Acesso privilegiado: estratégia
A Microsoft recomenda a adoção dessa estratégia de acesso privilegiado para reduzir rapidamente os riscos de ataques de alto impacto em sua organização, além disso, reduzir a alta probabilidade de ataques em acesso privilegiado.
O acesso privilegiado deve ser a principal prioridade de segurança em todas as organizações. Qualquer comprometimento desses usuários apresenta uma elevada probabilidade de causar impactos negativos significativos para a organização. Os usuários com privilégios em uma organização têm acesso a ativos comerciais fundamentais, quase sempre causando grande impacto quando invasores comprometem as contas desses usuários.
Essa estratégia se baseia em princípios de Confiança Zero de validação explícita, privilégios mínimos e pressuposição de violação. A Microsoft fornece diretrizes de implementação para ajudar você a implantar rapidamente proteções com base nesta estratégia
Importante
Não há uma solução técnica milagrosa que reduza de forma mágica o risco no acesso privilegiado. Você deve mesclar várias tecnologias em uma solução holística que ofereça proteção em vários pontos de entrada do invasor. As organizações devem trazer as ferramentas certas para cada parte do trabalho.
Por que a proteção de acesso privilegiado é importante?
A segurança do acesso privilegiado é extremamente importante porque é fundamental para todas as outras garantias de segurança; um invasor no controle de suas contas privilegiadas pode minar todas as outras garantias de segurança. Do ponto de vista do risco, a perda de acesso privilegiado é um evento de alto impacto, com uma elevada probabilidade de acontecer e que está crescendo a uma taxa alarmante em todos os setores.
Essas técnicas de ataque foram inicialmente usadas em ataques de roubo de dados direcionados que resultaram em muitas violações de grande importância em marcas familiares (e muitos incidentes não relatados). Mais recentemente, essas técnicas foram adotadas por invasores de ransomware, alimentando um crescimento explosivo de ataques de ransomware operados por humanos altamente lucrativos que interrompem intencionalmente as operações comerciais em todo o setor.
Importante
Ransomware operado por humanos é diferente dos ataques de ransowmare de computador único a mercadorias, que visam uma única estação de trabalho ou dispositivo.
Este gráfico descreve como esse ataque baseado em extorsão está crescendo em impacto e probabilidade usando o acesso privilegiado:
- Alto impacto nos negócios
- É difícil exagerar o potencial impacto nos negócios e os danos de uma perda de acesso privilegiado. Invasores com acesso privilegiado têm efetivamente controle total de todos os ativos e recursos corporativos, o que concede a eles a capacidade de divulgar dados confidenciais, interromper todos os processos comerciais ou subverter processos comerciais e máquinas para causar danos materiais, prejudicar as pessoas ou algo pior.
Um grande impacto nos negócios foi observado em todos os setores com:
- Roubo de dados direcionados: os invasores usam acesso privilegiado para acessar e roubar propriedade intelectual confidencial para seu próprio uso ou para vender/transferir aos concorrentes ou governos estrangeiros
- Ransomware operado por humanos (HumOR): os invasores usam acesso privilegiado para roubar e/ou criptografar todos os dados e sistemas na empresa, geralmente interrompendo todas as operações comerciais. Em seguida, eles extorquem a organização de destino exigindo dinheiro para não divulgar os dados e/ou fornecer as chaves para desbloquear os dados.
- É difícil exagerar o potencial impacto nos negócios e os danos de uma perda de acesso privilegiado. Invasores com acesso privilegiado têm efetivamente controle total de todos os ativos e recursos corporativos, o que concede a eles a capacidade de divulgar dados confidenciais, interromper todos os processos comerciais ou subverter processos comerciais e máquinas para causar danos materiais, prejudicar as pessoas ou algo pior.
Um grande impacto nos negócios foi observado em todos os setores com:
- Alta probabilidade de ocorrência
- A prevalência de ataques de acesso privilegiado cresceu desde o advento de ataques modernos de roubo de credenciais, começando com as técnicas "pass-the-hash". Essas técnicas primeiro foram popularizadas por criminosos que começam com a versão 2008 da ferramenta de ataque "Pass-the-Hash Toolkit" e cresceram em um conjunto de técnicas de ataque confiáveis (principalmente com base no kit de ferramentas Mimikatz). Todo esse armamento e automação de técnicas permitiram que os ataques (e seu impacto subsequente) crescessem em um ritmo acelerado, sendo limitados apenas pela vulnerabilidade da organização de destino aos ataques e aos modelos de monetização/incentivo dos invasores.
- Antes do advento do ransomware operado por humanos (HumOR), esses ataques eram predominantes, mas geralmente não detectados ou mal compreendidos por causa de:
- Limites de monetização do invasor: apenas grupos e indivíduos que sabem como monetizar a propriedade intelectual confidencial das organizações alvos podem lucrar com esses ataques.
- Impacto silencioso: organizações geralmente não perceberam esses ataques porque não tinham ferramentas de detecção e também tiveram um tempo rígido para ver e estimar o impacto nos negócios resultante (por exemplo, como seus concorrentes estavam usando sua propriedade intelectual roubada e como isso afetou os preços e os mercados, às vezes anos mais tarde). Além disso, as organizações que detectaram os ataques muitas vezes permaneceram em silêncio para proteger suas reputações.
- Tanto o impacto silencioso quanto as limitações de monetização de invasores nesses ataques estão se desintegrando com o advento do ransomware operado por humanos, que está crescendo em volume, impacto e consciência por ser:
- Altos e disruptivos: para processos de negócios resultante do pagamento de demandas de extorsão.
- Universalmente aplicáveis: todas as organizações em cada setor são motivadas financeiramente a continuar as operações ininterruptas.
- Antes do advento do ransomware operado por humanos (HumOR), esses ataques eram predominantes, mas geralmente não detectados ou mal compreendidos por causa de:
- A prevalência de ataques de acesso privilegiado cresceu desde o advento de ataques modernos de roubo de credenciais, começando com as técnicas "pass-the-hash". Essas técnicas primeiro foram popularizadas por criminosos que começam com a versão 2008 da ferramenta de ataque "Pass-the-Hash Toolkit" e cresceram em um conjunto de técnicas de ataque confiáveis (principalmente com base no kit de ferramentas Mimikatz). Todo esse armamento e automação de técnicas permitiram que os ataques (e seu impacto subsequente) crescessem em um ritmo acelerado, sendo limitados apenas pela vulnerabilidade da organização de destino aos ataques e aos modelos de monetização/incentivo dos invasores.
Por esses motivos, o acesso privilegiado deve ser a principal prioridade de segurança em todas as organizações.
Criar sua estratégia de acesso privilegiado
A estratégia de acesso privilegiado é uma jornada que deve ser composta de ganhos rápidos e progresso incremental. Cada etapa em sua estratégia de acesso privilegiado deve "blindar" você contra invasores persistentes e flexíveis, que são como água tentando infiltrar-se em seu ambiente através de qualquer fraqueza disponível.
Estas diretrizes foram desenvolvidas para todas as organizações comerciais, independentemente de onde você já esteja na jornada.
Estratégia prática holística
Reduzir o risco de acesso privilegiado exige uma combinação consciente, holística e priorizada de mitigação de risco abrangendo várias tecnologias.
A criação desta estratégia requer o reconhecimento de que os invasores são como a água, pois têm inúmeras opções que podem explorar (algumas das quais podem parecer insignificantes no início); os invasores são flexíveis em quais eles usam, e geralmente optam pelo caminho mais fácil para alcançar seus objetivos.
Na prática, os caminhos que os invasores priorizam são uma combinação de:
- Técnicas estabelecidas (muitas vezes automatizadas em ferramentas de ataque)
- Novas técnicas que são mais fáceis de explorar
Devido à diversidade de tecnologia envolvida, essa estratégia requer uma estratégia completa que combine várias tecnologias e siga os princípios de Confiança Zero.
Importante
É necessário adotar uma estratégia que inclua várias tecnologias para se defender contra esses ataques. Simplesmente implementar uma solução de Privileged Identity Management/Privileged Access Management (PIM/PAM) não é suficiente. Para obter mais informações, confira Intermediários de acesso privilegiado.
- Os invasores são orientados por metas e independentes de tecnologia, usando qualquer tipo de ataque que funcione.
- O backbone de controle de acesso que você está defendendo é integrado à maioria dos sistemas no ambiente empresarial ou a todos eles.
Prever que você possa detectar ou prevenir essas ameaças com apenas controles de rede ou uma única solução de acesso privilegiado deixará você vulnerável a muitos outros tipos de ataques.
Pressuposição estratégica - A nuvem é uma fonte de segurança
Essa estratégia usa serviços de nuvem como a principal fonte de recursos de segurança e gerenciamento em vez de técnicas de isolamento no local por vários motivos:
- Nuvem tem recursos melhores: os mais poderosos recursos de segurança e gerenciamento disponíveis hoje são provenientes dos serviços de nuvem, incluindo ferramentas sofisticadas, integração nativa e enormes quantidades de inteligência de segurança como os mais de oito trilhões de sinais de segurança por dia que a Microsoft usa para nossas ferramentas de segurança.
- Nuvem é mais fácil e rápida: a adoção de serviços de nuvem requer pouca ou nenhuma infraestrutura para implementar e escalar verticalmente, possibilitando que suas equipes se concentrem mais em sua missão de segurança e menos na integração de tecnologia.
- Nuvem requer pouca manutenção: a nuvem também é gerenciada, mantida e protegida consistentemente por organizações de fornecedores com equipes dedicadas a esse único propósito para milhares de organizações de clientes, reduzindo o tempo e o esforço de sua equipe para manter rigorosamente os recursos.
- Nuvem tem melhoria contínua: os recursos e funcionalidades nos serviços de nuvem estão constantemente sendo atualizados sem a necessidade de que sua organização precise investir continuamente.
Criar a estratégia recomendada
A estratégia recomendada pela Microsoft é criar incrementalmente um sistema de "loop fechado" para acesso privilegiado, garantindo que somente os dispositivos, contas e sistemas intermediários “limpos” confiáveis possam ser usados para acesso privilegiado a sistemas comercialmente sensíveis.
Assim como a impermeabilização de algo complexo na vida real, como um barco, você precisa projetar esta estratégia com um resultado intencional, estabelecer e seguir os padrões com cuidado e monitorar e auditar continuamente os resultados para corrigir quaisquer vazamentos. Você simplesmente não pregaria as tábuas na forma de um barco e esperaria, num passe de mágica, ter um barco impermeável. Você se concentraria primeiro em criar construir e impermeabilizar itens como o casco e os componentes essenciais, como o motor e sistema de lemes (enquanto prevê maneiras de embarcar pessoas) e, posteriormente, impermeabilizar os itens de conforto, como rádios, assentos e outros componentes. Você também conservaria esse barco ao longo do tempo, pois até mesmo no sistema mais perfeito poderia apresentar um vazamento posteriormente, portanto, é necessário continuar a manutenção preventiva, monitorar vazamentos e consertá-los para evitar que o barco naufrague.
A proteção de acesso privilegiado tem duas metas simples
- Limitar rigorosamente a capacidade de executar ações privilegiadas a alguns caminhos autorizados
- Proteger e monitorar com atenção esses caminhos
Há dois tipos de caminhos para acessar os sistemas: o acesso do usuário (para usar o recurso) e o acesso privilegiado (para gerenciar o recurso ou acessar um recurso confidencial)
- Acesso do usuário: o caminho azul mais claro na parte inferior do diagrama ilustra uma conta de usuário padrão que executa tarefas gerais de produtividade como email, colaboração, navegação na Web e uso de aplicativos de linha de negócios ou sites. Este caminho inclui um logon de conta em um dispositivo ou estação de trabalho, às vezes passando por um intermediário como uma solução de acesso remoto e interagindo com sistemas empresariais.
- Acesso privilegiado – o caminho azul mais escuro na parte superior do diagrama ilustra o acesso privilegiado, em que contas privilegiadas, como administradores de TI ou outras contas confidenciais, acessam dados e sistemas comercialmente críticos ou executam tarefas administrativas em sistemas empresariais. Embora os componentes técnicos possam ser semelhantes por natureza, o dano que um adversário pode ocasionar com acesso privilegiado é muito maior.
O sistema de gerenciamento de acesso completo também inclui sistemas de identidade e caminhos de elevação autorizados.
- Sistemas de identidade: fornecem diretórios de identidade que hospedem as contas e grupos administrativos, recursos de sincronização e de federação, incluindo outras funções de suporte de identidade para usuários padrão e usuários com privilégios.
- Caminhos de elevação autorizados – fornecem meios para os usuários padrão interagirem com fluxos de trabalho privilegiados, como gerentes ou colegas aprovando solicitações de direitos administrativos para um sistema confidencial por meio de um processo just-in-time (JIT) em um sistema de Privileged Access Management/Privileged Identity Management.
Esses componentes compõem coletivamente a superfície de ataque de acesso privilegiado que um adversário pode ter como alvo para tentar obter acesso elevado à sua empresa:
Observação
Para sistemas de infraestrutura como serviço (IaaS) locais hospedados em um sistema operacional gerenciado pelo cliente, a superfície de ataque aumenta drasticamente com agentes de gerenciamento e segurança, contas de serviço e possíveis problemas de configuração.
A criação de uma estratégia de acesso privilegiado sustentável e gerenciável exige o fechamento de todos os vetores não autorizados para criar o equivalente virtual de um console de controle fisicamente anexado a um sistema seguro que representa o único meio de acessá-lo.
Essa estratégia requer uma combinação de:
- Controle de acesso de Confiança Zero descrito nestas diretrizes, incluindo o plano de modernização rápida (RAMP)
- Proteção de ativos para proteger contra ataques de ativos diretos aplicando boas práticas de higiene de segurança a esses sistemas. A proteção de ativos para recursos (além dos componentes de controle de acesso) está fora do escopo destas diretrizes, mas normalmente inclui a aplicação rápida de patches/atualizações de segurança, configuração de sistemas operacionais usando linhas de base de segurança do fabricante/setor, proteção de dados inativos e em trânsito, e integração das melhores práticas de segurança para processos de desenvolvimento/DevOps.
Iniciativas estratégicas na jornada
A implementação dessa estratégia requer quatro iniciativas complementares que tenham resultados claros e critérios de sucesso
- Segurança de sessão de ponta a ponta: estabelecer validação explícita de Confiança Zero para sessões com privilégios, sessões de usuário e caminhos de elevação autorizados.
- Critérios de sucesso: cada sessão valida que cada conta de usuário e dispositivo são confiáveis em um nível suficiente antes de permitir o acesso.
- Proteger e monitorar sistemas de identidade, incluindo diretórios, gerenciamento de identidades, contas de administrador, concessões de consentimento e muito mais
- Critérios de sucesso: cada um desses sistemas é protegido em um nível apropriado para o potencial impacto comercial das contas hospedadas nele.
- Mitigar a passagem lateral para proteger contra a passagem lateral com senhas de contas locais, senhas de contas de serviço ou outros segredos
- Critérios de sucesso: comprometer um único dispositivo não levará imediatamente ao controle de muitos ou todos os outros dispositivos no ambiente
- Resposta rápida a ameaças para limitar o acesso e o tempo do adversário no ambiente
- Critérios de sucesso: os processos de resposta a incidentes impedem que os adversários conduzam de forma confiável um ataque de vários estágios no ambiente, o que resultaria em perda de acesso privilegiado. [Medido pela redução do tempo médio de correção (MTTR) de incidentes envolvendo acesso privilegiado a quase zero e redução do MTTR de todos os incidentes para alguns minutos para que os adversários não tenham tempo para direcionar o acesso privilegiado].