O Active Directory é um dos componentes mais importantes da sua rede. No entanto, proteger o Active Directory pode ser uma das tarefas mais difíceis da sua lista de tarefas.
O problema é que o AD muda com tanta frequência e em tão grande escala que é efectivamente imune à gestão normal da mudança. É também uma espécie de estudo em contraste: É necessária a flexibilidade para alterar o AD rapidamente, mas mesmo uma pequena alteração pode ter ramificações em toda a organização. Por fim, à medida que o AD continua a evoluir, os maus actores estão constantemente a descobrir novos caminhos de ataque.
Se os atacantes souberem o que estão à procura, o AD é um livro aberto. Uma vez que os atacantes tenham o conhecimento do terreno, é apenas uma questão de utilizar essas informações para se deslocarem na rede. O que é que pode fazer para evitar esses ataques?
1. Compreender o ciclo de ataque do Active Directory
Se for atacado, o Active Directory fará parte dessa cadeia de destruição. Em alguns casos, é mesmo o primeiro alvo dos agentes de ameaças devido à sua importância na maioria das organizações. Com a maioria das empresas de médio e grande porte atualmente executando o AD, é improvável que isso mude em breve.
Embora os maus actores possam lançar muitos tipos de ataques, normalmente utilizam o AD para reconhecimento. Quando os atacantes entram no sistema, procuram tudo o que possam utilizar para atingir os seus objectivos. Pessoas de interesse, sistemas de interesse, configurações incorrectas - tudo isto é visível, facilitando aos atacantes a aceleração do seu tempo de trânsito na rede.
2. Ver para além do privilégio de administrador escalada
Muitas pessoas cometem o erro de tratar as contas de administrador de domínio como o objectivo. No entanto, os atacantes inteligentes sabem que estão disponíveis muitas contas não administrativas valiosas. Um utilizador de nível de serviço que tenha acesso a uma base de dados que contenha informações de identificação pessoal pode ser tão interessante para um atacante como uma conta de administrador de domínio.
A este respeito, uma conta de administrador de domínio é apenas um anel de bronze para obter acesso a bens valiosos. É a forma mais fácil de roubar credenciais e exfiltrar dados, mas está longe de ser a única.
3. Pense como um atacante ao proteger o Active Directory
Existe uma ideia errada de que os ataques como o ransomware são automatizados, funcionando com base num manual predefinido sem muita inteligência humana por detrás. Esta visão é incorrecta. Na verdade, os atacantes passam muito tempo a estudar o ambiente, procurando determinados padrões e sinais de configuração, como grupos privilegiados ou recursos importantes ligados a unidades organizacionais (OUs) conhecidas.
Eles não estão apenas a tentar criar bots automatizados para destruir. Estão a executar activamente scripts para procurar vulnerabilidades e a fazer suposições inteligentes sobre a forma como as lojas operam o seu ambiente Active Directory. O resultado de todo esse esforço é a proliferação de ferramentas que tornam os ataques mais fáceis de executar do que nunca.
4. Tornar a vida mais difícil para os actores da ameaça
Há muitas histórias sobre ataques altamente sofisticados como o SolarWinds. É certo que existem agentes de ameaças de estados-nação com este nível de sofisticação, mas a maioria dos grupos de ransomware não são tão avançados. A probabilidade de sofrer um ataque avançado em vez de ser alvo de um oportunista é bastante baixa.
A maior parte dos grupos de ransomware, especialmente os que compram ransomware como um serviço (RaaS), procuram ganhar dinheiro rápido. Utilizam comandos básicos, exploram vulnerabilidades conhecidas e ferramentas "de exploração", e utilizam caminhos de ataque simples para recolher informações. Por conseguinte, não querem trabalhar arduamente.
É por isso que tem de os fazer trabalhar arduamente. Atraí-los para pontos de mel que os obriguem a cometer erros detectáveis. Dê-lhes alvos falsos e implemente defesas que dificultem a sua deslocação lateral.
A dada altura, muitos decidirão que não vale a pena o esforço e seguirão em frente.
5. Contornar o carácter de livro aberto do AD
Um conselho de segurança comum para o Active Directory é negar o acesso de leitura a determinados grupos privilegiados. Infelizmente, isso não funciona para a maioria das organizações. O AD foi concebido há muitos anos para ser um livro aberto aos utilizadores legítimos e todas as unidades instaladas têm acesso de leitura a praticamente tudo.
É extremamente difícil desligar isso sem quebrar alguma coisa. É preciso encarar a realidade de que, se um atacante entrar na sua rede e imitar um utilizador legítimo, esse atacante poderá ver o que se passa. Portanto, em vez de tentar restringir a visibilidade e impedir o reconhecimento, ofusque a rede através do aprovisionamento just-in-time e de UOs renomeadas.
6. Considerar a utilização de algo diferente da Política de Grupo (por vezes)
No Active Directory, os objectos de Política de Grupo (GPOs) são geralmente utilizados para reforçar a segurança. Na realidade, as únicas coisas que precisam de ler os GPOs são os computadores do domínio. Os utilizadores autenticados geralmente não necessitam de acesso. E ao restringir o acesso dos utilizadores, pode reduzir a visibilidade da sua postura de reforço para os atacantes.
Outra opção é utilizar tecnologias não padrão em vez de GPOs. Todos os atacantes olham para a política de domínio predefinida para determinar como define a sua política de palavra-passe. Se, em vez disso, utilizar uma política de palavra-passe detalhada, o atacante não saberá onde procurar.
7. Limpe a sua higiene de acesso
Todos os conselhos padrão para palavras-passe aplicam-se ao Active Directory. Crie palavras-passe complexas, guarde-as num cofre com ar comprimido e altere-as regularmente. Se o seu objectivo é a segurança, incorpore também algumas práticas recomendadas adicionais:
- As palavras-passe das preferências da Política de Grupo não devem existir em lado nenhum do seu SYSVOL. Elas só servem para ajudar os atacantes.
- Trate qualquer conta que tenha nomes de principais de serviço definidos como altamente privilegiada e proteja-a em conformidade.
- Passe a agrupar as contas geridas pelo serviço. Se isso não for possível, certifique-se de que as contas de serviço não têm privilégios.
8. Utilizar a classificação por níveis e o privilégio mínimo
O privilégio mínimo é um dos princípios mais importantes no que diz respeito ao Active Directory. Nenhuma conta deve ter acesso a algo que não seja absolutamente necessário para a sua funcionalidade. Para esse efeito, tenha em atenção que os fornecedores nem sempre sabem o que as suas contas necessitam.
Para além disso, aconselho vivamente a implementação de um modelo rígido de "nível zero", no qual qualquer pessoa que seja administrador de um controlador de domínio pode iniciar sessão em máquinas de controladores de domínio. Escusado será dizer que isto requer a desactivação da delegação sem restrições e a limitação da criação de contas. Idealmente, utilize Kerberos apenas para delegação neste modelo.
9. Desactivar NTLM
De um modo geral, o New Technology Lan Manager (NTLM) é a raiz de todo o mal no Windows e no Active Directory. Por exemplo, o DFSCoerce recentemente descoberto é um ataque NTLM do Windows.
Desactivar o NTLM não o vai livrar de todos seus problemas, mas resolverá muitos deles. No entanto, mmaioria das organizações está relutante em desactivar o NTLM; têm medo do que possam quebrar. Pode começar por activar a auditoria na Política de Grupo nos controladores de domínio para obter informações sobre a quantidade de actividade NTLM que ocorre no ambiente de domínio.
Quanto mais conseguir desactivar, mais perto estará de proteger o Active Directory.
Seja prático ao proteger o Active Directory
Se pretender explorar estas sugestões com mais pormenor, consulte a minha apresentação na Conferência HIP, Dicas práticas para proteger o Active Directorydisponível sob demanda. Em seguida, coloque essas estratégias em ação - quanto mais cedo, melhor.
