3 níveis de autenticação de proteções para usuários e dispositivos remotos

As técnicas tradicionais de proteção ainda funcionam na era do trabalho em casa? Sim, mas você precisa usar regras e produtos diferentes. As redes tradicionais foram configuradas da mesma forma: um domínio tradicional do Active Directory, uma variedade de controladores de domínio, estações de trabalho sob o controle desse domínio e tudo protegido por um firewall.

Antes da pandemia, tínhamos laptops ou usuários em roaming que nos davam as dores de cabeça de perfis de usuários e políticas de grupo direcionadas para aqueles que permaneciam na rede versus aqueles que percorriam nossos domínios. A pandemia chegou e nossas estações de trabalho agora estão em qualquer lugar e em todos os lugares. Em vez de um domínio um tanto agradável e arrumado escondido atrás de uma série de firewalls e defesas, agora ele está conectado à mesma rede que os dispositivos Alexa. A resposta geralmente é lançar mecanismos de varredura e produtos antivírus nas estações de trabalho, mas tudo o que faz é atrasar os tempos de inicialização e o login na rede.

Ter várias ferramentas de varredura implantadas não é a resposta. Você precisa se voltar para diferentes métodos de proteção. Em vez de implantar recursos de proteção no nível da estação de trabalho, você precisa revisar quais proteções você tem no nível de autenticação. Como a Microsoft apontou em uma postagem recente no blog, os CISOs estão procurando se concentrar na proteção contra ransomware, pois veem isso como um risco claro para suas redes.

Filtragem de saída

Vamos começar com um dos fundamentos da rede antiquada: filtragem de saída. A FireEye relata que o tempo médio de permanência de um invasor em sua rede antes de lançar um ataque de ransomware é de 72,75 dias. Assim, você tem dois meses para analisar o tráfego de rede e encontrar um invasor à espreita.

Uma das primeiras ferramentas em seu arsenal é revisar o tráfego de saída de estações de trabalho e servidores sob seu controle. Determine se você pode desabilitar protocolos de compartilhamento e arquivos mais antigos que permitem que invasores se movam livremente em sua rede. Revise o tráfego que sai de servidores confidenciais com bancos de dados suculentos.

A filtragem de saída não é uma técnica nova, mas muitas vezes é negligenciada. Para esses sistemas sensíveis, limite os sistemas de saída apenas às portas e protocolos para lidar com as necessidades da rede. Configure conjuntos de regras de firewall para que o Remote Desktop Protocol (RDP) seja permitido apenas a determinadas estações de trabalho administrativas onde você puder. Os ataques de ransomware geralmente começam com uma abertura de área de trabalho remota deixada para trás e uma senha colhida. Analise sua rede em busca de aberturas de área de trabalho remota antes que os invasores as encontrem.

Use ferramentas de segurança fornecidas pelo governo

Os governos também têm intensificado os recursos para nos ajudar a nos proteger contra ameaças. O National Cyber Security Center (NCSC) do Reino Unido lançou uma série de scripts NMAP Scripting Engine projetados para ajudar proprietários e administradores de sistemas a encontrar sistemas com vulnerabilidades. Use isso junto com a lista da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) do Catálogo de Vulnerabilidades Exploradas Conhecidas para direcionar suas proteções. Na minha própria rede, as tentativas de phishing ainda podem entrar na rede, apesar das ferramentas que eu habilitei para bloqueá-las. Muitas vezes é preciso uma pessoa um pouco paranóica que não clica em algo como a única barreira entre minha rede e os invasores.

Use opções de acesso condicional baseadas em nuvem

Com mais estações de trabalho migrando para conexões domésticas ou remotas, limitar o acesso a serviços apenas por meio do endereço IP pode não ser viável. Os serviços em nuvem oferecem tecnologias normalmente chamadas de acesso condicional. Com o Azure, o acesso condicional pode adicionar regras baseadas em risco à autenticação que verificam nomes de usuário e logons para determinados comportamentos. Se você souber que os usuários de um departamento nunca farão login em um serviço usando endereços IP em qualquer lugar que não seja um determinado país, você poderá definir regras de acesso condicional para limitar adequadamente.

Você pode usar o Intune para definir essas políticas baseadas em risco para acessar recursos de rede. Você também pode usá-lo para controlar o acesso a aplicativos locais. Por exemplo, você pode usar as regras do Intune para definir o acesso condicional com base no controle de acesso à rede ou no risco do dispositivo, para PCs com Windows, incluindo máquinas de propriedade corporativa e BYOD (traga seu próprio dispositivo) e para Exchange local. Você pode projetar o Intune para ser usado em cenários híbridos de ingresso no Azure Active Directory ou em implantações de nuvem do Azure Active Directory. Você também pode definir regras para permitir o acesso a determinados aplicativos.

Não são mais apenas desktops Windows em nossas redes. Agora devemos proteger os dispositivos da Apple, como iPhones e iPads, conectados às nossas redes. A Microsoft está adicionando recursos de gerenciamento de dispositivos para controlar outros sistemas operacionais.

Outro argumento para o uso de regras de acesso condicional: invasores roubando credenciais de maneiras não tradicionais. Um método é injetar software malicioso em aplicativos que são inseridos em outras redes, também conhecido como ataque à cadeia de suprimentos de software. Ele se concentra em credenciais em vez de atacar dispositivos específicos.

O Crowdstrike detalhou uma sequência de ataque que usa salto de credenciais para obscurecer o movimento lateral, sequestro de aplicativo e serviço fundamental do Office 365, representação e manipulação, roubo de cookies do navegador para ignorar a autenticação multifator, usando o implante TrailBlazer e a variante Linux do malware GoldMax em sistemas e finalmente roubo de credenciais usando Get-ADReplAccount. Crowdstrike descobriu isso em uma conta autenticada em uma conta do Microsoft 365 de um servidor ao invés da estação de trabalho esperada.

É assim que a Crowdstrike explicou o processo de salto de credenciais:

Obtenha acesso à rede da vítima fazendo login em um sistema público via Secure Shell (SSH) usando uma conta local <user sftp> adquirida durante atividades anteriores de roubo de credenciais.
Use os recursos de encaminhamento de porta incorporados ao SSH no sistema voltado para o público para estabelecer uma sessão de protocolo de área de trabalho remota (RDP) para um servidor interno (servidor 1) usando uma conta de serviço de domínio.
A partir do Servidor 1, estabeleça outra sessão RDP para um servidor interno diferente (Servidor 2) usando uma conta de administrador de domínio.
Faça login no O365 como usuário com acesso privilegiado aos recursos da nuvem.

Para combater esses tipos de ataques de credenciais, use regras de acesso condicional para alertá-lo sobre atividades de acesso incomuns em seus recursos de nuvem.

Revise suas opções e use diferentes técnicas para proteger usuários e credenciais, além de dispositivos e estações de trabalho.