Hackers conhecem todos os truques para aproveitar as vulnerabilidades do AD e para permanecerem ocultos enquanto percorrem a rede para roubar dados confidenciais. Para evitar essas possíveis vulnerabilidades, as empresas precisam realizar uma auditoria do AD pelo menos uma vez por ano.
Mas, o maior desafio é manter os vetores de ataque no mínimo e os recursos das credenciais roubadas limitados. Assim, quando invasores roubam uma credencial, não têm acesso a todas as informações da empresa e podem ser descobertos e neutralizados antes de causarem mais prejuízos.
A auditoria do AD descobre diversas brechas que podem ser exploradas por invasores se infiltrarem na rede, mas esse processo não é apenas sobre evitar riscos, mas também para manter o AD limpo e gerenciável.
Pense no AD como uma planta, que precisa de cuidados regulares para que cresça saudável. O AD é semelhante, manter-se atualizado sobre a manutenção do AD evita crises e as auditorias servem para verificar se as operações diárias estão funcionando como esperado.
A Varonis ajuda a:
Para ativar a auditoria, o DatAdvantage precisa estar instalado e em execução. Com a solução instalada, deve-se habilitar o monitoramento constante dos serviços de diretório e módulos do Azure AD, e pronto, não são necessárias instalações adicionais.
A plataforma Varonis não exige muito treinamento para usar o painel e entender o que cada widget significa.
Normalmente as auditorias do AD levam de duas semanas a um mês para coletar os dados e, em seguida, vários meses para remediar os riscos que são descobertos, isso realizando a auditoria manualmente ou via PowerShell. A Varonis automatiza o processo de coleta de dados e algumas tarefas de correção para tornar esse processo muito mais rápido.
Para realizar a auditoria básica basta fornecer um nome de usuário e senha que possam ler o Controlador de Domínio.
A Varonis realiza o pós-processamento no back-end para tornar os eventos de auditoria do AD legíveis e de fácil compreensão. Esse processamento também alimenta as linhas de base e a modelagem de comportamento, então, quanto maior a entrada de dados na detecção e análise de ameaças, melhor.
A auditoria de eventos do AD da Varonis é, na verdade, uma reunião de logs de eventos de segurança dos controladores de domínio. Fornecemos uma lista dos itens de GPO que precisam ser ativados para obter o recurso completo de auditoria e uma opção de configuração rápida que cria um objeto Varonis GPO que traz as configurações de auditora corretas.
A principal prioridade de uma auditoria do AD é verificar se as permissões concedidas correspondem às necessidades e não excedem as políticas e práticas recomendadas. Por padrão, as permissões de administradores concedem aos usuários a autoridade para fazer alterações nas configurações do computador, nas políticas de grupo e exibir todos os compartilhamentos de arquivos na rede.
Esses usuários podem fazer o que quiserem na rede. Então, essa associação ao grupo precisa ser limitada a poucas pessoas confiáveis, com conhecimento e experiência para essa tarefa. Se houver usuários que não precisam mais desses privilégios, é essencial removê-los.
A próxima etapa é investigar os direitos da equipe de TI para garantir que não tenham mais acesso que o necessário com base nas práticas recomendadas. Administradores devem ter duas contas, uma com privilégios de usuário para uso diário e a uma segunda com privilégios para realizar alterações. Dessa forma, usuários raramente farão logon com suas contas de administrador, e quando isso acontece, um alarme é acionado.
Limite os usuários de TI ao acesso necessário para realizar seu trabalho. Isso impede que invasores tenham acesso significativo à rede se uma dessas contas for comprometida.
As diretivas de grupo são outra prioridade durante as auditorias. O que verificar?
A Varonis monitora e lança ativamente alertas para todas as alterações nos GPOs. Investigue qualquer alteração feita fora de uma janela oficial de alterações, pois podem indicar que alguém está tentando se infiltrar na rede.
A Varonis facilita a auditoria das alterações feitas nos usuários e grupos do AD, monitorando e normalizando eventos de Log de Eventos de Segurança em todos os Controladores de Domínio em um único log legível.
Esse monitoramento, combinado com a detecção e análise de ameaças no DatAlert, significa que qualquer alteração é sinalizada como possível ataque de escalada de privilégios. Assim, remova as contas que não estão mais ativas no AD. Invasores cobiçam contas obsoletas porque ninguém presta atenção a essas contas.
Essas contas antigas são exibidas no Painel de Serviços de Diretório para revisão e rastreamento. O painel é atualizado regularmente para manter esses usuários visíveis e sob controle.
Exemplos de vulnerabilidades que a Varonis pode encontrar
Com a Varonis monitorando o AD é muito fácil mantê-lo sob controle e a auditoria é apenas uma das primeiras partes da jornada operacional da Varonis. Entre em contato e solicite uma demonstração gratuita.