Como proteger o Active Directory contra ataques de ransomware
O ransomware ataca todo tipo de organização por todos os ângulos, e o Active Directory continua sendo o alvo comum. Impeça o escalonamento de privilégios corrigindo estas principais configurações incorretas do AD e da política de grupo.
O ransomware atingiu todos os tipos de organização em todo o mundo. Ele também mudou drasticamente, entrando na empresa por quase todos os ângulos, com invasores aproveitando dados roubados e publicando-os na Internet para forçar as vítimas a pagar. Na maioria dos casos (veja SolarWinds e XingLocker), o Active Directory (AD) é o alvo para que o invasor possa distribuir facilmente o ransomware após obter privilégios de domínio. No entanto, existem maneiras de ajudar a proteger o Active Directory para evitar que o ransomware tenha sucesso.
Áreas distintas dentro do Active Directory podem ser protegidas, o que aumentará a segurança geral da empresa e reduzirá o risco de segurança ao mesmo tempo. Especificamente, as seguintes configurações em torno de objetos AD podem ser protegidas, veja como:
- Corrija as configuração incorretas dos atributos do usuário;
- Corrija as configurações incorretas de grupos;
- Limpe os grupos privilegiados;
- Corrija as configurações dos processos do AD (por exemplo, SDProp);
- Proteja os nomes das entidades de serviço (SPNs) (mostrados na figura 1);
- Corrija e proteja as relações de confiança;
- Os usuários devem limpar o atributo SidHistory.
Figura 1. Conta de usuário com nome da entidade de serviço (SPN)
Além disso, o próprio AD e a política de grupo podem ser protegidos para garantir que o invasor não aproveite configurações incorretas e áreas onde o escalonamento de privilégios pode ser alcançado. Veja como:
- Verifique e proteja as relações de confiança do AD (mostradas na figura 2);
- Limpe as delegações do AD;
- Limpe as delegações da política de grupo;
- Proteja os componentes estruturais da política de grupo;
- Habilite as configurações de segurança implantadas por objetos de política de grupo.
Figura 2. Fusões e aquisições podem gerar órfãos de confiança; além disso, as relações de confiança necessárias precisam ser protegidas.
Por fim, os invasores desejam obter privilégios. Uma vez que os privilégios são obtidos, eles querem criar backdoors. Portanto, ser capaz de detectar esses tipos de ataques de AD é essencial. Abaixo estão algumas das ações que administradores de AD e profissionais de segurança podem realizar para interromper as vias de ataque:
- Garantir que a associação de grupos privilegiados seja monitorada;
- Detectar ataques DCShadow e DCSync;
- Ataques de Golden Ticket (ilustrados na figura 3);
- Detectar ataques de movimento lateral;
- Detectar configurações perigosas de SIDHistory e PrimaryGroupID.
Figura 3. O Tenable.ad pode detectar ataques avançados no Active Directory, em tempo real, sem agente ou privilégio.
A tecnologia está disponível para analisar e detectar de forma contínua e automática a segurança do AD e as vias de ataque. Para saber mais sobre como o Tenable.ad pode ajudar, assista a este webinar: Introducing Tenable.ad — Secure Active Directory and Disrupt Attack Paths.
Saiba mais
- Assista ao webinar: Introducing Tenable.ad — Secure Active Directory and Disrupt Attack Paths
- Faça download do ebook: O resgate do rei: como parar a disseminação de ransomware através do AD
- Leia as postagens do blog do Active Directory
Artigos relacionados
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Government
- Threat Management