Alan Johnstone Consultor Sênior CRSP e Patrick Strijkers CRSP Cyber Security Architect
Na Prática de Segurança de Recuperação de Compromisso da Microsoft (CRSP) global, trabalhamos com clientes que experimentaram incidentes de segurança perturbadores para restaurar a confiança nos sistemas de identidade e remover o controle do adversário. Durante 2020, a equipe respondeu a muitos incidentes envolvendo ransomware e a implantação de ferramentas de criptografia de mineração. O ransomware é uma ameaça crescente para organizações e usuários domésticos, pois é um modelo de negócios de baixo custo e alto retorno. Esses ataques não são complexos, eles dependem de ferramentas e explorações de software que existem há muitos anos e ainda não foram corrigidas. Eles ainda são procurados por um motivo simples: funcionam.
Nesta postagem, esperamos compartilhar com você as maneiras mais práticas e econômicas de nunca precisar de nossos serviços.
Atualize e mantenha sua segurança básica
Há uma velha história sobre dois montanhistas que veem um urso vindo em sua direção. Um pega seu tênis de corrida e seu amigo diz: “você nunca ultrapassará um urso”. O primeiro montanhista responde: “Não preciso, só preciso correr mais que você”.
O tema por trás dessa história ecoa no atual cenário de ameaças à segurança cibernética. As notícias estão repletas de histórias de ataques cibernéticos, a maioria dos quais são descritos como “extremamente sofisticados”. No entanto, a verdade é que a maior parte dos incidentes cibernéticos não são particularmente sofisticados. A maioria dos que atacam não são estados-nação bem financiados; eles são apenas criminosos tentando ganhar algum dinheiro. O ganho financeiro direto é o principal motivador por trás dos ciberataques em 2020. Isso é particularmente verdadeiro quando as vítimas são pequenas e médias empresas e setores sem fins lucrativos, como escolas e instituições de caridade. Uma maneira fácil de melhorar sua postura de segurança é com uma correção rápida e eficiente.
No início de 2020, a Equipe de Detecção e Resposta da Microsoft (DART) foi contratada por uma organização do setor público na Austrália para investigar um ataque cibernético. A investigação do DART determinou que um invasor foi originado de um endereço IP estrangeiro. A investigação de Resposta a Incidentes (IR) descobriu que o adversário iniciou seu ataque examinando a infraestrutura voltada para a Internet em busca de portas expostas ao ataque. Nesse caso, uma conexão de área de trabalho remota foi aberta diretamente para a Internet, para permitir que um fornecedor de software fornecesse suporte. Uma senha administrativa fraca foi forçada rapidamente. Com acesso administrativo ao servidor exposto, eles realizaram algum reconhecimento de rede razoavelmente barulhento, utilizando ferramentas de hacking comumente disponíveis. Os invasores rapidamente se moveram lateralmente pela rede, escalando para os controladores de domínio.
Após a investigação do DART, a equipe CRSP trabalhou para recuperar o ambiente por meio do restabelecimento da confiança nos sistemas de identidade, fortalecendo as defesas e removendo o controle do adversário. Embora de alto perfil e com bons recursos, a organização do setor público era uma organização pequena com cerca de 500 funcionários e, infelizmente, ficou para trás nas medidas de segurança nos últimos anos.
Desde o ataque inicial de força bruta, o atacante alcançou o controle do domínio em questão de horas. Nesse ataque, o adversário mostrou sua motivação financeira ao implantar ferramentas de criptografia de mineração em todos os servidores e estações de trabalho. Como foi no fim de semana, o ataque ficou sem ser descoberto por um período.
Não houve indicação de que o ataque foi direcionado especificamente à organização, as motivações do invasor pareciam ser puramente financeiras. A cripto-mineração é uma carga útil de baixo risco e baixo retorno, e não requer escolha explícita por parte da vítima para pagá-la. As recompensas são menores, mas são instantâneas, perfeitas para ataques de alto volume e baixo valor.
As lições desse incidente são: se você pode torná-lo mais difícil do que a média, os invasores de baixa habilidade geralmente desistem rapidamente e passam para o próximo alvo. Basicamente, ultrapassando seu amigo, não o urso. O enfoque em consertar o básico ajudará muito na proteção da maioria das pequenas e médias empresas. Abaixo estão sete áreas (totalmente não exaustivas) que podem rapidamente torná-lo um alvo mais difícil de atingir – e são todas as coisas que implementamos quando nos envolvemos com clientes em projetos reativos.
- Corrigindo tudo, mais rápido
Ter como objetivo a cobertura total da correção em 48 horas melhorará visivelmente sua postura de segurança. Corrija seus servidores assim que puder, com foco em sistemas de Camada 0, como Controladores de Domínio e Microsoft Azure Active Directory Connect.
A aplicação de correções é igualmente importante, principalmente os aplicativos de produtividade de negócios, como clientes de e-mail, clientes VPN e navegadores da web. Habilite a atualização automática de seus navegadores seja Edge, Chrome, Firefox ou outros. Navegadores desatualizados expõem os dados do usuário e o dispositivo ao comprometimento. Usar a nuvem e o Windows Update for Business pode ajudar a automatizar a aplicação de correções e remover algumas das cargas de manutenção quando a força de trabalho da sua organização é distribuída, especialmente com uma força de trabalho distribuída de estilo pandêmico.
Como parte de uma Recuperação de Compromisso, trabalhamos para garantir que nossos clientes possam consertar seus ativos mais importantes em poucas horas. Isso geralmente inclui a implementação de processos rápidos de aprovação de correções e ciclos de teste para cargas de trabalho críticas. Vemos muitos benefícios em manter seus sistemas de correção separados para suas cargas de trabalho principais, como implementar uma ferramenta de gerenciamento de atualização dedicada apenas para controladores de domínio.
- Proteja ativamente seus dispositivos
Um dispositivo Windows atualizado e bem configurado executando o Microsoft Defender for Endpoint ou outra solução de detecção e resposta estendida (XDR) deve ser sua primeira linha de defesa. Juntamente com um sistema de gerenciamento de eventos de incidente de segurança (SIEM) para seus sistemas de negócios essenciais e críticos, isso ajudará a dar a você visibilidade sobre seus ativos importantes. Certifique-se de que as pessoas estão olhando os alertas e rastreando as atividades.
Depois de passar um tempo com nossos clientes, gostamos de nos certificar de que tudo o que acontece em seus sistemas de negócios importantes está sendo bem monitorado e gerenciado. Ser capaz de reagir a qualquer coisa que possa ocorrer neste ambiente é vital para manter a garantia contínua em um ambiente.
- Reduza sua exposição
A abertura de qualquer serviço para a Internet apresenta riscos inerentes. Um risco é que qualquer coisa conectada à Internet seja verificada de maneira rotineira e regular. Como vimos com o recente exploit HAFNIUM, qualquer coisa que seja considerada vulnerável será potencialmente explorada minutos após ficar online.
Além disso, existem recursos de serviços disponíveis ao público online. Esses resultados não são apenas de interesse para hackers que procuram explorar recursos, mas podem ser úteis para aqueles que procuram melhorar sua postura de segurança.
Um firewall que restringe o acesso a endereços de origem definidos reduzirá um pouco o risco, assim como colocá-los atrás de uma conexão VPN, especialmente uma que requer autenticação de dois fatores.
Se seus servidores estiverem no Azure ou em outra nuvem, use um grupo de segurança de rede para restringir o acesso a IPs específicos ou, melhor ainda, use o acesso just-in-time e Microsoft Azure Bastion.
Em nosso exemplo de cliente, o Remote Desktop Protocol foi exposto diretamente na Internet, sem controles atenuantes.
Trabalhamos com nossos clientes para justificar e reduzir a exposição de quaisquer serviços voltados para a Internet em um ambiente. Trabalhamos junto com as práticas administrativas para garantir que os administradores ainda possam manter um sistema totalmente, mas de maneira mais segura.
- Reduza seu privilégio
A maioria dos ataques depende do invasor obter acesso administrativo. Se pudermos limitar a exposição, percorreremos um longo caminho para bloquear muitos ataques. Ter uma senha de administrador local comum torna o movimento lateral e a elevação de privilégio uma tarefa trivial para os invasores.
O Local Administrator Password Solution (LAPS), que gerencia contas de administração local em sistemas, está disponível há quase seis anos e é gratuito. No entanto, em muitos compromissos, vemos que não foi implantado. Implante-o em sua rede hoje.
Em nosso exemplo do setor público, o invasor conseguiu extrair credenciais altamente privilegiadas de um servidor de aplicativos. A implantação de soluções de gerenciamento de privacidade e de administração just-in-time agrega grande valor, mas pode ser complexa e demorada. Ganhos rápidos podem ser obtidos observando a associação de seus grupos de segurança críticos, como Administradores de domínio e corporativos, e reduzindo para apenas aqueles que realmente precisam. Em todos os ambientes, exceto nos maiores, você deve ser capaz de contar o número de Administradores de Domínio com os dedos de uma mão.
Usar uma estação de trabalho de administrador dedicada para tarefas de alto valor reduz o risco de roubo de credenciais de administrador. Mesmo as pessoas mais cuidadosas às vezes clicam no link errado. Não é uma boa ideia usar sua conta de administrador no mesmo PC em que você lê e-mails ou navega na web devido aos riscos que isso apresenta à sua privacidade.
Use contas de serviço gerenciadas com senhas rotativas automaticamente. Se um fornecedor de aplicativo disser que sua conta de serviço precisa ser de administrador, é hora de reagir.
Leia mais sobre nossas orientações sobre como proteger o acesso privilegiado.
Ter dispositivos reforçados dedicados apenas para administradores é uma maneira excelente e econômica de aumentar taticamente sua segurança. Ter uma máquina independente sem e-mail ou navegação na web aumenta muito a dificuldade para os invasores.
Para nosso cliente do setor público, os limites ao uso da privacidade teriam tornado muito mais difícil para o invasor mover-se da fonte inicial no servidor exposto para o restante do ambiente.
- Utilize o poder da nuvem
Considere quais serviços você ainda precisa executar. Se você não tem uma necessidade muito explícita de fazer você mesmo, deixe outra pessoa. O modelo de responsabilidade compartilhada na nuvem dá a você a chance de reduzir sua exposição e delegar a segurança da plataforma a um provedor de nuvem. A nuvem pode escalar automaticamente onde a TI tradicional não pode, e o mesmo deve ser dito para os serviços de segurança na nuvem.
Observe o que você está executando e substitua-o por aplicativos de plataforma como serviço (PaaS) ou software como serviço (SaaS) onde for possível.
Por exemplo, os servidores Exchange locais são um ótimo produto, mas exigem manutenção, correção e configuração. A migração do e-mail para o Exchange Online remove muito trabalho e diminui a superfície de ataque, bloqueando a maioria dos links maliciosos e de phishing antes que eles cheguem às caixas de e-mails.
Executar um servidor web seguro em seu ambiente pode ser difícil se você puder, a longo prazo, mudar para uma solução baseada em nuvem no Azure ou em outra nuvem. Isso não teria sido relevante neste caso, mas é um vetor de ataque comum.
Utilize ferramentas de segurança modernas com base na nuvem, como a Central de Segurança do Azure e o Azure Defender. Mesmo se seus servidores residirem no local ou em outra nuvem, eles ainda podem ser configurados para relatar para a Central de Segurança, dando a você uma imagem de sua postura de segurança. O uso de um sistema SIEM como o Microsoft Azure Sentinel pode dar maior visibilidade de ataques potenciais.
Se nosso cliente atacado estivesse usando soluções de segurança em nuvem, eles teriam visto o ataque acontecendo.
- Pague sua dívida técnica
O funcionamento de sistemas operativos antigos aumenta sua vulnerabilidade a ataques porque exploram vulnerabilidades de longa data. Sempre que possível, desative ou atualize os sistemas operacionais Windows antigos. Os protocolos antigos podem aumentar o risco. As tecnologias de compartilhamento de arquivos mais antigas são um vetor de ataque bem conhecido para ransomware, mas ainda estão em uso em muitos ambientes.
Neste incidente, havia muitos sistemas, incluindo controladores de domínio, que não tinham sido corrigidos recentemente. Isso ajudou muito o invasor em sua movimentação pelo ambiente. Como parte da ajuda aos clientes, examinamos os sistemas mais importantes e nos certificamos de que estamos executando os protocolos mais atualizados que podemos para aprimorar ainda mais o ambiente.
- Veja seus registros e atue nos alertas
Como diz o ditado, “coleta não é detecção”. Em muitos engajamentos, as ações do invasor são claras e óbvias nos registros de eventos. O problema comum é que ninguém está olhando para eles no dia a dia ou entendendo como é o normal. Alterações inexplicáveis nesses registros de eventos, como alterações de exclusão ou retenção, devem ser consideradas suspeitas e investigadas.
Neste incidente, as ações do invasor podem ser facilmente rastreadas por meio de registros após o fato. Um sistema SIEM, que coleta registros de muitas fontes, era tradicionalmente um grande investimento e fora do alcance de todos, exceto grandes empresas. Com o Azure Sentinel, agora está ao alcance de todos – sem requisitos de infraestrutura local e sem necessidade de investimento inicial. Simplesmente implante agentes em seus sistemas (não importa se eles estão no local, Azure ou outra nuvem).
Saiba mais
Não existe uma solução de tecnologia mágica que torne você um alvo mais difícil de atingir. As equipes Microsoft DART e CSRP contam com várias pessoas, amigáveis e prestativas, mas não queremos que você nos conheça.
Um hacker determinado e com bons recursos irá, com o tempo, violar as melhores defesas cibernéticas. Em resumo, não é preciso “correr mais que o urso”, mas dar os primeiros passos para se tornar um alvo mais difícil fará com que os invasores avancem para alvos mais fáceis.
Para saber mais sobre as soluções de segurança da Microsoft, visite nosso site. Siga o blog de segurança para acompanhar nossa cobertura especializada em segurança. E siga-nos em @MSFTSecurity para obter as últimas notícias e atualizações sobre segurança cibernética.
