3 coisas que a violação da Deloitte pode ensinar sobre como dominar a segurança de TI

Introdução

2017 foi um ano repleto de violações de dados de alto perfil e esta semana, a empresa de contabilidade global Deloitte juntou-se à lista dos afetados (relata o Guardian).

Se você não sabe quem é a Deloitte, tudo o que você realmente precisa saber é que eles registraram uma receita recorde de US$37 bilhões no ano passado. Eles também fornecem auditoria, consultoria tributária e consultoria de ponta em segurança cibernética para algumas das maiores organizações do mundo. Irônico, então, que eles tenham sido vítimas de uma violação de segurança cibernética que poderia ter sido facilmente evitada…

Como acontece com qualquer violação de dados de alto perfil, a retrospectiva é uma coisa linda. No entanto, quantos mais destes eventos ocorrerão antes que as organizações comecem a aprender com eles? Apresentarei três lições rápidas que qualquer equipe de TI, independentemente do tamanho geral do seu negócio, pode implementar para reforçar imediatamente a segurança de TI.

Por que aconteceu a violação da Deloitte?

Antes de nos aprofundarmos em como evitar violações de dados semelhantes à que a Deloitte sofreu, precisamos aprender um pouco mais sobre por que isso aconteceu.

Nos termos mais simplistas, os e-mails enviados e recebidos pela equipe da Deloitte (que, aliás, é de quase um quarto de milhão de pessoas) foram armazenados no serviço de nuvem Azure da Microsoft. Um hacker engenhoso obteve acesso a esse servidor de e-mail por meio de uma conta administrativa que lhes proporcionou níveis completos e privilegiados de acesso a informações confidenciais. Fontes próximas à violação indicaram que esta conta exigia apenas uma senha para acesso, mas falaremos mais sobre isso mais tarde…

Não só isso, mas o Guardian também sugere que os hackers tiveram acesso a nomes de usuário, senhas, endereços IP e muito, muito mais. Um pouco mais de investigação confirma que a Deloitte deixou o seu servidor corporativo Active Directory na Internet com o protocolo de desktop remoto aberto - praticamente convidando a um ataque interno ao sistema de e-mail.

Esse lapso desastroso nas melhores práticas de segurança de TI foi descoberto pelo pesquisador de segurança Dan Tentler, que descreveu o problema sem conter o que pensava: “O problema é que eles colocaram um maldito servidor de diretório ativo diretamente na Internet com RDP exposto . [Este é] o lugar onde todos os credistas vivem… na internet. Com RDP aberto.”

Muitas pessoas sugeriram razões pelas quais a Deloitte pode ter feito isso. No entanto, independentemente de ter sido configurado como um servidor somente leitura, ele fornece a qualquer aspirante a hacker algumas informações importantes; incluindo o fato de que a Deloitte executa seu Active Directory em uma versão sem patch do Windows Server 2012, R2.

A Deloitte descobriu a violação de e-mail em março deste ano. Mas agora entende-se que os atacantes podem ter tido acesso desde outubro de 2016.

Poderia ter sido evitado?

Há uma solução óbvia para esse problema de AD: basta reforçar os controles de segurança. Para os fins deste artigo, vamos nos concentrar em algumas outras maneiras, mas não menos evidentes, pelas quais a Deloitte pode melhorar sua segurança de TI.

Acho que provavelmente é necessário afirmar que é impossível erradicar completamente a possibilidade de violação de dados na era moderna. Dito isto, esta violação específica era certamente evitável. Algumas mudanças simples na mentalidade da organização, bem como alguma adoção das melhores práticas de segurança, provavelmente teriam resolvido o problema aqui. Vejamos alguns:

1. É necessária uma melhor autenticação

A conta privilegiada que fornecia acesso ininterrupto às informações confidenciais da Deloitte exigia apenas que o hacker obtivesse uma senha. Nos dias de hoje, o controle de acesso multifatorial, como a autenticação de dois fatores, é uma necessidade quando se trata de contas privilegiadas. Alguns dos métodos mais comuns de controle de acesso multifatorial são:

Usando um cartão e um número PIN em conjunto
Inserindo um número PIN gerado exclusivo, bem como a senha usual (geralmente enviada para um dispositivo móvel ou endereço de e-mail)
Respondendo a uma pergunta de segurança e também a uma senha

A implementação imediata de qualquer um desses controles de segurança ajuda a evitar que hackers obtenham acesso fácil. Obviamente, um hacker sofisticado e persistente pode encontrar uma maneira de contornar esses controles, mas é evidente que as contas privilegiadas devem ser as mais difíceis de obter acesso (mesmo legitimamente).

2. É necessária mais visibilidade dos sistemas e dados críticos

Essa violação específica ocorreu por meio do Microsoft Azure, mas isso não significa que sua organização esteja segura se você estiver usando um provedor de e-mail local, como o Exchange. Este ataque pôde ocorrer e passou despercebido por muito tempo, porque havia falta de visibilidade das mudanças críticas que ocorriam em servidores e dados confidenciais.

A segurança dos seus sistemas críticos pode ser melhorada imediatamente se você tiver uma solução implementada que forneça informações instantâneas sobre as mudanças que ocorrem no Active Directory e nos servidores de e-mail. Na verdade, qualquer servidor que forneça acesso a dados críticos deve ser monitorado de forma proativa e contínua para garantir que nenhuma alteração não autorizada ou indesejada passe despercebida.

3. Mais atenção deve ser dada ao Princípio do Menor Privilégio

Coincidentemente, escrevemos um artigo sobre como dominar o Princípio do Mínimo Privilégio (PoLP) há pouco tempo. Essencialmente, trata-se de garantir que seus usuários tenham acesso apenas aos dados de que necessitam para seu trabalho, nada mais.

Digamos, por exemplo, que um usuário receba privilégios de que realmente não precisa. Esta conta tornou-se imediatamente o principal alvo dos invasores. Pense no que eles poderão conseguir se obtiverem acesso a esta conta! Combine isso com a autenticação de um fator e você terá essencialmente uma bomba-relógio em sua infraestrutura crítica de TI.

Existem algumas coisas que você precisa fazer para ajudá-lo a implementar o PoLP:

Identifique quem realmente são seus usuários privilegiados
Monitore as atividades deles em seus servidores e verifique o que estão fazendo com seus dados
Reverter quaisquer alterações indesejadas de volta aos seus estados originais
Identifique quaisquer alterações nas permissões indesejadas ou não autorizadas

Para obter mais informações sobre esses pontos, você pode visitar nossa página detalhada sobre detecção e prevenção de abuso de privilégios.