0
0
As organizações que tentam melhorar a segurança de seus ambientes do Active Directory enfrentam um problema simples: os invasores têm muitas opções. O ambiente médio do AD corporativo tem milhares ou dezenas de milhares de caminhos de ataque, que são cadeias de configurações incorretas que permitem que um invasor com acesso inicial a um usuário com poucos privilégios escale privilégios, mova-se lateralmente para um usuário de alto privilégio e, em seguida, assuma o domínio. Embora a correção de todas as configurações incorretas possa não ser possível, os administradores de gerenciamento de segurança, identidade e acesso podem absolutamente fazer progressos significativos para proteger o AD. Mas eles precisam de uma maneira de priorizar seu trabalho para fazê-lo com sucesso.
O primeiro passo para priorizar os caminhos de ataque é se concentrar naqueles que levam a qualquer ativo de nível zero. Os ativos de nível zero são os sistemas vitais no AD ou no Azure AD que, se comprometidos, permitem que um invasor dê a si mesmo acesso a qualquer sistema desejado. O que quer que um invasor esteja tentando fazer, seja implantando malware, roubando informações confidenciais ou estabelecendo persistência, obter o controle de um sistema de nível zero permitirá que eles façam isso.
Isso levanta a questão de quais sistemas estão incluídos no nível zero. O termo vem do modelo Enhanced Security Administration Environment (ESAE – Retired) da Microsoft e significa o conjunto de objetos com controle total sobre o ambiente e quaisquer objetos com controle sobre esses objetos. O modelo ESAE foi retirado e substituído pelo Enterprise Access Model da Microsoft, que recomenda o mesmo conselho e agora se refere a esse grupo sensível como “plano de controle”. No entanto, nenhum dos modelos inclui uma lista de sistemas considerados parte do nível zero.
Veja o que meus colegas e eu que pesquisamos a segurança do AD consideramos ativos de nível zero. Há muitos objetos e grupos do AD que sempre devem ser considerados de nível zero em todos os ambientes, mas alguns variam de organização para organização. O grupo zero de camada final será personalizado para cada organização.
Grupo Um: Grupos de Controle de Domínio
Primeiro, incluímos objetos que mantêm o controle total de um domínio ou têm a capacidade (efetivamente) irrevogável de obter acesso a esses grupos. Lembre-se de inspecionar qualquer associação de grupo privilegiado no AD para identificar quaisquer grupos aninhados, uma vez que as permissões de grupo são herdadas. Por exemplo, se um grupo estiver aninhado em um segundo grupo incluído em controladores de domínio, todos os membros de ambos os grupos terão esses privilégios.
No Active Directory, eles incluem o objeto de cabeçalho de domínio, contas de administrador internas, administradores de domínio; controladores de domínio; administradores de esquema e corporativos; controladores de domínio corporativos; administradores de chaves e chaves corporativas; e administradores em geral.
No Azure, a camada zero inclui as funções padrão que mantêm o controle total de um locatário do Azure ou têm a capacidade efetivamente irrevogável de obter acesso a essas funções. Isso inclui objetos de locatário, administradores globais, administrador de função privilegiada e administradores de autenticação privilegiada.
Grupo Dois: Principais Sistemas de Identidade
Em seguida, a camada zero deve incluir os computadores e as contas de serviço associados aos seguintes sistemas. Estes quase sempre serão de nível zero, mas o processo para identificá-los variará dependendo do ambiente.Primeiro, estão os serviços de certificação de infraestrutura de chave pública/Active Directory, incluindo o servidor de autoridade de certificação (CA) raiz e as autoridades de certificação subordinadas. O segundo é os serviços de federação do Active Directory, mas observe que os servidores proxy de aplicativo Web devem estar em uma floresta AD separada (DMZ ou rede extranet) e não são considerados camada zero. Em terceiro lugar, estão os servidores e contas do Azure AD Connect, incluindo servidores com autenticação de passagem habilitada. Sistemas de gerenciamento de acesso privilegiado, como Thycotic ou CyberArk, e ferramentas de administração de objetos de política de grupo, como o administrador do Quest GPO ou o gerenciador avançado de políticas de grupo, também devem ser considerados nível zero.Como dissemos, o nível zero deve ser personalizado para cada organização. Os computadores e contas de serviços associados a qualquer outra coisa que uma organização específica considere de nível zero, como estações de trabalho de acesso privilegiado, devem ser incluídos nos sistemas listados acima. Os controladores de domínio corporativos somente leitura e os controladores de domínio somente leitura podem ser considerados de nível zero ou nível um, dependendo de determinadas condições.
Grupo Três: Sistemas com Capacidade de Execução de Código
Finalmente, a camada zero deve incluir sistemas que tenham capacidade de execução de código (ou outro controle privilegiado) nos sistemas de camada zero listados acima. Por exemplo, se os controladores de domínio forem gerenciados a partir do Microsoft System Center Configuration Manager (SCCM), comprometer o SCCM permitirá que o invasor execute código em controladores de domínio. O SCCM é, nesse caso, um caminho indireto para o controle total sobre o ambiente e, portanto, um sistema de nível zero. Esse ataque requer mais sofisticação, mas ainda é uma opção viável para um adversário e as organizações devem estar preparadas para essa possibilidade.
Muitas vezes, existem muitos sistemas nesta categoria e identificá-los todos pode ser um projeto significativo. Recomenda-se que as organizações trabalhem em fases; primeiro identifique todos os objetos e contas listados acima, desenhe o limite de nível zero em torno deles e, em seguida, passe para identificar sistemas com capacidade de execução de código sobre eles.
Depois que uma organização identifica esses ativos, eles podem concentrar seus recursos de segurança em protegê-los e avaliar melhor quais caminhos de ataque se concentrar no fechamento. É praticamente impossível fechar todas as vias possíveis de ataque em uma rede corporativa, mas priorizar seus esforços permite que os defensores eliminem os mais perigosos que levam a ativos de nível zero e reduzam significativamente sua exposição geral.
FONTE: DARK READING