Você está na página 1de 6

Gerenciando a ameaça

interna com a segurança


do Active Directory
A anatomia de uma ameaça interna e como proteger o Active Directory
contra ela
por Alvaro Vitta, consultor de segurança, Quest Software

Introdução os usuários. Os leitores verão como uma ameaça interna


típica pode acontecer e aprenderão as melhores práticas de
"Quer dizer que foi um trabalho interno?"
segurança do Active Directory que minimizam o risco desse tipo
Desde a primeira história sobre crimes e sobre as pessoas que de ameaça à disponibilidade, confidencialidade e integridade
tentam resolvê-los, sempre houve um momento em que alguém do AD.
encontrasse uma evidência e descobrisse que um indivíduo
de dentro da organização estava envolvido. Os personagens Ameaças internas e seu impacto nos negócios
trocam olhares preocupados e chocados e um deles diz "Quer Muitas empresas acreditam que as ameaças internas (nas quais
dizer que foi um trabalho interno?". funcionários, ex-funcionários, funcionários terceirizados ou
Infelizmente, perguntas e olhares como esses estão se tornando usuários válidos obtêm acesso não autorizado a uma rede da
uma característica padrão de investigações em quase todas as organização e aos recursos conectados a ela) podem causar
violações de dados. Após descobrir que alguém acessou dados tanto dano quanto ataques iniciados externamente. A atenção 1

de maneira ilegítima na rede, os gerentes de TI geralmente é focada em funcionários atuais e em ex-funcionários, mas
acreditam (ou esperam, na verdade) que a ameaça tenha vindo prestadores de serviço e parceiros de negócios desempenham
de fontes externas. Mas, como mostram as violações de dados um papel crescente no que diz respeito a cometer e facilitar
mais recentes e impactantes, um lapso na segurança interna, crimes cibernéticos.
acidental ou malicioso, geralmente torna o ataque possível, O custo financeiro da violação de dados realizada por um
mesmo que a empresa conte com uma segurança externa ataque interno, incluindo o tempo e o dinheiro gastos para
eficiente. restaurar a segurança dos sistemas, é considerável. Cerca
Este artigo discute o Microsoft Active Directory (AD) como "Crime cibernético nos Estados Unidos: maiores riscos, menor prontidão – As principais
1

sendo o principal alvo dos invasores devido à importância descobertas da Pesquisa sobre o estado do crime cibernético nos EUA em 2014” (em inglês)
PwC, Maio de 2014, http://www.pwc.com/en_US/us/increasing-it-effectiveness/publications/assets/
que o software tem na autenticação e autorização de todos pwc-2014-us-state-of-cybercrime.pdf
de 1/5 das empresas acreditam que o colaborações, comunicações em tempo
custo ultrapassaria US$ 5 milhões, mas real, SharePoint, bancos de dados
mais da metade das empresas admite do SQL Server, servidores da web
abertamente que não tem ideia de e outros recursos indispensáveis ao
como estimar suas possíveis perdas funcionamento de grande parte das
provenientes de um ataque interno. 2
empresas.
Os cenários e as histórias acerca dos Uma segurança externa robusta não
ataques internos são os mesmos em garante a segurança do AD, pois as
todos os crimes: maiores ameaças à segurança do AD
• Espionagem econômica internacional são internas, e mais da metade do uso
indevido de informações confidenciais
• Conspirações bem-planejadas para envolve abuso de privilégios. Isso se 5

roubar segredos comerciais


estende ao uso indevido ou acidental
• Ex-funcionários descontentes que de permissões do AD, contas elevadas
contam com privilégios de redes amplos e grupos confidenciais que podem
• Funcionários insatisfeitos que usam enfraquecer protocolos de segurança e
as credenciais que um supervisor permitir o acesso não autorizado a dados
compartilhou em confidência sensíveis baseados no Windows.
Cerca de 95 milhões • Nome de usuário e senha do O acesso não autorizado ao AD é como
representante de uma empresa
(ou um quinto) das fornecedora roubados em um ataque de
ter um cartão de acesso roubado: uma
vez que os invasores estão dentro do
contas do AD estão phishing
prédio, eles podem entrar no elevador,
• Usuários autorizados que encontram perambular pelas salas, abrir mesas e
sob ataque todos e copiam dados do cartão de crédito e, vasculhar as gavetas. Com tantas contas
depois, vendem no mercado negro
os dias. sob ataques incessantes de fontes
O maior custo de uma violação de dados internas e externas, as ameaças internas
cometida por agentes internos inclui ao AD são evidentes e muito presentes.
a perda de informações confidenciais, É difícil proteger o Active Directory?
danos à reputação e interrupção de
sistemas importantes. 3
O AD foi feito para ser seguro, mas assim
como na analogia do cartão de acesso,
Ameaças internas e Active Directory a segurança é violada quando o acesso
Mais de 90% das maiores empresas do elevado está nas mãos erradas.
mundo usam o AD, totalizando cerca de Considere três áreas principais com as
500 milhões de usuários com contas quais os administradores de TI precisam
ativas. lidar:
Cerca de 95 milhões (ou um quinto) Falta de automação
dessas contas estão sob ataque todos
• Controles de acesso devem ser
os dias. 4

continuamente avaliados e corrigidos,


As organizações usam o AD para mas não há processos automatizados
fornecer autenticação e autorização para isso no AD.
para funcionários, prestadores de • A implementação e o teste contínuos de
serviços, parceiros e clientes. Por processos de recuperação de desastres
meio do AD, elas também garantem completos protegeriam contra o tempo
acesso a recursos de rede baseados de inatividade prolongado e a perda
no Windows como compartilhamentos e de dados no AD, mas o AD não fornece
arquivos, bancos de dados, servidores nativamente uma maneira automatizada
de e-mail, alguns aplicativos no local de testar e implementar um cenário
completo de recuperação de desastres
e aplicativos baseados em cloud.
do AD em todos os controladores de
Sem o AD, elas perdem o Exchange,
domínio (DCs).

"Ameaças internas e a necessidade de respostas rápidas e direcionadas,” (em inglês) SANS Institute, Abril de 2015,
2

https://www.sans.org/reading-room/whitepapers/analyst/insider-threats-fast-directed-response-35892
"Administrando ameaças internas," (em inglês) PwC, Fevereiro de 2015, http://www.pwc.com/en_US/us/increasing-it-effectiveness/
3

publications/assets/managing-insider-threats.pdf
John Fontana, "Czar do Active Directory reúne setor para melhor segurança e identidade" ZDNet, 9 de junho de 2015, http://
4

www.zdnet.com/article/active-directory-czar-rallies-industry-for-better-security-identity/
5
"Relatório de investigações de violação de dados de 2015” (em inglês), Verizon, Abril de 2015, https://msisac.cisecurity.org/
resources/reports/documents/rp_data-breach-investigation-report-2015_en_xg.pdf

Compartilhar:
2
• Quando ações ou acesso não Ferramentas tradicionais de
autorizado ao AD são detectados, gerenciamento de eventos e
não há como evitá-los ou remediá- informações de segurança (SIEM) estão
los automaticamente e também não sujeitas às limitações da auditoria
há como credenciais obsoletas se
de registros nativos. Por exemplo, o
autoapagarem.
registro de auditoria nativo indica que
• Sem controles de troca automatizados um Objeto da diretiva de grupo (GPO)
e integrados no AD, as empresas estão foi modificado, mas não registra quais
sujeitas ao acesso não autorizado e
configurações foram alteradas ou os
acidental, assim como a interrupções
seus valores antes e depois da alteração.
onerosas.
Por isso, proteger o AD é um ato de
Fatores humanos/organizacionais/
equilíbrio constante entre conceder aos
comerciais
usuários os direitos de que eles precisam
• Quando os funcionários são transferidos para fazer o seu trabalho e mantê-los,
entre unidades de negócios, a maior inclusive os administradores de domínio,
parte das organizações usa processos
fora de grupos de segurança que podem
deficientes para integrá-los. Em vez disso,
os administradores deixam os usuários
acessar bancos de dados, pastas e
com uma autoridade elevada, acumulada arquivos sensíveis que contêm registros
de requisitos de trabalhos anteriores, que de saúde, informações de cartão de Proteger o AD é um
eles não precisam mais. crédito ou recursos humanos.
ato de equilíbrio
• Os administradores do AD não podem Anatomia de uma ameaça interna
ser proibidos de acessar recursos contra o Active Directory constante entre
sensíveis do Windows.
• A fidelidade de dados e os padrões de
Considere esta história fictícia que conceder aos usuários
descreve como uma ameaça interna
nomenclatura da empresa no AD são
difíceis de aplicar, o que faz com que
causada por controles de segurança os direitos de que eles
seja difícil categorizar o acesso, analisar fracos podem afetar o AD. precisam para fazer o
os direitos e fazer a auditoria de ativos. À medida que o fim do suporte para
• Por uma questão de confiança e o Windows Server 2003 se aproxima, seu trabalho e mantê-
conveniência nos negócios, é comum uma distribuidora de produtos médicos los fora de grupos de
que os funcionários, prestadores chamada Acme faz um contrato de
de serviço e parceiros de negócios quatro semanas com JSmith para que ele segurança que podem
saibam e compartilhem entre si as suas ajude a atualizar o ambiente da empresa
credenciais privilegiadas do AD. para o Windows Server 2012. PBrown, o
acessar recursos
Limitações do AD administrador do AD na Acme, adiciona sensíveis.
• Falta de contexto de segurança atrasa a
JSmith ao grupo de administradores de
detecção de violações de dados. domínio.
• O AD não permite que as organizações Na sexta-feira da segunda semana de
implementem uma conta de usuário JSmith na empresa, a Acme encerra
com privilégio mínimo (least-privileged o contrato, mas ninguém pede que
user account ou LUA), o que faz com PBrown remova JSmith do grupo de
que os usuários possuam mais privilégios administradores. Na próxima segunda-
e mais acesso do que precisam para feira, PBrown descobre que JSmith não
realizar seu trabalho. Por exemplo, se está mais trabalhando para a Acme e o
um administrador deseja atribuir ao
remove do grupo de administradores.
funcionário do Help Desk, JSmith, a
capacidade de mover os objetos de As etapas a seguir descrevem o que
usuário da Unidade Organizacional aconteceu no fim de semana.
(OU) de planejamento para a OU de
engenharia, o administrador teria que 1. Criação de uma conta falsa
conceder a JSmith o direito de excluir Insatisfeito que a Acme encerrou o
qualquer objeto do usuário da OU seu contrato antecipadamente, JSmith
de planejamento e o direito de fazer
procura maneiras, incluindo ilícitas, de
gravações à OU de planejamento.
compensar o dinheiro que ele estava
Isso inclui consideravelmente mais
permissões do que JSmith precisa (e contando em receber. Por um amigo,
que o administrador realmente gostaria ele fica sabendo de um site do mercado
de conceder) para executar a ação e negro que ele pode ganhar dinheiro
aumenta significativamente a exposição rápido vendendo dados de cartão de
da organização ao risco. crédito.

Compartilhar:
3
Em casa, JSmith entra na rede da adiciona a sua conta de administrador
Acme usando as suas credenciais ao grupo de Contas a receber; ele evita
administrativas e cria uma nova conta que a sua conta seja exibida na lista de
de administrador. Para que a criação da controles de acesso, mas obtém todos
nova conta não chame atenção, ele a os direitos ao arquivo. Ele abre o arquivo,
nomeia como corpsvcbk1, seguindo a verifica se é o que está procurando
convenção de nomenclatura da Acme e o copia para uma unidade de rede
usada para as contas de serviço de mapeada em seu notebook.
backup. Ele considera a possibilidade 4. Configuração de escuta não
de usar a conta corpsvcbk1 caso a Acme autorizada
remova ou redefina a senha da sua conta
de administrador original. Em seguida, JSmith modifica uma
chave de registro que reduz o
2. Obtenção de privilégios de LmCompatibilityLevel e a segurança da
administrador de domínio sessão o bastante para que ele instale
JSmith nota um grupo chamado um malware que secretamente furta
CorpOperations, que é membro do dados enquanto o SQL1 e FSRV1 fazem
Grupo de administradores de domínio. a autenticação das credenciais. Isso
Ele cria uma nova conta no grupo e a permite que, no futuro, ele decifre outras
Para que a criação nomeia como corpsvcbk1. Em seguida, credenciais quando os administradores
da nova conta não ele remove seus rastros adicionando-a
ao grupo aninhado CorpOperations,
fizerem a autenticação para que,
mesmo que a Acme exclua a sua conta
chame atenção, ele que dá a ele privilégios indiretos de falsa corpsvcbk1, ele possa continuar
Administrador de domínio sem levantar roubando mais dados de cartões de
segue a convenção suspeitas. (O sistema de monitoramento crédito.
de nomenclatura da genérico da Acme é configurado para 5. Limpeza
monitorar apenas alterações diretas ao
Acme usada para grupo de Administradores de domínio.) JSmith remove a sua conta corpsvcbk1
dos grupos de administradores, limpa os
contas de serviço 3. Acesso aos servidores de arquivos registros (para apagar as evidências do
de backup. JSmith localiza os SQL Servers e
servidores de arquivos em que a Acme
seu ataque) e decide manter o malware
na rede para explorações futuras.
armazena os dados do cartão de crédito As políticas de segurança e os controles
e as informações de identificação de segurança da Acme são insuficientes
pessoal (PII). para evitar que esse ataque interno
Ele modifica o GPO que impede que contra o Active Directory ocorra. As
os administradores façam registro táticas de JSmith garantem que a Acme
em determinados bancos de dados e levará bastante tempo para detectar
servidores de arquivo e, em seguida, a violação de dados e, quando isso
faz o seu registro localmente no SQL1 acontecer, JSmith provavelmente já terá
e FSRV1. Ele adiciona a sua conta recuperado a sua renda perdida e a
corpsvcbk1 ao grupo de administradores Acme estará nas vias de se recuperar da
locais no SQL1 e atribui a ela a função violação de dados.
de administrador de sistemas no SQL
Melhores práticas de segurança do
Server.
Active Directory
Vasculhando a rede, ele encontra um
Não existe uma abordagem que garanta
banco de dados de cartão de crédito
a segurança do Active Directory, mas
descriptografado e exporta todos os
as organizações podem se proteger
registros para o seu notebook usando
contra ameaças internas ao AD ao seguir
a conexão remota.
várias diretrizes:
No FSRV1, ele localiza os arquivos que
1. Definir datas de validade para contas e
contêm PII. Novamente, eliminando os grupos para casos de acesso temporário
seus rastros, ele adiciona a sua conta a grupos sensíveis.
de administrador a um grupo aninhado
a. Em vez de fornecer uma associação
chamado FinanceOps, um membro do
permanente a grupos sensíveis, usar
grupo de administradores integrado
associações de grupo temporárias
localizado no FSRV1. Na pasta Contas a com data/hora de início e data/hora
receber, ele encontra o arquivo Cliente_ de término automáticas.
PII.xlsx. Para acessar o arquivo, ele

Compartilhar:
4
b. Configurar datas de validade de contas negadas. A lista branca também significa conseguir fazer relatórios
ao criar contas para funcionários se aplica às alterações feitas às de maneira eficiente em detalhes do
temporários, como prestadores de configurações sensíveis do GPO, nível do AD, como informações sobre
serviços, estagiários e visitantes. como desativar ou negar acesso a usuários privilegiados atuais e antigos;
servidores importantes e enfraquecer
2. Evitar a criação não autorizada de contas de ex-funcionários e prestadores
a autenticação NTLM.
contas ao definir uma lista branca de serviços antigos; configurações,
de credenciais autorizadas que têm 7. Monitorar em tempo real atividades atualização e status do patch de
permissão para realizar a tarefa. Se suspeitas, como acesso a servidores servidores. A segurança eficiente do
alguém que não estiver na lista de sensíveis após horário comercial normal
AD é uma parte essencial do GRC e de
aprovados criar uma conta de usuário, o e alterações feitas a chaves de registro
uma preparação cuidadosa para uma
evento acionará um alerta de e-mail. Ele sensíveis, como o LmCompatibilityLevel.
também pode acionar uma correção que O último recurso é uma tática de backdoor auditoria.
desativa a conta do criador e/ou a conta para diminuir os valores usados pelo Conclusão
criada. protocolo de autenticação NTLM.
A ameaça interna ao AD é real, comum
3. Monitorar em tempo real não apenas 8. Fazer a auditoria das alterações de
e onerosa. A predominância do AD em
as alterações diretas (por exemplo, que permissão e das atividades realizadas
podem ser rastreadas em registros em bancos de dados e servidores
empresas ao redor do mundo faz dele um
de segurança nativos) em grupos de arquivos (incluindo arquivos, alvo atrativo aos adversários, que podem
empresariais privilegiados no AD, mas compartilhamentos e pastas) que contêm explorar limitações técnicas e fatores
também adições de membros aninhados dados sensíveis. humanos para lançar violações de dados
(por exemplo, associação indireta de dentro para fora.
9. Analisar continuamente os privilégios
a grupos do AD elevados), que os
e direitos de acesso dos usuários a Monitorar os registros de eventos do
servidores do Windows não registram.
grupos e a servidores sensíveis. Analisar AD é um começo, mas muitas ameaças
4. Monitorar as alterações de associação as permissões do banco de dados internas se aproveitam dos eventos do
aninhada e direta dos seguintes grupos SQL Server e permissões NTFS em AD que não estão registrados. Além
empresariais: servidores de arquivos SQL e AD.
disso, a lista de itens para verificar em
Administradores, operadores de 10. Garantir a separação das uma suspeita de ataque é longa e,
impressão, operadores de configuração responsabilidades para evitar, por portanto, não há maneira automática de
de rede, administradores de DHCP, exemplo, que prestadores de serviço se proteger.
operadores de backup, criadores se tornem membros dos grupos de
de confiança de floresta de entrada, Administradores de domínio. Usar Não importa se são acidentais ou
operadores de conta, editores de um modelo de acesso com menos maliciosas, as ameaças internas
certificados, proprietários criadores privilégios para o AD e Windows. são sempre nocivas. Organizações
de diretiva de grupo, administradores continuarão equilibrando a necessidade
11. Implementar um processo automatizado
de domínio, controladores de domínio, de permitir que seus administradores
para desprovisionar usuários que
administradores empresariais, de sistema realizem tarefas com
inclua desativar/excluir contas, remover
operadores de servidor, servidores RAS
contas de todos os grupos e listas de certa autonomia com a necessidade
e IAS, administradores de esquema.
distribuição, remover acesso remoto VPN de conceder apenas os privilégios
5. Monitorar em tempo real as alterações e notificar o o RH e o Gerenciamento necessários para essas tarefas.
feitas às configurações de GPO no AD. de instalações e segurança Enquanto isso, as melhores práticas de
Os valores de antes e depois dessas automaticamente.
segurança do Active Directory são parte
configurações não podem ser rastreados
A segurança do AD como parte da fundamental da estratégia geral de GRC.
nos registros nativos, apresentando uma
ameaça de backdoor ao AD. estratégia geral de GRC Sobre o autor
6. Proibir que alterações não autorizadas A segurança do Active Directory também Alvaro Vitta é um consultor de segurança
aconteçam a grupos empresariais tem um papel importante na Governança, especializado nas soluções de
importantes e a configurações do GPO Gerenciamento de risco e Conformidade segurança da Quest Software. Alvaro
usando uma lista branca de usuários (do inglês Governance, Risk management
autorizados, independentemente
avalia, projeta, testa e implanta soluções
and Compliance, ou GRC). de segurança para grandes empresas
das permissões do usuário. Com a
lista branca, mesmo se os invasores A segurança do AD abrange a do setor público e privado desde os
ganharem direitos de administradores capacidade da organização de provar anos 2000 nas áreas de IAM, Segurança
de credenciais comprometidas, as que ela possui os devidos controles do de Active Directory e Controle, Risco
alterações feitas às associações AD e de todo ambiente do Windows, e Conformidade (GRC). Alvaro possui
em grupos privilegiados, como incluindo SharePoint, Exchange e certificações do setor que incluem CISSP,
Administradores de domínio e CISSO, MCSE e ITIL.
SQL Server. Fornecer conformidade
Administradores empresariais, serão

Compartilhar:
5
SOBRE A QUEST
A Quest ajuda os clientes a reduzir as tarefas administrativas enfadonhas para que eles possam se dedicar à inovação necessária
para ampliar os negócios. As soluções Quest® são escaláveis, acessíveis e simples de usar, proporcionando eficiência e produtividade
sem comparação. Juntamente com o convite da Quest à comunidade global para fazer parte de sua inovação, assim como nosso firme
compromisso em garantir a satisfação dos clientes, a Quest continuará a acelerar o fornecimento das soluções mais abrangentes para
gerenciamento de cloud do Azure, SaaS, segurança, mobilidade da força de trabalho e insights conduzidos por dados.

© 2017 Quest Software Inc. TODOS OS DIREITOS RESERVADOS.

Este guia contém informações confidenciais protegidas por direitos autorais. O software descrito nesse guia é oferecido sob
uma licença de software ou um contrato de confidencialidade. Ele pode ser usado ou copiado apenas de acordo com os termos
do acordo aplicável. Nenhuma parte deste guia pode ser reproduzida ou transmitida em qualquer forma ou por qualquer meio,
eletrônico ou mecânico, inclusive fotocópia e gravação para qualquer propósito, sem a permissão por escrito da Quest Software Inc.

As informações deste documento são fornecidas em relação aos produtos da Quest Software. Este documento, isoladamente ou em
conjunto com a venda de produtos da Quest Software, não concede nenhuma licença, expressa ou implícita, por preclusão ou de
qualquer outra forma, a qualquer direito de propriedade intelectual. SALVO CONFORME DEFINIDO NOS TERMOS E CONDIÇÕES
DA QUEST SOFTWARE ESPECIFICADOS NOS CONTRATOS DE LICENÇA PARA ESTE PRODUTO, A QUEST SOFTWARE NÃO
ASSUME QUALQUER RESPONSABILIDADE E RENUNCIA A QUALQUER GARANTIA, EXPRESSA, IMPLÍCITA OU ESTATUTÁRIA,
RELACIONADA A SEUS PRODUTOS, INCLUINDO, ENTRE OUTROS, A GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO
A DETERMINADO PROPÓSITO OU NÃO VIOLAÇÃO. EM HIPÓTESE ALGUMA, A QUEST SOFTWARE SERÁ RESPONSÁVEL POR
QUALQUER DANO DIRETO, INDIRETO, CONSEQUENCIAL, PUNITIVO, ESPECIAL OU INCIDENTAL (INCLUINDO, SEM LIMITAÇÕES,
DANOS POR LUCROS CESSANTES, INTERRUPÇÃO DOS NEGÓCIOS OU PERDA DE INFORMAÇÕES) DECORRENTES DO USO
OU DA INCAPACIDADE DE USO DESTE DOCUMENTO, MESMO QUE A QUEST SOFTWARE TENHA SIDO ALERTADA SOBRE A
POSSIBILIDADE DE TAIS DANOS. A Quest Software não se responsabiliza por qualquer garantia ou declaração referente à exatidão
ou à integridade deste documento e reserva-se o direito de fazer alterações em especificações e descrições de produtos a qualquer
momento, sem aviso prévio. A Quest Software não se compromete em atualizar as informações contidas neste documento.

Patentes

A Quest Software tem orgulho de nossa tecnologia avançada. Este produto pode ter a aplicação de patentes e de patentes pendentes. Para
ver as informações mais recentes sobre as patentes aplicáveis a esse produto, visite nosso site em www.quest.com/legal.

Marcas comerciais

Quest e o logotipo Quest são marcas comerciais e marcas registradas da Quest Software Inc. Para conferir a lista completa de
marcas da Quest, acesse www.quest.com/legal/trademark-information.aspx. Todas as outras marcas comerciais pertencem a seus
respectivos proprietários.

Se você tiver dúvidas sobre o possível uso deste material, entre


em contato:
Quest Software Inc.
A/C: LEGAL Dept
4 Polaris Way
Aliso Viejo, CA 92656
Acesse nosso site (www.quest.com) para obter informações sobre
escritórios regionais ou internacionais.

Compartilhar:
6

Whitepaper-ManagingInsiderThreat-US-GM-pt_BR-WL-26698