Dan Bowdrey

Em 2019, a Autoridade de Conduta Financeira (FCA) propôs alterações à forma como as instituições do sector financeiro do Reino Unido asseguram a resiliência operacional, nomeadamente contra a ameaça de ciberataques. A FCA começará a aplicar as orientações em 31 de Março de 2022. Todas as organizações reguladas pela FCA serão submetidas a auditorias para provar a sua conformidade e terão um prazo apertado para resolver problemas de conformidade. Um passo fundamental para cumprir os novos regulamentos da FCA é garantir a ciber-resiliência do seu ambiente Microsoft Active Directory (AD) devido ao papel fundamental do AD na autenticação de utilizadores e no fornecimento de acesso a aplicações e serviços críticos para a empresa.

As orientações da FCA especificam os requisitos para que as instituições definam tolerâncias de impacto para serviços comerciais importantes, determinando que "as empresas devem definir as suas tolerâncias de impacto no primeiro ponto em que uma perturbação de um serviço comercial importante causaria níveis intoleráveis de danos aos consumidores ou riscos para a integridade do mercado". Os regulamentos também estabelecem que "as empresas devem testar a sua capacidade de se manterem dentro das suas tolerâncias de impacto para cada um dos seus serviços comerciais importantes no caso de uma série de cenários adversos, incluindo uma perturbação grave mas plausível das suas operações".

A prevenção da interrupção dos serviços empresariais começa com a protecção do sistema de identidade da organização. A maioria das organizações depende do AD para os principais serviços de identidade, que, por sua vez, controla o acesso à maioria dos outros sistemas. Assim, garantir que as tolerâncias de impacto do AD são definidas e testadas é fundamental para cumprir as orientações da FCA.

"O reforço do AD contra ciberataques deve ser uma prioridade máxima para todas as organizações, independentemente das regras da FCA. O AD é altamente vulnerável e um alvo privilegiado para os agentes de ameaças:"

Uma vez que o AD controla o acesso dos utilizadores a aplicações e serviços, detém as chaves do reino. Ao entrarem através de uma configuração arriscada ou de uma falha de segurança, os cibercriminosos podem mover-se lateralmente pelo ambiente, utilizando o AD como um mapa do tesouro para os guiar até aos dados sensíveis que podem ser aproveitados para obter um resgate. E o AD é um caminho frequentemente explorado para espalhar malware.

A protecção dos AD ajuda a satisfazer os requisitos da FCA

A protecção do AD contra ameaças e a criação de um plano de recuperação do AD testado e com prioridade cibernética é o elemento fundamental de uma estratégia de segurança que satisfará as exigências da regulamentação da FCA. As principais acções incluem:

  • Melhorar a resiliência operacional, assegurando que o AD pode ser recuperado rapidamente para um estado de segurança conhecido
  • Superar o desvio de configuração identificando e corrigindo automaticamente alterações perigosas e maliciosas no AD
  • Colmatar lacunas de competências especializadas através da contratação de pessoal e da implementação de tecnologia especializada em AD
  • Estabelecimento de uma referência de "apetência pelo risco" para medir o seu nível de risco aceitável relativamente à aplicação de correcções de vulnerabilidades, identificação e tratamento de indicadores de exposição e comprometimento no AD, e estabelecimento de calendários e processos de recuperação
  • Utilizar informações oportunas e accionáveis sobre ameaças para proteger contra ameaças emergentes que visam o AD

Infelizmente, algumas tecnologias de segurança (como os SIEM) não detectam muitas das vulnerabilidades do AD e a maioria das soluções de cópia de segurança tradicionais não satisfazem as tolerâncias de impacto do AD. O analista da Gartner, Nik Simpson, chamou recentemente a atenção para a necessidade de as organizações implementarem soluções de recuperação específicas para o AD para combater o recente aumento de ciberataques direccionados para o AD, afirmando que os líderes concentrados na segurança da infra-estrutura do centro de dados devem "acelerar a recuperação de ataques, adicionando uma ferramenta dedicada para cópia de segurança e recuperação do Microsoft Active Directory".

Como um ataque bem-sucedido ao AD pode prejudicar as operações comerciais, as organizações precisam de soluções que protejam o AD antes, durante e depois de um ataque. As organizações podem alinhar-se com os requisitos da FCA para a resiliência operacional implementando uma estratégia de segurança em camadas que inclua:

  • Medidas pré-ataque para identificar riscos e proteger o serviço, monitorizando o AD para Indicators of Exposure (IOEs) e Indicators of Compromise (IOCs)
  • Capacidades de detecção e resposta a ataques em curso, incluindo:
    • Detecção de ameaças e visibilidade das acções dos atacantes
    • Correcção automática de alterações indesejadas ou maliciosas
    • Resposta a incidentes específicos do AD
  • Pós-ataque capacidades de recuperação de toda a floresta AD para um estado livre de malware, incluindo:
    • Uma abordagem cibernética à recuperação de desastres, que garante que o malware não é reintroduzido
    • Backup e recuperação automatizados, rápidos e testáveis do AD
    • Análise forense pós-ataque para evitar a repetição de compromissos

O cumprimento dos regulamentos da FCA é uma questão de higiene da segurança da AD

O mandato da FCA não pede mais do que a segurança adequada dos sistemas críticos para o negócio, o que já é uma prioridade máxima para qualquer organização. Mas se, tal como muitas organizações, tiver lacunas por colmatar na sua postura de segurança do AD, o desenvolvimento de um plano documentado para colmatar essas vulnerabilidades é um primeiro passo essencial para satisfazer os requisitos da FCA em termos de resiliência operacional.