Escolar Documentos
Profissional Documentos
Cultura Documentos
750/2023-9
RELATÓRIO
enterprise.com/an-insecure-active-directory-is-just-ransomware-waiting-to-happen/.
2
movimentação lateral e ir para outro ativo da organização, adicionando montante ao valor que pode
manipular.
Relevância
15. Quando agentes de ameaça obtém acesso privilegiado ao ambiente AD das
organizações, esses são capazes de criptografar a quase totalidade de seus ativos, exigindo
pagamentos financeiros (“resgates”) para que a organização vítima do ataque tenha acesso
novamente a seus dados. Em muitos casos, quando há a negativa de pagamento por parte da vítima,
os atacantes publicam as informações sensíveis em sites da internet, gerando, além de danos à
imagem da vítima, possíveis prejuízos de ordem legal.
16. Esse cenário já foi observado em ataques realizados às organizações públicas
federais, como no caso do Superior Tribunal de Justiça (STJ) em 2020, noticiado amplamente na
mídia4. Esse ataque causou interrupções dos sistemas críticos da organização por quase vinte dias.
Casos similares ocorreram no Supremo Tribunal Federal (STF), em 20215, Ministério da Saúde, em
20216, Presidência da República, em 20227, dentre outros casos.
17. Em síntese, um ataque aos serviços de domínio Active Directory pode causar:
17.1. Paralisação dos serviços públicos prestados;
17.2. Danos à imagem da organização;
17.3. Prejuízos financeiros da magnitude dos valores geridos ou regulados pela organização.
Benefício esperado (por stakeholder “cliente”)
18. Após proferida decisão desta Corte de Contas referente ao relatório desta
auditoria, será realizada uma capacitação à distância para o maior número possível de gestores de
segurança da informação do setor público, de forma a ampliar os benefícios alcançados por esta
ação.
Alinhamento estratégico
Esta ação alinha-se à estratégia da AudTI da seguinte forma:
18.1. Risco mapeado: Aumento do número de ataques cibernéticos com consequente diminuição da
confiança no ambiente digital e outros danos decorrentes dos ataques o que impacta a aceleração
da transformação digital do país.
18.2. Objetivo: Fortalecer o gerenciamento de riscos de segurança da informação e cibernética do
país.
18.3. Resultado-Chave: KR 1.2 - Em um ano, obter resultado de avaliações de 80% dos gestores
participantes dos eventos de difusão de conhecimento no sentido de que as ações de controle
contribuem para que as organizações aperfeiçoem a gestão de riscos de Segurança da Informação e
Segurança Cibernética.
Avaliação que será realizada
19. O objeto da auditoria são os controles técnicos de segurança da informação nos
serviços de domínio do Active Directory de quatro organizações a serem auditadas.
20. O nível de asseguração desta fiscalização será a asseguração razoável.
4 https://www.cisoadvisor.com.br/stj-comunica-superacao-do-incidente-cibernetico-com-ransomware/
5 https://www.uol.com.br/tilt/noticias/redacao/2021/05/10/apos-sairem-do-ar-servicos-do-site-do-stf-comecam-a-ser-
restabelecidos.htm
6 https://www.securityreport.com.br/ministerio-da-saude-segue-trabalhando-para-o-reestabelecimento-de-plataformas-
afetadas/
7 https://www.securityreport.com.br/malware-impacta-sistemas-e-presidencia-da-republica/
Objetivo
21. O objetivo da fiscalização é promover a melhoria na gestão de riscos de
segurança da informação no contexto dos Serviços de Domínio do Active Directory (AD-DS) por
meio da avaliação dos controles administrativos e técnicos existentes nas organizações a serem
fiscalizadas.
Riscos da auditoria
22. A matriz de riscos atual da auditoria proposta encontra-se no anexo único, e os
riscos estão em uma escala de 5 degraus (muito baixo, baixo, médio, alto, muito alto).
23. O nível de risco desta auditoria é atualmente considerado alto, maior nível
de risco existente na matriz.
24. Os seguintes riscos são considerados altos e estão fora da governabilidade
da equipe. Foi prevista ação de contingência para o primeiro deles:
24.1. Testes planejados não funcionarem no ambiente do auditado podendo levar à não execução da
auditoria.
24.2. Auditado não consentir na realização dos procedimentos, podendo levar a equipe a não executar
os procedimentos técnicos necessários à realização da auditoria.
25. Em especial, o segundo risco supra decorre da possibilidade de o relator incluir
no acórdão autorizador a obtenção de anuência prévia da autoridade competente do órgão auditado
para a realização de procedimentos técnicos de auditoria (varredura automática de vulnerabilidades,
por exemplo), de forma análoga ao que ocorreu em auditoria anterior integrante do PROTEGE-TI
2023 (Acórdão 1.105/2023-TCU-Plenário):
9.2. orientar a Segecex, por meio da SecexEstado e da AudTI, a: 9.2.1. assegurar a
obtenção de anuência expressa de autoridade competente dos órgãos auditados, prévia
à realização de procedimentos de auditoria que envolvam a simulação de ataques ou a
exploração de possíveis vulnerabilidades de controles administrativos, técnicos e
organizacionais;
26. No caso de a autoridade competente do órgão auditado não anuir com os
procedimentos técnicos de auditoria, risco que se materializou na fiscalização autorizada pelo
Acórdão 1.105/2023-TCU-Plenário, o único controle mitigatório que se vislumbra é a realização de
contato do Relator com a autoridade competente da organização com objetivo de sensibilizá-la.
27. Não há medida de contingência caso o risco supracitado se materialize, o que
significaria, em caso de concretização, na impossibilidade de executar a auditoria na organização.
28. Com objetivo de oferecer elementos adicionais ao relator para decidir sobre a
real necessidade de incluir a obrigação de anuência da autoridade competente da organização
auditada na decisão que vier a autorizar a fiscalização, faz-se as seguintes considerações:
28.1. Segundo documento da Secretaria de Governo Digital do Ministério da Gestão e Inovação de
Serviços Públicos8, teste de invasão é uma “Metodologia para testar a eficácia e a resiliência de
ativos através da identificação e exploração de fraquezas nos controles de segurança e da simulação
das ações e objetivos de um atacante”.
28.2. A Dasi/AudTI não propõe nem executa teste de invasão, pois não executa procedimentos de
“exploração de fraquezas” nem “simulação das ações e objetivos” de um atacante, o que consistiria,
por exemplo, em obter credenciais de usuários e utilizá-las para realizar operações, obter acessos
privilegiados em servidores, exfiltrar dados de qualquer natureza (lista exemplificativa).
28.3. A Dasi/AudTI realiza auditorias operacionais, cujo objetivo em sentido amplo é avaliar os
processos de governança, riscos e controles de segurança da informação relacionados aos objetos
ou organizações auditados, conforme mandato do TCU.
28.4. A concepção que a Dasi/AudTI utiliza em algumas auditorias que realiza, assim como nesta,
objeto da presente proposta, leva em conta o ponto de vista dos agentes de ameaça (atacantes), ou
seja, utiliza uma visão de segurança ofensiva. Essa concepção é utilizada exclusivamente para
escolher os controles que serão avaliados segundo o pensamento do agente de ameaça, não
havendo previsão de procedimentos que se constituam em teste de invasão.
28.5. Quando, para alcançar os objetivos da auditoria, é necessário o uso de ferramentas e
procedimentos mais técnicos (e.g., execução de um script para análise de controles), as equipes da
Dasi/AudTI, seguindo as boas práticas de auditoria operacional, apresentam antecipadamente os
procedimentos aos técnicos da organização auditada e solicita que estes acompanhem os testes, não
só pelas boas práticas de auditoria, mas como uma forma de troca de conhecimentos durante as
fiscalizações.
28.6. No caso específico desta fiscalização, não haverá sequer contato com os usuários de sistemas de
informação das organizações fiscalizadas, mas tão somente com técnicos de TI.
29. Considerando o exposto no parágrafo acima, não se vislumbra risco que
justifique a necessidade de anuência da autoridade competente da organização para a execução das
auditorias de segurança da informação, em especial da auditoria descrita na presente proposta de
fiscalização.
É o relatório.
VOTO
10. Sem dúvida, a conscientização sobre o tema é aspecto fundamental do trabalho, de modo a
ampliar o alcance da atuação pedagógica desta Corte, e o TCU certamente reúne condições para
exercer o relevante papel de indutor da evolução do setor público, assim como tem feito nos últimos
anos em relação à transformação digital e ao uso de análise de dados.
11. Por outro lado, entendo que a estratégia a ser adotada para tal fim carece de maior
amadurecimento quanto ao formato e à abrangência das ações propostas, em especial diante de assunto
de grande complexidade técnica e dinâmica acelerada de atualização, características inerentes ao
conhecimento sobre vulnerabilidades e medidas de segurança de serviços do Active Directory.
12. Por esse motivo, e considerando ainda a necessidade de que os resultados da presente
fiscalização sejam avaliados por este Relator e pelo Colegiado antes que as ações de capacitação e
disseminação venham a ser autorizadas, entendo que propostas nesse sentido deverão ser refinadas
pela AudTI ao longo do trabalho e apresentadas quando da elaboração do relatório final.
***
Ante o exposto, entendo que a proposta de fiscalização em tela está em condições de ser
autorizada, com os ajustes pontuais e as orientações complementares que acabo de apresentar, e VOTO
por que este Tribunal adote a deliberação que ora submeto à consideração deste Colegiado.
AROLDO CEDRAZ
Relator
1. Processo nº TC 036.750/2023-9.
2. Grupo I – Classe de Assunto: VII – Administrativo.
3. Interessados/Responsáveis:
3.1. Interessado: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).
3.2. Responsável: Identidade preservada (art. 55, caput, da Lei n. 8.443/1992).
4. Órgão/Entidade: não há.
5. Relator: Ministro Aroldo Cedraz.
6. Representante do Ministério Público: não atuou.
7. Unidade Técnica: Unidade de Auditoria Especializada em Tecnologia da Informação (AudTI).
8. Representação legal: não há.
9. Acórdão:
Vistos, relatados e discutidos estes autos de proposta de fiscalização encaminhada pela
Secretaria de Controle Externo de Governança, Inovação e Transformação Digital do Estado
(SecexEstado), na modalidade Operacional.
Acordam os ministros do Tribunal de Contas da União, reunidos em sessão do Plenário,
diante das razões expostas pelo relator, em:
9.1. autorizar a realização da fiscalização integrante do PROTEGE-TI 2023, na modalidade
proposta, com o objetivo de avaliar a gestão de riscos dos órgãos auditados no contexto de segurança
da informação dos Serviços de Domínio do Active Directory (AD-DS);
9.2. orientar a Segecex, por meio da SecexEstado e da AudTI, a:
9.2.1. assegurar a obtenção de anuência expressa de autoridade competente dos órgãos
auditados, prévia à realização de procedimentos de auditoria que envolvam a simulação de ataques ou
a exploração de possíveis vulnerabilidades de controles administrativos, técnicos e organizacionais;
9.2.2. assegurar que a realização de tais procedimentos seja acompanhada por servidor da
área de TI da organização auditada, previamente designado para tanto por autoridade competente;
9.2.3. submeter à análise do Relator as propostas de ações de capacitação e disseminação
de conhecimento após a execução da presente fiscalização, quando da elaboração do respectivo
relatório;
9.3. restituir os autos à Segecex/SecexEstado para as providências necessárias.
Fui presente:
(Assinado Eletronicamente)
CRISTINA MACHADO DA COSTA E SILVA
Procuradora-Geral