Em Janeiro quando gravei o MVA de Microsoft ATA em Redmond, um dos pontos que enfatizei foi a relação entre os ataques as credenciais e com isso a importância de manter as credenciais (identidade) protegida. Recentemente participei da edição de um artigo que trata justamente sobre a questão da proteção da identidade através de um método que chamamos de PAW (Privileged Access Workstations). Neste artigo descrevemos o passo a passo de como criar um ambiente onde administradores não usem credenciais com privilégios administrativos para o dia a dia, e isolamos uma estação para fazer gerenciamento administrativo. Microsoft ATA, PAW, Azure Multi-Factor Authentication, tudo isso são elementos que vão contribuir para fortificar a segurança da identidade.
Agora vamos traçar um paralelo, um dos slides que apresentei no curso de ATA é esse aqui (que traduzi para facilitar):
Recentemente a Secureworks (empresa do grupo Dell) lançou um relatório detalhado sobre um ataque usando Ransomware e neste artigo tem alguns pontos interessantes a serem destacados (veja a relação dos pontos abaixo com os que foram apresentados no curso de ATA):
· Note que o ataque foi apenas lançado depois de meses que eles já estavam infiltrados na rede. O que mostra uma fraqueza no sistema de detecção deles.
- Um servidor comprometido usando JBoss
- Instalação do Python-based SOCKS proxy no servidor comprometido para efetuar a comunicação do sistema via rede
- Instalação e uso de uma ferramenta de coleta de credenciais do Windows para roubar identidade e mover lateralmente dentro da rede
- Reconhecimento (recon) da rede usando a ferramenta Hyena for Windows
- Uso das credenciais roubadas para conectar-se ao sistema que foi comprometido e implantar o ransomware Samsam.
Conseguiram ver a semelhança? Várias! E essa tendência só cresce, por isso a importância absurda de proteger a identidade. Nada adiantar ter uma perímetro protegido se a identidade do usuário é a velha senha que você pensa que é forte. Também é importante salientar a importância dos sistemas de detecção, o tempo de recon está aumentando e torna-se cada vez mais importante saber se existem anomalias na sua rede antes que seja tarde demais.
Stay safe!