alargada e os sistemas operacionais podem ficar indisponíveis.
Para ilustrar melhor as consequências de uma proteção AD inadequada, considere o seguinte:
- 74% das violações de dados começam com o abuso de credenciais privilegiadas
- O tempo médio para um mau ator obter acesso ao AD é de 16 horas
- O tempo médio para um atacante se mover lateralmente após o comprometimento do dispositivo é de 1 hora, 42 minutos
- O tempo médio para recuperar o Active Diretory após um ataque é de 21 dias
Agora, de acordo com os requisitos do Regulamento S-P da SEC, as empresas também devem ser capazes de "recuperar do acesso não autorizado e do uso não autorizado de informações de clientes". A SEC reconhece que as empresas "precisam de antecipar e preparar-se para a possibilidade de lhes ser negado o acesso a um determinado sistema e ter procedimentos em vigor para cumprir os requisitos de notificação".
Um plano detalhado e documentado para a recuperação de AD é fundamental para cumprir estes requisitos.
Active Diretory: o alvo principal
Nos últimos três anos, muitos ataques em grande escala tiveram como alvo o Active Diretory, a espinha dorsal da maioria das redes empresariais. Se o AD estiver em baixo, geralmente todos os sistemas estão em baixo.
Isto é uma grande diferença em relação aos alvos de ataque previsíveis, como os dados dos pacientes e os ficheiros de contabilidade da sua organização. Para proteger estes activos críticos contra ataques, é necessário identificar primeiro quais os sistemas que controlam o acesso aos mesmos.
O Active Diretory, que gere a autenticação do utilizador e os direitos de acesso em toda a rede, tornou-se um vetor de ataque lucrativo. Os agentes maliciosos procuram aceder ao Active Diretory porque este fornece o caminho mais fácil para toda a sua rede, proporcionando acesso ao nível do utilizador e até do administrador a tudo o que se encontra dentro dos seus limites. E é um alvo fácil: Muitos ambientes AD legados têm vulnerabilidades de segurança que se acumularam ao longo do tempo, criando inúmeras portas de entrada para os invasores.
Infelizmente, a recuperação de um ataque ao Active Diretory é muitas vezes mais difícil do que a recuperação de um ataque a outras aplicações críticas ou mesmo aos seus servidores. Embora o processo seja o mesmo - estancar a hemorragia, iniciar a recuperação e comunicar com as partes interessadas de acordo com as diretrizes da SEC - pode ser difícil determinar o âmbito do ataque, há quanto tempo o sistema está comprometido e até mesmo como está comprometido. Os servidores podem ser reiniciados para um ficheiro de recuperação, mas muitas vezes o AD tem de ser triado, recuperado e reinstalado em toda a floresta, prolongando os tempos de recuperação de alguns dias para semanas. Só após a recuperação é possível iniciar uma análise forense para determinar a extensão e o âmbito do ataque.
Proteger e planear a recuperação
Dada a gravidade de um ataque ao Active Diretory, como se pode proteger e planear uma recuperação rápida? O seu plano de recuperação de desastres tem de ter em conta a verdadeira natureza de um compromisso do AD.
- Reconhecer o âmbito potencial. Deve começar por reconhecer o âmbito potencial de um ataque. Não só está a lidar com um ataque ao sistema, como os nomes de utilizador e as palavras-passe dos seus funcionários estão provavelmente expostos. Normalmente, se um atacante acede ao Active Diretory, tem as credenciais necessárias para aceder a outros sistemas. Todos os activos críticos, incluindo os registos de clientes, consumidores e pacientes, ficam comprometidos. Uma vez que um atacante possui o AD, ele tem um poder significativo, com implicações em toda a rede da sua organização e ativos conectados à rede.
- Avalie a capacidade da sua organização. Também tem de avaliar a capacidade da sua organização para fazer a triagem e recuperar de um ataque. Muitas vezes, os vectores de ataque do AD são ofuscados. Pode ser um único ponto de acesso, como o nome de utilizador e a palavra-passe de um funcionário. Outras vezes, os atacantes podem ter criado portas traseiras que permitem um acesso contínuo e resistente à proteção. A análise forense pode ajudar a revelar como e onde ocorreu o comprometimento, por isso é importante garantir que sua organização tenha os recursos e a experiência para realizar a análise forense. É aqui que uma parceria com uma empresa terceira é útil. Se a sua organização tiver poucos analistas forenses qualificados, as organizações especializadas na recuperação do AD, incluindo a análise pós-violação, podem fornecer-lhe as ferramentas e o suporte a pedido de que necessita para acelerar uma recuperação total.
- Ter em conta o tempo de recuperação prolongado. O seu plano de recuperação de desastres também deve ter em conta o tempo real necessário para recuperar de um ataque de AD. Isso geralmente envolve:
- Isolamento do ambiente comprometido
- Reconstrução da infraestrutura do Active Diretory
- Verificação e limpeza de todos os sistemas ligados
- Implementação de novas medidas de segurança
- Formação de funcionários sobre novos protocolos de segurança
Estes passos podem demorar semanas ou meses, o que pode afetar a capacidade da sua organização para funcionar sem interrupções.
O que está em jogo - e a solução
Com as ciberameaças cada vez mais sofisticadas, as empresas financeiras e bancárias enfrentam um ambiente de segurança desafiante - a proteção do Active Diretory deve ser uma prioridade máxima. O AD é um alvo principal para os cibercriminosos porque é a espinha dorsal da maioria das redes empresariais. Os danos potenciais de um comprometimento do AD são extensos, e a recuperação pode ser complexa e demorada.
A proteção do seu AD está intrinsecamente ligada à segurança de todo o seu ecossistema digital. Ao compreender os riscos, implementar medidas preventivas robustas e desenvolver um plano de recuperação abrangente, as organizações podem navegar melhor pelos novos requisitos do Regulamento S-P da SEC - e proteger-se melhor contra ameaças em evolução.
Saiba mais sobre o papel da segurança do Active Diretory na resiliência cibernética e operacional para serviços financeiros.
Mais recursos
