O gerenciamento e a auditoria de privilégios são recursos complementares para a segurança do Active Directory (AD). Em um recente webinar, expliquei como os agentes de ataques utilizam o AD para reconhecimento, a fim de descobrir vulnerabilidades de configuração ou privilégios que permitem o movimento lateral em direção ao ataque. Também discuti incidentes em que o próprio AD foi comprometido por ransomware, praticamente paralisando uma empresa inteira.

E adivinha? A maioria dessas “façanhas” envolve a exploração de contas privilegiadas. Felizmente, é possível combinar o gerenciamento de acessos privilegiados do AD e auditoria como um poderoso recurso para reduzir a superfície de ataque de uma organização e impedir os invasores cibernéticos.


Controles

O gráfico NIST Cybersecurity Framework para AD acima mostra os controles que os defensores devem utilizar no AD. Controles de "proteção" - como autenticação multifatorial para administradores de domínio (DAs), firewalls baseados em host para controladores de domínio (DCs) e linhas de base de configuração de DC - formam a base para a defesa. “Detectar controles”, como a auditoria do Active Directory, ajuda as empresas a dar uma segunda chance à equipe de defesa, mesmo diante de contas privilegiadas comprometidas.

Hoje, os clientes mais experientes estão criando os seguintes controles trifecta:

Proteção: Gerenciamento de acessos privilegiados e controles de procedimento para restringir a configuração dos sistemas e privilégios

Detecção: auditoria do AD e de mudanças para detectar qualquer violação de controles processuais, como a criação não autorizada de novos DAs ou outras contas privilegiadas.

Resposta: Reversão da alteração não autorizada imediatamente após a detecção.

Use o Gerenciamento de Acesso Privilegiado (PAM) para reduzir superfícies de ataque

Contas privilegiadas são necessárias para gerenciar o AD. Elas podem ser comprometidas para aproveitar as vulnerabilidades de configuração presentes nas implantações de muitas organizações. Tradicionalmente, os administradores de domínios e usuários privilegiados usavam a mesma conta para o trabalho de rotina do escritório (e-mail, navegação) e na administração do AD. Muitas contas privilegiadas são expostas dessa maneira, e os seus privilégios estão sempre ativados, mesmo quando não estão em uso.

Não é à toa que as soluções PAM já existam há anos para preencher as lacunas na proteção de contas privilegiadas, contas raiz Unix/Linux e outras contas privilegiadas de sistemas operacionais. Os produtos básicos fornecem uma credencial de cofre a partir do qual os superusuários devem verificar o nome de usuário e a senha da conta privilegiada antes de iniciar a sessão de administração. As soluções “Just in time PAM” ou “JIT PAM”, como os fornecidos pela BeyondTrust, também podem controlar privilégios em nível granular, por meio dos recursos de elevação de privilégios.

Os controles processuais devem estipular o uso dos recursos do PAM

Qualquer que seja a solução PAM que você esteja usando, são necessários controles processuais. Esses controles devem garantir que todos os acessos privilegiados ou DA passem pelo fluxo de elevação de privilégios.

Sem controles de procedimento em um ambiente de TI - como uma floresta do Windows - tudo pode acontecer e os clientes não conseguem se logar de maneira anômala para saber se estão passando por ataque cibernético ou uma atividade de TI legítima (embora talvez equivocada) que possa ser crítica para os negócios.

Use a auditoria do AD para fechar o ciclo

Um informante DA malicioso ou que viole as políticas, ou um invasor com privilégios DA, geralmente podem encontrar uma maneira de escapar dos controles da solução de PAM. É necessário colocar controles PAM e controles procedimentais, mas não é suficiente.

A defesa do Active Directory deve incluir o monitoramento contínuo do AD quanto a alterações que violam a política por usuários privilegiados. Infelizmente, monitorar o AD usando ferramentas nativas é penoso, envolvendo muitas configurações e telas. Os defensores devem considerar ferramentas de terceiros para lidar com grande parte do trabalho pesado envolvido na configuração, coleta, enriquecimento e alerta de eventos do AD.

Algumas ferramentas de auditoria do AD são configuráveis para gerar alertas com base na ocorrência de eventos de alteração específicos, como a adição de um novo script de elevação de privilégio JEA (just enough administration) ou um novo DA ao grupo Administradores de Domínio. Desde que os controles procedimentais sejam rigorosos, o pacote de gerenciamento do AD pode reverter a alteração sem afetar a atividade comercial legítima - como mostra a figura no início deste artigo.

Próximos passos

A auditoria do AD é muito importante, e os privilégios do AD estão na mira. Use a auditoria para identificar problemas (como contas inativas), monitorar a operação de controles e detectar ações maliciosas ou violações de políticas no diretório.

Para se aprofundar mais nesse assunto, confira meu webinar: Como auditar o Active Directory para reduzir os riscos de segurança de TI de usuários privilegiados.

Recursos Relacionados

Effectively Administer Windows without Domain Admin Privileges

Hybrid Active Directory Auditing: Same AD Security Challenges, Different Landscape

Active Directory Security Explained & 7 Best Practices

Is Active Directory Your Organization’s Kryptonite?