Segurança do Active Directory 101

A maioria das empresas hoje conta com o Microsoft Active Directory (AD) para manter suas operações em execução. Mas o que exatamente é AD?

O AD é, em essência, o gateway que conecta os funcionários aos seus recursos em uma rede da empresa (como e-mail ou compartilhamentos de arquivos de rede). Ele é usado pelos administradores para gerenciar as permissões de cada usuário, autenticando-os à medida que efetuam login e determinando quais recursos eles podem acessar.

AD tem muitos benefícios. É fácil de usar, existe há muitos anos e é extremamente confiável. No entanto, muitas empresas simplesmente não sabem sobre os riscos de segurança que o acompanham.

Uma Breve História da AD

Antes do lançamento do AD em 2000, os servidores de diretórios de TI da Microsoft não eram dimensionados para dar suporte adequado às necessidades de empresas de médio e grande porte, e muitos servidores eram necessários. Uma empresa de aproximadamente 1.000 pessoas pode precisar de 200 servidores diferentes, por exemplo.

Este foi um grande ponto de dor para as empresas. Não apenas todos esses servidores individuais eram difíceis de gerenciar, cada um exigindo credenciais de login exclusivas, mas também dificultavam atividades como compartilhamento de arquivos, pois não podiam se comunicar facilmente entre si.

AD resolveu este desafio. Integrando-se facilmente com aplicativos e fornecendo recursos de logon único em todo o ambiente de negócios, ele transformou a experiência de rede, tornando-se rapidamente onipresente.

Sua prevalência não mudou em duas décadas. Em vez de desaparecer, essa tecnologia de quase um quarto de século agora é mais importante do que nunca, atuando como a base para a maioria dos sistemas de identidade em nuvem usados ​​por empresas em todo o mundo.

No entanto, embora o AD ainda seja essencial para a maioria das organizações em todo o mundo, ele também se tornou uma responsabilidade de segurança.

Por que AD é um problema hoje

O AD é vulnerável por vários motivos.

Primeiro, ele não foi projetado para lidar com ameaças de segurança complexas. Ele foi lançado em uma era anterior ao ransomware, aos sofisticados equipamentos cibernéticos apoiados pelo estado-nação e à ampla adoção da computação em nuvem. É uma tecnologia de uma época diferente e, portanto, não pode enfrentar efetivamente muitas das ameaças avançadas que enfrentamos hoje.

Em segundo lugar, o AD foi projetado para ser aberto para facilitar o uso. Ele confia nos usuários conectados a uma rede para priorizar uma experiência de usuário perfeita. No entanto, essa abertura hoje é um desafio complicado para os defensores, apresentando poucas barreiras para infiltrados bem-sucedidos.

Em terceiro lugar, sua idade significa que, em muitos casos, ele abrigou mais de 20 anos de más decisões de segurança originalmente tomadas por conveniência que se acumularam para criar um alvo enorme que até invasores amadores teriam dificuldade em perder.

É por esse motivo que aproximadamente 90% de todas as empresas estão expostas a violações de segurança como resultado de vulnerabilidades do AD, e nove em cada 10 de todos os ataques cibernéticos envolvem o AD de alguma forma.

Essas estatísticas são realmente assustadoras, assim como a simplicidade dos métodos de ataque usados ​​para atingir o AD. Vamos ver o processo passo a passo…

1. Um invasor comprometerá um PC por meio de phishing – um invasor enviará uma mensagem ou e-mail fraudulento projetado para induzir seu alvo a revelar informações confidenciais, como suas credenciais de login para AD.
2. Eles então trabalham para obter privilégios nessa máquina local – Os invasores podem elevar seus privilégios na máquina de várias maneiras, explorando vulnerabilidades no dispositivo.
   Eles usam o AD para encontrar outros dispositivos – Os invasores usam o AD para encontrar outros computadores, mapeando todas as máquinas conectadas e usadas nessa rede.
3. Em seguida, os invasores se concentram em mais dispositivos – A partir daqui, os invasores se movem por uma rede realizando reconhecimentos difíceis de detectar, atacando muitas máquinas para encontrar uma que tenha direitos de administrador do AD.
4. E, finalmente, acesso seguro a uma conta privilegiada – Eventualmente, eles obtêm acesso a credenciais de uma conta privilegiada ou de administrador. Uma vez que eles têm isso, eles têm controle total do AD e tudo o que depende dele.

Um exemplo de um ataque AD popular é o chamado ataque Golden Ticket. Estamos todos familiarizados com o bilhete dourado no romance de Roald Dahl Charlie & the Chocolate Factory. No mundo digital, os Golden Tickets também fornecem acesso ao ambiente de TI da sua organização. Um ataque Golden Ticket oferece aos agentes de ameaças acesso irrestrito a recursos em rede e a capacidade de residir em redes indefinidamente, disfarçados como usuários credenciados em nível de administrador.

Delineando a ameaça

AD não é simplesmente um problema porque é fácil de atacar. Da mesma forma, as recompensas para os atacantes são significativas.

AD essencialmente detém as chaves do seu reino. Imagine um cofre onde você armazena as chaves físicas do seu escritório – o AD é exatamente como esse cofre. É o hub central de acesso aos seus sistemas críticos — seus computadores, aplicativos de software e outros recursos.

É perigoso porque é simples e lucrativo. Em 2021, uma empresa pagou um resgate de até US$ 40 milhões para obter acesso de volta à sua rede.

Ao mesmo tempo, as barreiras à entrada de invasores estão diminuindo. Graças a um mercado em expansão de ransomware como serviço (RaaS), eles não precisam mais ser tecnicamente experientes. Em vez disso, eles simplesmente compram ferramentas e serviços daqueles que são.

É um ciclo devastador. As recompensas para os invasores estão aumentando enquanto o conhecimento técnico necessário continua a cair, ampliando exponencialmente o cenário de ataques.

Portanto, é fácil ver por que um estudo de ransomware de 2021 da International Data Corporation revelou recentemente que mais de um terço (37%) das organizações globais foram vítimas de um ataque de ransomware em 2021. De fato, as chances estão firmemente inclinadas a favor dos invasores .

Como as empresas podem responder?

As empresas devem responder para virar essa maré crescente.

Para minimizar suas vulnerabilidades, primeiro você precisa saber onde está vulnerável. Para muitas empresas, tentar obter esse entendimento pode parecer esmagador, especialmente para aquelas com pouco ou nenhum conhecimento de segurança cibernética. No entanto, fique tranquilo, existem soluções e suporte disponíveis para ajudar.

O Cavaleiro Roxo é um bom ponto de partida. Uma ferramenta gratuita de avaliação de segurança do Active Directory criada e gerenciada por um grupo líder de especialistas em identidade da Microsoft, ela pode ajudá-lo a identificar pontos fracos em seu Active Directory antes que os invasores o façam, destacando vulnerabilidades comuns que devem ser abordadas.

Uma gama completa de vulnerabilidades em potencial está listada no último relatório do Purple Knight. Mas, para começar, alguns exemplos comuns incluem:

• Desvio de configuração – O desvio de configuração é o resultado de anos de más práticas de AD. Os aplicativos precisam ser configurados no AD para funcionar, mas isso leva tempo. Uma solução rápida para isso é conceder muitos direitos administrativos ao aplicativo – algo que as empresas têm feito historicamente, querendo colocar sua nova ferramenta brilhante em funcionamento o mais rápido possível. Como resultado, as contas administrativas começam a se acumular no AD. No entanto, basta que um deles seja atacado para que consequências catastróficas ocorram.
  
• Contas de administrador herdadas – As contas de administrador herdadas apresentam problemas semelhantes. Eles são esqueletos no armário. Se um invasor conseguir acessar essas contas privilegiadas, eles voltarão para assombrá-lo.
  
• Senhas fracas ou comuns – os invasores também tentarão acessar várias contas tentando várias senhas comumente usadas. Isso é conhecido como pulverização de senha — uma técnica que pode ser facilmente frustrada eliminando o uso de senhas fracas ou comuns em sua rede.

É claro que identificar e lidar com essas vulnerabilidades é apenas uma pequena parte do quebra-cabeça. Para combater efetivamente a crescente ameaça do cibercrime a longo prazo, as organizações precisam adotar ativamente uma série de práticas recomendadas.

Isso pode incluir qualquer coisa, desde a realização de auditorias de segurança interna regulares e melhorias operacionais sucintas até o treinamento regular da equipe sobre phishing e o investimento em processos de recuperação para garantir uma recuperação rápida caso ocorra um ataque.

Para obter suporte ou orientação no desenvolvimento de uma defesa forte em todos os níveis, vale a pena consultar profissionais dedicados especializados em segurança AD para entender as principais mudanças que você precisa fazer. Os ataques do Active Directory não são mais uma questão de se, mas de quando. Se as empresas abordarem suas vulnerabilidades críticas de AD, elas terão uma chance de lutar. Caso contrário, eles continuarão sendo alvos fáceis, preparados para enfrentar os piores resultados possíveis.