O Active Directory (AD) é o servidor de diretório da Microsoft, software que une servidores, estações de trabalho, componentes de rede e usuários. Por isso, a maneira mais rápida de invadir uma rede é por intermédio do dele, afinal, para acessar qualquer servidor é preciso pedir autorização ao AD.
Mantê-lo em segurança é a chave para evitar ataques de movimento lateral e roubo de credenciais. Entretanto, seu gerenciamento ainda é um desafio para muitas empresas que muitas vezes negligencia seu monitoramento.
O AD ainda é uma parte poderosa da maioria das redes corporativas, mesmo com a tendência de migração de serviços e aplicativos para a nuvem. Ele ainda é onipresente em implantações de rede local e também está se expandindo para a nuvem devido sua integração com o Microsoft Azure, Google Cloud, Amazon AWS e outras instâncias de nuvem pública.
Algumas práticas ajudam a manter a segurança e para uma implantação segura do AD:
O AD lida com milhares de contas, mas apenas algumas são alvo de ataques: as com maior privilégio. Normalmente são contas de administrador, contas que não devem ser usadas para fazer logon regularmente. A conta de privilégios de administrador deve ser usada apenas para tarefas específicas e que exigem privilégios mais altos.
Em todas as contas, um modelo de “menos privilégios” é a melhor prática. Todas as contas de usuários devem vir apenas com os privilégios necessários para ele realizar seu trabalho. E toda vez que o usuário mudar de posição, ou até uma vez por ano, esses privilégios devem ser revistos.
O Local Administrator Password Solution (LAPS) é uma ferramenta do AD que cria e gerencia senhas de cada estação de trabalho. O LAPS garante que essa senha seja exclusiva, limitando danos causados pelo comprometimento da estação.
São os servidores em que bancos de dados reais dos diretórios são armazenados. Um controlador comprometido pode abrir toda a rede para ataques. A Microsoft sugere que os controladores de domínio sejam acessíveis apenas por máquinas locais. Isso pode dificultar a solução de problemas, mas evita acessos indevidos.
Talvez o mais simples a ser feito, mas também o mais negligenciado. Então, é necessário ensinar os usuários a criar senhas simples para serem decoradas, mas complexas para serem quebradas. Usar frases secretas é uma prática recomendada.
É importante que a equipe de TI conheça a rede completamente e a monitore constantemente. Mas o que deve ser monitorado?
Os sistemas devem ser monitorados quanto ao seu estado de aplicação de patches e atualizações. Contas de usuários devem ser monitoradas em relação ao número de tentativas de logins. A rede deve ser monitorada em relação ao tráfego considerado incomum. Entender o que é normal e o que não é na rede, ajuda a evitar problemas.
O Varonis Active Directory reúne e armazena logs de eventos de segurança dos Controladores de Dominio (DC); analisa esses dados em contexto com as atividades dos usuários e mostra uma imagem do comportamento do usuário, considerando um comportamento normal e anormal. Em caso de atividades suspeitas, dispara um alerta para que as equipes de segurança possam agir e investigar o incidente.
Ao analisar padrões de comportamento do usuário ao longo do tempo e comparar com padrões de comportamento conhecidos, o Varonis Active Directory consegue detectar roubo de credenciais, detectando um comportamento anormal de acesso – por exemplo, várias tentativas de fazer login com nomes de usuários e senhas inválidos no mesmo dispositivo – permitindo seu bloqueio proativamente.
A Varonis também varre continuamente os Serviços de Diretórios para analisar se um possível invasor está utilizado uma conta de usuário para explorar os dados da empresa em vários dispositivos. Mesmo que os invasores tiverem acesso à rede, a Varonis consegue detectar as tentativas de elevar o acesso – também conhecido como escalonamento de privilégios. Para isso, categoriza usuários e grupos em quatro níveis: privilegiado, serviço, executivo e usuário; e monitora qualquer tentativa de alteração feita fora do controle de alterações, o que pode evidenciar uma escalada de privilégios em um ataque cibernético.
Mas, supondo que o invasor tenha chegado mais longe sem ser detectado, a solução permite detectar movimentos laterais pela rede. Identificando e monitorando os dados sensíveis, a Varonis consegue identificar onde estão esses dados e categoriza cada conta do AD para tomar decisões baseadas na atividade atual do usuário. Sempre que há um novo acesso ao servidor, ele gera um novo evento de login, que pode ser analisado e, caso seja detectada alguma anormalidade, a área de segurança é alertada.
A compreensão do Active Directory é vital para proteger a empresa contra violações de dados, e o monitoramento ativo do AD pode ser a diferença entre uma tentativa e o roubo de dados. Fale com um dos nossos especialistas e solicite um teste gratuito dos nossos serviços.