As festas de fim de ano são uma altura de grande movimento para os compradores, as empresas de retalho e os cibercriminosos. A Cybersecurity and Infrastructure Security Agency (CISA) observou anteriormente "um aumento de ataques de ransomware de grande impacto que ocorrem em feriados e fins-de-semana, quando os escritórios estão normalmente fechados" e considerou as épocas de compras festivas "uma oportunidade privilegiada para os maus actores tirarem partido de compradores desprevenidos através de sítios Web falsos, ligações maliciosas e até de instituições de caridade falsas". As dicas de cibersegurança para as férias estão no topo da lista de desejos de todos.
Leitura relacionada: O que é a segurança do Active Directory?
As férias são a altura ideal para o cibercrime
Faz todo o sentido que as empresas de retalho sejam visadas nos feriados de oferta de presentes, dada a abundância de informações sobre cartões de pagamento que armazenam e processam. O relatório 2023 Data Breach Investigations Report da Verizon analisou as técnicas que os cibercriminosos utilizam para roubar dados de cartões de crédito, especialmente durante os períodos de maior afluência às compras, como a Black Friday e a Cyber Monday. Entre typosquatting (a utilização de domínios com erros de digitação para se fazerem passar por retalhistas legítimos), Grinch bots (programas automatizados utilizados para comprar inventários inteiros de produtos populares para revenda com margens de lucro mais elevadas) e bots de pedido (utilizados para contornar soluções de mitigação de bots), as férias são uma altura desafiante para os retalhistas.
Mas as ameaças vão muito além do sector do retalho ou de qualquer época do ano. Os atacantes aproveitam os feriados e os fins-de-semana durante todo o ano para lançar ransomware e outras tentativas de violação de redes. Nessas alturas, é mais provável que as equipas de segurança e de TI estejam sobrecarregadas, distraídas ou ausentes do trabalho, o que dá aos ciberataques uma melhor oportunidade de passarem pelas suas defesas.
As organizações que fecham durante as épocas festivas - como bancos, governos estaduais e locais e distritos escolares e universidades - são os principais alvos. (Recentemente, ouvi falar de uma dessas tentativas de ataque durante uma entrevista no HIP Podcast. Pode ouvir a história completa aqui).
Depois de os atacantes entrarem na sua rede, o seu primeiro passo é frequentemente encontrar o meio mais rápido de aumentar os privilégios: a sua infraestrutura de identidade. Os cibercriminosos também podem utilizar o Active Directory para propagar malware.
Quando o Active Directory é comprometido, os atacantes podem interromper os negócios, roubar dados e até mesmo criar backdoors para manter a persistência sem serem detectados e resistir aos esforços de limpeza e recuperação.
Principais dicas de cibersegurança para as férias das infra-estruturas de identidade
A criação de uma abordagem eficaz de segurança cibernética é mais fácil quando você vê seu ambiente da perspetiva de um adversário. E o papel do Active Directory como um serviço de diretório o torna um alvo comum e popular para os invasores que desejam expandir sua posição em uma rede violada.
Embora as contas privilegiadas sejam uma área de foco principal para os atacantes, é importante lembrar que as contas não-administradas podem ser quase igualmente valiosas. Por exemplo, uma conta de utilizador ao nível do serviço com direitos de acesso a uma base de dados sensível vale o seu peso em ouro.
Com a aproximação do novo ano, esta é uma boa altura para avaliar a sua abordagem à segurança do AD. Aqui ficam três sugestões para o reforçar contra ataques.
1: Examinar o ambiente do Active Directory
As organizações precisam de um mapa abrangente do seu ambiente Active Directory, incluindo as contas que têm que privilégios e a justificação comercial ou técnica para esses direitos. A implementação de uma estratégia baseada no princípio do menor privilégio reduz a superfície de ataque vulnerável aos atacantes.
Avaliar a superfície de ataque da sua identidade para que possa resolver potenciais vulnerabilidades e lacunas é um ótimo primeiro passo. Utilize uma ferramenta gratuita e fácil como Purple Knight para este passo.
A auditoria do Active Directory para garantir que os grupos e as contas individuais estão limitados às permissões de que necessitam para desempenhar as suas funções é fundamental tanto para a segurança como para a conformidade regulamentar. Esta declaração é particularmente importante para contas com elevados níveis de privilégios, que devem ser mantidos a um nível mínimo para reduzir o risco de uma destas contas ser comprometida e utilizada por agentes de ameaças.
Outras boas práticas incluem:
- Considere qualquer conta com nomes de principais de serviço definidos como altamente privilegiados.
- Não armazene senhas de Política de Grupo em nenhum lugar do seu SYSVOL.
- Reformular as contas de serviço privilegiadas para utilizar os privilégios mínimos necessários e considerar a possibilidade de utilizar contas de serviço geridas por grupos.
- Exigir a utilização de palavras-passe únicas e complexas para as contas de serviço.
Quer levar a sua avaliação para o próximo passo? Uma ferramenta gratuita de análise de caminhos de ataque, como Forest Druid , pode ajudá-lo a encontrar possíveis caminhos para o seu perímetro Tier 0, para que possa bloquear privilégios excessivos.
2: Ter um plano de recuperação de desastres
Não deixe a sua segurança de identidade (e, com ela, a sua resiliência operacional) ao acaso. Conheça as respostas a estas perguntas:
- O que fazer se ocorrer um ciberataque?
- O seu plano de recuperação de desastres inclui pormenores para responder a um ataque baseado na identidade?
- Tem um plano de backup e recuperação dedicado para o seu Active Directory?
- Sabe quanto tempo demorará a recuperação do AD e tem as ferramentas para automatizar o processo de recuperação do Active Directory?
- A quem recorrerá se precisar de apoio?
Se tiver falta de tempo ou de membros da equipa para se preparar adequadamente para as ciberameaças, considere a possibilidade de subcontratar a tarefa. A Semperis, por exemplo, tem uma equipa de especialistas em Active Directory e cibersegurança que fornecem serviços de preparação e resposta a violações, desde a avaliação da sua infraestrutura de AD até ao planeamento e teste da recuperação de AD, passando pela resposta a incidentes e análise forense de ataques.
3: Identificar atividade suspeita no Active Directory
Embora os atacantes possam ser furtivos, muitas vezes deixam sinais do seu comportamento. A capacidade de detetar actividades potencialmente suspeitas, como alterações de permissões no objeto AdminSDHolder, e configurações incorrectas, como a existência de responsáveis não predefinidos com direitos de sincronização de DC no domínio, é um aspeto vital da segurança do Active Directory.
Por este motivo, as organizações devem monitorizar o Active Directory continuamente e efetuar avaliações de segurança regulares. Após uma violação, não é invulgar que os agentes de ameaças modifiquem o AD de várias formas para poderem persistir. Alterações na associação de grupos, o aparecimento súbito de uma nova conta de administrador e pistas semelhantes são indicadores de que algo pode estar errado.
As ferramentas de avaliação de segurança, como Purple Knight e outras, oferecem aos profissionais de segurança a oportunidade de identificar e remover quaisquer pontos fracos na infraestrutura AD da sua organização antes que os atacantes os possam utilizar para voltar a entrar. Melhor ainda, ferramentas como Directory Services Protector permitem-lhe automatizar a reversão de alterações suspeitas.
Proteja o Active Directory para férias mais felizes
Esta é a época - não só para dar, mas também para receber; os seus dados, os dados dos seus clientes e a sua paz de espírito. Não deixe que os ciberataques arruínem o seu ano novo ou qualquer outro feriado. Ao reforçar o AD contra ataques, pode erguer uma barreira mais forte entre os atacantes e os seus objectivos.