Opinion

A proteção do Active Directory deve estar no centro de qualquer estratégia zero-trust

O conceito zero-trust está a generalizar-se na Europa. De acordo com a Forrester, mais de dois terços das empresas já desenvolveram ou estão a desenvolver esta estratégia para proteger dados e operações em ambientes de trabalho híbridos

Por Nuno Ferreira, diretor da Semperis para Portugal . 23/05/2023

A proteção do Active Directory deve estar no centro de qualquer estratégia zero-trust

No entanto, existe um aspeto crítico do modelo zero-trust que muitos profissionais de segurança descuram: Zero-trust pressupõe implicitamente que os sistemas em que se baseia, incluindo o Active Directory (AD), mantenham a sua integridade.

Contudo, o AD é muitas vezes o elo mais fraco na cadeia de segurança de identidade. O problema não é necessariamente o AD em si, apesar desta tecnologia já ter mais de 20 anos. Quando corretamente configurado e implementado o AD pode ser versátil e seguro. 

Infelizmente, também pode ser mal configurado e mal gerido e são estes pontos fracos na configuração que o tornam um alvo fácil. Os cibercriminosos sabem-no e é por este motivo que o AD é frequentemente uma parte importante na “kill chain” de um ciberataque.

Tendo em conta que o AD fornece um mapa (e acesso) aos dados de uma organização, os atacantes podem utilizá-lo para obter privilégios e permitir movimentos laterais na rede. Os cibercriminosos atacam o AD para facilitar tudo, desde técnicas de persistência a escalação de privilégios e evasão de controlos e contramedidas. Como a identidade na cloud também deriva do AD, este torna-se num alvo principal para o abuso de credenciais, uma tática envolvida em 80% de todas as violações de dados.

Diferentes arquiteturas, uma fonte de identidade

A identidade é uma componente fundamental de qualquer infraestrutura zero-trust e tem de ser tratada como tal. Muitos de nós continuamos a trabalhar a partir de casa, pelo menos, parcialmente. Ao mesmo tempo que mantêm capacidades de acesso remoto e aplicações centradas na nuvem, as organizações não devem esquecer que as suas estratégias de segurança dependem da integridade dos seus principais sistemas de identidade on-premises.

No passado, os utilizadores dependiam em grande medida das redes privadas virtuais (VPN) para efetuarem o acesso remoto. Os utilizadores são autenticados por um serviço de diretório – normalmente o Active Directory – e, em seguida, têm permissão para aceder à rede empresarial. No entanto, sendo uma solução com desafios de escalabilidade e dependente da segurança do perímetro da rede, as VPN não são, por si só, a resposta para a força de trabalho remota moderna.

Em alternativa, um número crescente de empresas está a fazer com que os utilizadores iniciem sessão num serviço de gestão de identidades e acessos (IAM) baseado na Web com as respetivas credenciais da empresa para aceder a aplicações de software as a service (SaaS), como o Zoom ou o Microsoft Office 365, diretamente através da Internet. Este método utiliza um modelo zero-trust no qual a identidade de um utilizador, e não a rede local, é fundamental para aceder à aplicação.

Algumas empresas vão ainda mais longe estendendo o modelo Zero Trust às redes on-premises, implementando dispositivos que criam um perímetro definido por software entre as aplicações e os utilizadores que tentam aceder às mesmas. Em vez de terem acesso a uma rede ampla concedida pela VPN, estes dispositivos proxy (por exemplo: Azure AD Application Proxy, Symantec Secure Access Cloud) concedem apenas acesso aos utilizadores à aplicação publicada pelo proxy. Como o tráfego é encaminhado através do serviço IAM, a sessão dos utilizadores pode incluir controlos de acesso sofisticados, tais como a conformidade do dispositivo, o risco da sessão ou o tipo de aplicação utilizado pelo cliente. Mas, uma vez mais, zero-trust depende implicitamente do sistema de identidade subjacente. Alguns ataques contornam com êxito o IAM permitindo que os intrusos se desloquem lateralmente pelas redes.

Proteger a origem

Independentemente de os utilizadores iniciarem sessão na rede empresarial utilizando uma VPN ou num portal Web para aceder ao SaaS ou às aplicações on-premises, a segurança da identidade é sempre importante. Enquanto que as VPN utilizam uma origem de identidade on-premises, os serviços modernos de IAM na cloud utilizam vários fatores, como o estado de funcionamento do dispositivo, a localização e os padrões de comportamento, para contribuir para o nível de segurança da identidade. Contudo, os núcleos destes serviços na nuvem ainda se baseiam nas credenciais da conta individual do utilizador.

A maior parte das organizações utiliza um modelo híbrido, projetando a sua identidade on-premises para os serviços de internet. Por conseguinte, a origem de identidade destas credenciais é o pilar de toda a arquitetura sofisticada. E para 90% das empresas, esta fonte de identidade é o Active Directory.

Isto significa que qualquer estratégia zero-trust, na realidade, qualquer arquitetura de segurança, depende fortemente do AD. Portanto, como pode assegurar a integridade do AD e dos respetivos dados? Ao minimizar a superfície de ataque do AD, monitorizar a existência de comportamentos suspeitos no AD e ter um plano de recuperação do AD.

De acordo com um estudo realizado pela Identity Defined Security Alliance, 84% das organizações mundiais sofreram um ataque relacionado com a identidade em 2021/2022. E 96% comunicaram que podiam ter impedido ou minimizado o ataque se tivessem implementado soluções de segurança centradas na identidade.

Apesar de poder implementar uma rede zero-trust através de várias formas, os seus princípios essenciais são sempre baseados na identidade dos utilizadores. Quer acedam à rede utilizando uma VPN ou iniciem sessão no portal Web do serviço de identidade, há uma grande probabilidade de a identidade estar dependente do AD. Por conseguinte, é fundamental assegurar a sua integridade para a segurança da sua empresa.


RECOMENDADO PELOS LEITORES

Uma nova era
Opinion

Uma nova era

REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.