Identidade é o Novo Perímetro

Em Janeiro quando gravei o MVA de Microsoft ATA em Redmond, um dos pontos que enfatizei foi a relação entre os ataques as credenciais e com isso a importância de manter as credenciais (identidade) protegida. Recentemente participei da edição de um artigo que trata justamente sobre a questão da proteção da identidade através de um método que chamamos de PAW (Privileged Access Workstations). Neste artigo descrevemos o passo a passo de como criar um ambiente onde administradores não usem credenciais com privilégios administrativos para o dia a dia, e isolamos uma estação para fazer gerenciamento administrativo. Microsoft ATA, PAW, Azure Multi-Factor Authentication, tudo isso são elementos que vão contribuir para fortificar a segurança da identidade.

Agora vamos traçar um paralelo, um dos slides que apresentei no curso de ATA é esse aqui (que traduzi para facilitar):

image

Recentemente a Secureworks (empresa do grupo Dell) lançou um relatório detalhado sobre um ataque usando Ransomware e neste artigo tem alguns pontos interessantes a serem destacados (veja a relação dos pontos abaixo com os que foram apresentados no curso de ATA):

· Note que o ataque foi apenas lançado depois de meses que eles já estavam infiltrados na rede. O que mostra uma fraqueza no sistema de detecção deles.

  • Um servidor comprometido usando JBoss
  • Instalação do Python-based SOCKS proxy no servidor comprometido para efetuar a comunicação do sistema via rede
  • Instalação e uso de uma ferramenta de coleta de credenciais do Windows para roubar identidade e mover lateralmente dentro da rede
  • Reconhecimento (recon) da rede usando a ferramenta Hyena for Windows
  • Uso das credenciais roubadas para conectar-se ao sistema que foi comprometido e implantar o ransomware Samsam.

Conseguiram ver a semelhança? Várias! E essa tendência só cresce, por isso a importância absurda de proteger a identidade. Nada adiantar ter uma perímetro protegido se a identidade do usuário é a velha senha que você pensa que é forte. Também é importante salientar a importância dos sistemas de detecção, o tempo de recon está aumentando e torna-se cada vez mais importante saber se existem anomalias na sua rede antes que seja tarde demais.

Stay safe!

This entry was posted in segurança, segurança da informação. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s