A proteção do Active Directory deve estar no centro de qualquer estratégia zero-trust

No entanto, existe um aspeto crítico do modelo zero-trust que muitos profissionais de segurança descuram: Zero-trust pressupõe implicitamente que os sistemas em que se baseia, incluindo o Active Directory (AD), mantenham a sua integridade.

Contudo, o AD é muitas vezes o elo mais fraco na cadeia de segurança de identidade. O problema não é necessariamente o AD em si, apesar desta tecnologia já ter mais de 20 anos. Quando corretamente configurado e implementado o AD pode ser versátil e seguro. 

Infelizmente, também pode ser mal configurado e mal gerido e são estes pontos fracos na configuração que o tornam um alvo fácil. Os cibercriminosos sabem-no e é por este motivo que o AD é frequentemente uma parte importante na “kill chain” de um ciberataque.

Tendo em conta que o AD fornece um mapa (e acesso) aos dados de uma organização, os atacantes podem utilizá-lo para obter privilégios e permitir movimentos laterais na rede. Os cibercriminosos atacam o AD para facilitar tudo, desde técnicas de persistência a escalação de privilégios e evasão de controlos e contramedidas. Como a identidade na cloud também deriva do AD, este torna-se num alvo principal para o abuso de credenciais, uma tática envolvida em 80% de todas as violações de dados.

Diferentes arquiteturas, uma fonte de identidade

A identidade é uma componente fundamental de qualquer infraestrutura zero-trust e tem de ser tratada como tal. Muitos de nós continuamos a trabalhar a partir de casa, pelo menos, parcialmente. Ao mesmo tempo que mantêm capacidades de acesso remoto e aplicações centradas na nuvem, as organizações não devem esquecer que as suas estratégias de segurança dependem da integridade dos seus principais sistemas de identidade on-premises.

No passado, os utilizadores dependiam em grande medida das redes privadas virtuais (VPN) para efetuarem o acesso remoto. Os utilizadores são autenticados por um serviço de diretório – normalmente o Active Directory – e, em seguida, têm permissão para aceder à rede empresarial. No entanto, sendo uma solução com desafios de escalabilidade e dependente da segurança do perímetro da rede, as VPN não são, por si só, a resposta para a força de trabalho remota moderna.

Em alternativa, um número crescente de empresas está a fazer com que os utilizadores iniciem sessão num serviço de gestão de identidades e acessos (IAM) baseado na Web com as respetivas credenciais da empresa para aceder a aplicações de software as a service (SaaS), como o Zoom ou o Microsoft Office 365, diretamente através da Internet. Este método utiliza um modelo zero-trust no qual a identidade de um utilizador, e não a rede local, é fundamental para aceder à aplicação.

Algumas empresas vão ainda mais longe estendendo o modelo Zero Trust às redes on-premises, implementando dispositivos que criam um perímetro definido por software entre as aplicações e os utilizadores que tentam aceder às mesmas. Em vez de terem acesso a uma rede ampla concedida pela VPN, estes dispositivos proxy (por exemplo: Azure AD Application Proxy, Symantec Secure Access Cloud) concedem apenas acesso aos utilizadores à aplicação publicada pelo proxy. Como o tráfego é encaminhado através do serviço IAM, a sessão dos utilizadores pode incluir controlos de acesso sofisticados, tais como a conformidade do dispositivo, o risco da sessão ou o tipo de aplicação utilizado pelo cliente. Mas, uma vez mais, zero-trust depende implicitamente do sistema de identidade subjacente. Alguns ataques contornam com êxito o IAM permitindo que os intrusos se desloquem lateralmente pelas redes.

Proteger a origem

Independentemente de os utilizadores iniciarem sessão na rede empresarial utilizando uma VPN ou num portal Web para aceder ao SaaS ou às aplicações on-premises, a segurança da identidade é sempre importante. Enquanto que as VPN utilizam uma origem de identidade on-premises, os serviços modernos de IAM na cloud utilizam vários fatores, como o estado de funcionamento do dispositivo, a localização e os padrões de comportamento, para contribuir para o nível de segurança da identidade. Contudo, os núcleos destes serviços na nuvem ainda se baseiam nas credenciais da conta individual do utilizador.

A maior parte das organizações utiliza um modelo híbrido, projetando a sua identidade on-premises para os serviços de internet. Por conseguinte, a origem de identidade destas credenciais é o pilar de toda a arquitetura sofisticada. E para 90% das empresas, esta fonte de identidade é o Active Directory.

Isto significa que qualquer estratégia zero-trust, na realidade, qualquer arquitetura de segurança, depende fortemente do AD. Portanto, como pode assegurar a integridade do AD e dos respetivos dados? Ao minimizar a superfície de ataque do AD, monitorizar a existência de comportamentos suspeitos no AD e ter um plano de recuperação do AD.

De acordo com um estudo realizado pela Identity Defined Security Alliance, 84% das organizações mundiais sofreram um ataque relacionado com a identidade em 2021/2022. E 96% comunicaram que podiam ter impedido ou minimizado o ataque se tivessem implementado soluções de segurança centradas na identidade.

Apesar de poder implementar uma rede zero-trust através de várias formas, os seus princípios essenciais são sempre baseados na identidade dos utilizadores. Quer acedam à rede utilizando uma VPN ou iniciem sessão no portal Web do serviço de identidade, há uma grande probabilidade de a identidade estar dependente do AD. Por conseguinte, é fundamental assegurar a sua integridade para a segurança da sua empresa.