Comecemos com uma pequena lição de história... Em 2014, houve uma série de artigos que apelavam ao desmantelamento e à morte do Active Directory (AD) por várias razões. Avançando rapidamente para 2018, fizemos apelos ao seu desaparecimento, ou simplesmente que as empresas deviam pegar nos seus servidores AD, atirá-los do penhasco e saltar para o comboio da nuvem de serviços de directório geridos e identidade como um serviço...
Hoje em dia, se ouvirmos alguns dos fornecedores de identidade, eles explicam que o AD tem 20 anos e que precisa de ser reformado e reduzido a bastões de cola, porque eles podem tratar de tudo. E quem precisa de lidar com impressoras partilhadas e todas essas minúcias no escritório? Não faz mal, a nuvem tem tudo, e o que quer que falte, eles tratam disso, OU não é nada de especial.
Hmmm, uma verificação da realidade, por favor.
Em primeiro lugar, sim, o Active Directory está connosco há cerca de 20 anos e evoluiu, amadureceu e tornou-se multifacetado para ser capaz de lidar com muitas das complexidades modernas que lhe colocámos. Não é perfeito, nem qualquer outra coisa lá fora, mas é capaz de funcionar como parte de uma solução híbrida para cuidar de muitas das aplicações relacionadas com a nuvem que todos estamos a utilizar.
Em segundo lugar, qualquer pessoa que pense que recursos como as impressoras vão "tomar conta de si próprias" precisa de fazer um exame à cabeça. Como pirata informático, as impressoras são um dos meus locais preferidos para passar o tempo, mapear a paisagem, vigiar o escritório, recolher, recolher e extrair dados... são óptimas. Ninguém gosta de colocar antivírus nelas, corrigi-las ou mesmo adicioná-las a quaisquer regras de bloqueio de rede porque são uma dor de cabeça para gerir... o que significa que são semelhantes a um lugar na primeira fila da ópera para qualquer pessoa com uma mentalidade de ataque.
Em terceiro lugar, é preciso estar louco para pensar que o que temos actualmente pode ser retirado e entregue a uma organização de gestão de identidades. Sim, muito do que eles fazem é excelente e complementa parte da arquitectura do AD. Acrescenta uma camada e fornece mecanismos de autenticação adicionais que o AD simplesmente não tem. Mas, com certeza, NÃO vai gerir todos os seus sistemas, arquitecturas, partilhas, ambientes e nuances dentro da sua empresa.
O que nos leva à secção "PORQUÊ"...
Tal como referido no terceiro ponto, o Active Directory é complexo e vasto. Tem mais tentáculos incorporados na sua empresa do que Cthulhu num dia bom, o que significa que tem vulnerabilidades e desafios. Alguns destes problemas devem-se à forma como o AD está configurado, outros à gestão e à forma como evoluiu, e outros simplesmente porque administrar o AD (quero dizer, administrar REALMENTE) é uma arte negra conhecida apenas por algumas boas pessoas... a maioria das quais enlouqueceu ao longo dos anos.
Tudo isto faz com que o AD seja um alvo principal para qualquer adversário que esteja a tentar entrar no seu ambiente. Numa rápida contagem de várias bases de dados de vulnerabilidades, o AD tem tantas que precisaríamos de um grupo de amigos para contar como o invadir ou explorar. E o pobre LDAP tem problemas suficientes para ser consultado por um terapeuta quase semanalmente desde que entrou em cena (quase 600 formas de utilizar o LDAP para violar sistemas... e a contar).
Portanto, parabéns, no centro da sua empresa está uma fantástica solução tecnológica que gere todos os seus activos, utilizadores, sistemas, políticas, perfis e direitos... e que, no entanto, é tão estanque como uma peneira e tão vulnerável como um potro de um dia.
O que é que vocês fazem? Cercam-no de uma infinidade de acrónimos destinados a proteger e a servir, mas, como adversário, eu vou entrar na mesma. Na verdade, em média, já estou lá dentro. Provavelmente, estou sentado naquela impressora, e estou lá há vários meses apenas a observar... e nem sequer sabiam que eu estava aqui. Já tivemos esta discussão antes, mas vou recordar-vos. Não me podem impedir de entrar, nenhuma hipótese, nada que comprem, nada que subscrevam ou em que invistam me impedirá de chegar à primeira base na vossa (ou na vossa) rede. O desafio é: o que é que vai fazer a seguir?
Se tem a filosofia de "assumir a infracção", então já terá algumas considerações a fazer. Terá efectuado exercícios de mesa. Conhecerá os seus problemas e desafios. Terá várias tecnologias implementadas para lhe dar avisos mais proactivos e preventivos, que é onde entra o pessoal da Semperis. E é também essa a lógica que me leva a estar com eles e a ajudá-los a compreender um pouco mais. (Eles já têm uma tonelada de informações sobre como o adversário funciona... Eu só estou aqui para as coisas realmente sorrateiras...)
Adoptando uma abordagem proactiva... que tal pegar no conceito de ferramenta de monitorização da saúde, segurança e protecção do AD... aumentá-lo para 11 e lançá-lo gratuitamente à comunidade? Sim, isso será algo a ser lançado em breve para os investigadores e geeks.
Adoptando a abordagem de auditoria... que tal se pegássemos nos desafios do AD, mapeássemos os vectores de ataque para a estrutura MITRE ATT&CK e depois o ajudássemos a compreender como atenuamos esses problemas? Sim, isso vai ser lançado em breve e deve deixar a auditoria e a direcção satisfeitas.
Olhando para o pior dos casos... quando formos atingidos, que tal elaborarmos um processo de recuperação para passarmos o nosso tempo a recuperar e NÃO a pagar resgates a identidades sem rosto na Internet? Sim, já tratámos disso... isso vai deixar os geeks e os seguradores felizes.
Já perceberam a ideia. A equipa está a adoptar uma abordagem proactiva das coisas. Estão a contactar a comunidade para criar um centro de investigação que promova a partilha de conhecimentos e que traga um sentido de colaboração muito necessário às conversas.
Daí a lógica de estar com eles: eles preocupam-se.
'tudo por agora
Chris
