Identidade é o Novo Perímetro

Em Janeiro quando gravei o MVA de Microsoft ATA em Redmond, um dos pontos que enfatizei foi a relação entre os ataques as credenciais e com isso a importância de manter as credenciais (identidade) protegida. Recentemente participei da edição de um artigo que trata justamente sobre a questão da proteção da identidade através de um método que chamamos de PAW (Privileged Access Workstations). Neste artigo descrevemos o passo a passo de como criar um ambiente onde administradores não usem credenciais com privilégios administrativos para o dia a dia, e isolamos uma estação para fazer gerenciamento administrativo. Microsoft ATA, PAW, Azure Multi-Factor Authentication, tudo isso são elementos que vão contribuir para fortificar a segurança da identidade.

Agora vamos traçar um paralelo, um dos slides que apresentei no curso de ATA é esse aqui (que traduzi para facilitar):

image

Recentemente a Secureworks (empresa do grupo Dell) lançou um relatório detalhado sobre um ataque usando Ransomware e neste artigo tem alguns pontos interessantes a serem destacados (veja a relação dos pontos abaixo com os que foram apresentados no curso de ATA):

· Note que o ataque foi apenas lançado depois de meses que eles já estavam infiltrados na rede. O que mostra uma fraqueza no sistema de detecção deles.

  • Um servidor comprometido usando JBoss
  • Instalação do Python-based SOCKS proxy no servidor comprometido para efetuar a comunicação do sistema via rede
  • Instalação e uso de uma ferramenta de coleta de credenciais do Windows para roubar identidade e mover lateralmente dentro da rede
  • Reconhecimento (recon) da rede usando a ferramenta Hyena for Windows
  • Uso das credenciais roubadas para conectar-se ao sistema que foi comprometido e implantar o ransomware Samsam.

Conseguiram ver a semelhança? Várias! E essa tendência só cresce, por isso a importância absurda de proteger a identidade. Nada adiantar ter uma perímetro protegido se a identidade do usuário é a velha senha que você pensa que é forte. Também é importante salientar a importância dos sistemas de detecção, o tempo de recon está aumentando e torna-se cada vez mais importante saber se existem anomalias na sua rede antes que seja tarde demais.

Stay safe!

Anúncios
Esse post foi publicado em segurança, segurança da informação. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s