Um Active Directory (AD) não gerido pode ter um impacto profundo nas suas operações, levando a períodos de inatividade e aumentando a sua vulnerabilidade a ameaças à segurança da rede. A monitorização do AD pode fornecer as informações de que necessita para garantir operações sem problemas, otimizar o desempenho e proteger a sua rede.
Bem-vindo ao AD Security 101. Esta série de blogues abrange aspectos essenciais das questões do Active Directory, oferecendo conceitos básicos, práticas recomendadas e conselhos de especialistas. Começarei com uma breve discussão sobre o motivo pelo qual a segurança do AD é tão importante. Em seguida, vou mergulhar na série com um dos primeiros passos que você deve tomar para a saúde adequada do Active Directory: monitoramento.
O que é o Active Directory?
O Active Directory (AD) é um componente crucial do sistema de gestão de identidades da sua organização. Este serviço de diretório é o repositório central de todas as informações sobre uma organização, tais como contas de utilizador, contas de computador e outros recursos. Como plataforma centralizada para gerir a autenticação e autorização de utilizadores, o AD é fundamental para a segurança dos dados e sistemas da sua organização.
Através do AD, um administrador de sistemas pode atribuir permissões e direitos de acesso aos utilizadores, controlar os recursos a que os utilizadores podem aceder, monitorizar as actividades dos utilizadores e muito mais. O AD também se integra com outros sistemas, como o Microsoft Exchange, o SharePoint e o Skype for Business, para proporcionar uma experiência de início de sessão único (SSO) aos utilizadores, simplificando o acesso a esses recursos.
Por fim, o AD é importante para aplicações e serviços baseados na nuvem em ambientes híbridos. O AD no local fornece um sistema de gestão de identidades centralizado e unificado, sincronizando muitos objectos e atributos críticos para a segurança com o Azure AD baseado na nuvem.
Porque é que os hackers atacam o Active Directory?
A função crítica do AD torna-o um alvo principal para os ciberataques. Nos últimos anos, quase todas as violações de segurança envolveram o AD de alguma forma. Os cibercriminosos compreendem o valor de obter controlo sobre o AD.
- Ao visar o AD, os atacantes podem obter informações valiosas sobre os activos de uma organização. Podem então planear mais eficazmente o seu ataque para maximizar as suas hipóteses de sucesso.
- Um ataque bem sucedido ao AD pode permitir que os agentes de ameaças se desloquem lateralmente pela sua organização - muitas vezes sem serem detectados - e acedam a informações, aplicações, serviços e recursos sensíveis.
- À medida que os atacantes obtêm privilégios cada vez mais elevados, podem encriptar dados e roubar informações críticas e sensíveis.
- Os atacantes podem também instalar ransomware, perturbando as operações e causando potencialmente perdas financeiras, danos à reputação, responsabilidades legais e perda de propriedade intelectual.
O serviço Active Directory é incrivelmente valioso. Mas a sua idade e a complexidade inerente aos ambientes AD de grandes empresas tornam-no frequentemente vulnerável a ataques. Para piorar a situação, as ferramentas e os scripts de ransomware como serviço (RaaS) estão agora disponíveis para qualquer pessoa utilizar, tornando o processo de ataque mais fácil do que nunca. Muitos especialistas também alertaram para o facto de a introdução de ferramentas de IA, como o ChatGPT, tornar a criação de malware e ransomware ainda mais rápida.
Em resposta, a Gartner nomeou a detecção e resposta a ameaças à identidade (ITDR) como uma das principais tendências de segurança e gestão de riscos e referiu que a segurança AD é uma parte fundamental de uma estratégia ITDR sólida. (Pode saber mais sobre ITDRe soluçõesITDR aqui).
Porquê monitorizar o Active Directory?
A deteção de ameaças cibernéticas é um aspeto crucial de qualquer plano de segurança cibernética. A capacidade de identificar acesso não autorizado, movimentos ou alterações feitas na rede pode ajudá-lo a responder rapidamente - ou até mesmo evitar - uma violação de segurança. Uma compreensão clara das alterações do Active Directory que estão a ser efectuadas e de quem as efectua aumenta a probabilidade de identificar e responder a potenciais ameaças antes que estas possam causar danos ou perturbações significativas.
A monitorização das alterações no Active Directory é, portanto, uma componente importante do ITDR e ajuda a garantir a segurança da sua rede. A monitorização do AD procura indicadores de exposição (IOEs): indícios de que existe uma vulnerabilidade que pode ser explorada por ciberataques. Também procura indicadores de comprometimento (IOCs): sinais de que uma violação já ocorreu ou está em curso.
A monitorização eficaz da rede vai além da implementação de sistemas de Gestão de Informações e Eventos de Segurança (SIEM). Embora seja uma ferramenta útil de monitorização de redes e bases de dados, uma ferramenta SIEM pode deixar lacunas na sua capacidade de determinar quem realmente fez o quê e onde. Isto porque os sistemas SIEM dependem em grande parte dos registos de eventos do sistema, que nem sempre fornecem uma imagem completa do que está a acontecer no AD, uma vez que os atacantes desenvolvem formas de contornar os registos e ocultar os vestígios das suas acções.
O que monitorizar no Active Directory?
Então, qual é o aspeto de uma monitorização eficaz do Active Directory? Uma solução de monitorização do AD deve ser capaz de detetar alterações efectuadas por qualquer pessoa, a partir de qualquer controlador de domínio, utilizando qualquer ferramenta - mesmo as que os hackers utilizam a partir de computadores controlados. A solução deve monitorizar objectos específicos e sensíveis no AD, tais como alterações à associação de grupos privilegiados. Para tal, a ferramenta de monitorização do Active Directory deve ser capaz de monitorizar o tráfego de replicação entre cada controlador de domínio e não depender apenas da monitorização do registo de eventos através do Windows.
O acompanhamento das alterações do Active Directory, como as alterações ao DNS (Sistema de Nomes de Domínio), também é importante. O DNS resolve nomes de computadores para endereços IP e localiza servidores que fornecem serviços específicos, como controladores de domínio. Ao monitorizar as alterações à base de dados do DNS (que está armazenada no AD), os administradores podem detetar dispositivos desonestos e modificações ou adições não autorizadas a registos existentes que possam indicar um ataque em curso.
A monitorização do AD também deve identificar as alterações efectuadas aos Objectos de Política de Grupo (GPOs), que são conjuntos de regras para gerir recursos numa rede. Infelizmente, por defeito, os registos de eventos do Windows não incluem detalhes sobre alterações na Política de Grupo. Por isso, uma solução robusta de monitorização do AD deve detetar quaisquer alterações feitas aos GPOs e acionar alertas, indo além da monitorização dos registos de eventos.
Uma ferramenta de monitorização do Active Directory é uma parte crucial da saúde geral do Active Directory. A monitorização da base de dados é um processo moroso e, se não for feito corretamente, deixará a sua organização vulnerável a um potencial ataque informático ao seu ambiente AD.
O que se segue em AD Security 101?
Nas próximas semanas, esta série AD Security 101 abordará os itens que deve monitorizar de perto e verificar regularmente no seu ambiente AD. Esta lista irá fornecer-lhe uma base sólida para melhorar a monitorização do AD, fornecendo sugestões e directrizes que pode utilizar para melhorar a sua postura de segurança do AD e obter vitórias fáceis contra potenciais atacantes. Não perca!