O conceito de Hardening, nada mais é que um processo simples de mapeamento de ameaças, mitigação de riscos e execução de atividades corretivas. Sua aplicação é direcionada a infraestrutura e plataforma de uma empresa ou corporação. Seu objetivo principal é o de preparar o ambiente de trabalho, deixando-o mais seguro para enfrentar tentativas de ataques interno e externo.
Este processo inclui remoção (desabilitação) de nomes ou logins de usuários que não estejam mais em uso, além de serviços desnecessários, além de inúmeras outras providências, como por exemplo limitar os softwares instalados à quele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma polÃtica de senhas fortes.
A prova 70-744 do Windows Server 2016 (Securing Windows Server 2016), trata de aspectos relacionados a segurança de plataforma sistêmica do Windows Server. Como já esperado a Microsoft deixa claro sua crescente preocupação relacionada a segurança dos dados de uma empresa sob seus produtos e soluções. Apesar de entender que segurança se faz com processo, polÃticas e pessoas antes de pensar em tecnologia, é importante frisar que medidas preventivas devem ser tomadas contra malwares e tentativas de furto de informações. A tecnologia deve ser aliada da TI e das empresas, e não um fardo caro e sem sentido.
Quando falamos em hardening para plataforma, estamos na verdade endurecendo as configurações de segurança em um servidor ou grupo de servidores. Isso não impede invasões, porém pode dificultar muito seu caminho ao sucesso. Quanto mais forte nossa estrutura se apresenta, maior deve ser a expertise do atacante para obter sucesso em sua ação. Isso permite diminuir muito a chance de um ataque bem sucedido (lembrando que diminuir não é eliminar). Grande parte dos atacantes quer lucrar de forma fácil, sem esforços absurdos e sem se arriscar. Isso significa que é possÃvel diminuir a superfÃcie de ataques adotando uma série de ações que deixem seu ambiente não muito convidativo para entrantes indesejados. Quando o atacante avalia os riscos e o trabalho que terá, acaba optando por um alvo mais fácil.
Imagine que eu pretenda reforçar a segurança de um servidor de arquivos por exemplo. É um local perfeito para começar a melhorar todo o contexto de segurança de uma empresa. Quais pontos eu preciso levar em consideração em um servidor de arquivos para considerá-lo "mais seguro" do que era antes? Comece com as seguintes perguntas:
1. Quando você instalou o sistema operacional desse servidor, os arquivos de instalação tiveram origem de fonte confiável? Instalar um servidor a partir de uma imagem genérica (pirata | modificada), pode trazer para dentro de casa uma vulnerabilidade previamente instalada. Lembre-se que é possÃvel montar arquivos de instalação .ISO de praticamente tudo, permitindo a um atacante mau intencionado obter controle completo sobre um servidor ou estação de trabalho. É possÃvel montar uma imagem do Windows com brechas de segurança ou com trojans nativos que não serão detectados facilmente, portanto evite utilizar imagens genéricas que não venham de fonte confiável.
2. O sistema operacional, aplicações e dispositivos estão atualizados com patches e atualizações de segurança mais atuais? Devemos sempre atualizar nossos ambiente com os pacotes de segurança mais atuais, pois são eles que corrigem brechas sistêmicas mais recentes. Tome o cuidado de entender e homologar as atualizações antes de aplica-las em ambiente de produção. As atualizações devem corrigir problemas e não causar outros. Me lembro bem de como a instalação do KB2823324 em formato de atualização, causou a parada de servidores e estações de trabalho com a famosa tela azul da morte a alguns anos atrás. (http://htbraz.blogspot.com.br/2013/04/recuperando-o-erro-provocado-pelo.html)
3. As contas de administrador têm senhas fracas? É muito comum identificar senhas fracas dentro da empresa, porém quando a senha fraca é a administrativa, então o problema fica bem maior. Grande parte da vulnerabilidade criada em ambientes técnicos esta diretamente relacionado ao permissionamento incorreto de contas de usuário, onde é atribuÃdo um nÃvel muito alto de permissão a alguém que não deveria te-lo. O permissionamento de grupos e contas de usuário deve ser planejado com cuidado em conjunto com a gestão responsável, pois pode gerar um grande desgaste em funcionários que perderão certos privilégios sistêmicos. Este item deve ser tratado com cuidado e muito planejamento pois seu impacto é direto, tendo seu maior entrave a cultura operacional de uma empresa.
4. Os sistemas de arquivos não usam NTFS e não são criptografados. Este é um ponto crÃtico em muitas empresas. É raro encontrar empresas que tenham uma solução de criptografia, TPM ou ADRM funcionando corretamente em sua estrutura. A criptografia de arquivos e proteção do conteúdo intelectual da empresa deve ser levada à sério e protegida a todo custo, não só por gestores, mas também por administradores de redes e segurança da informação. Ninguém quer os dados sensÃveis de sua estrutura disponÃveis para qualquer pessoa pela internet ou DeepWeb. Um concorrente com dados sensÃveis pode causar muito estrago ao negócio.
5. Sua equipe segue os processo e procedimentos? Estão treinados para lidar com situações operacionais cotidianas? O fator mais importante relacionado a segurança de dados de uma empresa esta intimamente ligado à como seus usuários utilizam os recursos disponÃveis. Deve-se existir uma renovação de conhecimento e uma reciclagem de aprendizado em situações especÃficas. Por exemplo, todos os colaboradores devem receber um treinamento inicial para exercer suas atividades e serão reciclados com as modificações mais sensÃveis de 3 em 3 meses (é uma exemplo apenas e não uma regra). Tive contato com clientes que faziam uma reunião semanal de alinhamento de situações, colocando a equipe inteira para discutir processos e procedimentos operacionais além de comentar casos vividos por cada indivÃduo do departamento. Uma boa conversa sempre ajuda!
Montei uma lista com alguns itens que devem ser observados para aumentar a segurança de um ambiente tecnológico. Esta lista me ajuda muito quando recebo o desafio de proteger uma empresa e deixa-la menos vulnerável a um ataque. Comece com os seguintes passos (lembrando que estou apenas deixando dicas):
A. Implementar soluções de patches e atualizações de servidor
B. Implementar um projeto de proteção contra malwares
C. Formas de proteger credenciais de acesso
D. Configurar criptografia de disco e arquivo em notebooks de uso externo (pelo menos)
E. Implementar uma solução de Malha Protegida
F. Implementar VMs blindadas e com suporte à criptografia
G. Configurar o Firewall do Windows e Firewalls de borda (veja o vÃdeo https://www.youtube.com/watch?v=FYxdpll7oIs)
H. Proteger o tráfego de rede (DNSSec, IPSEC, etc)
I. Implementar uma abordagem de projeto de floresta administrativa de Enhanced Security Administrative Environment (ESAE)
J. Implementar Just-in-Time (JIT) Administration
K. Implementar Just-Enough-Administration (JEA)
L. Implementar Privileged Access Workstations (PAWs) e Atribuições de Direitos do Usuário
M. Implementar Local Administrator Password Solution (LAPS)
N. Configurar polÃticas de auditoria avançadas
O. Instalar e configurar Microsoft Advanced Threat Analytics (ATA)
P. Determinar soluções de detecção de ameaça
Q. Proteger o desenvolvimento de aplicativo e de infraestrutura de carga de trabalho de servidor
R. Implementar uma infraestrutura segura de serviços de arquivo e Dynamic Access Control (DAC)
S. Atuar com certificados digitais e tokens de acesso dentro e fora da corporação
Veja bem, um ambiente cooperativo "seguro" exige do gestor praticamente 80% do tempo de projeto em formato de planejamento e 20% de implementação (mão na massa). Uma boa análise SWOT em conjunto com o PDCA (que são técnicas bem simples), podem ajudar muito com o aumento estrutural da segurança de seu parque de servidores. O hardening permite a empresa dificultar certos tipos de ataques mais populares entre atacantes menos experientes. Para ser honesto, até mesmo atacantes mais experientes podem sentir maior dificuldade com certos ataques, gerando uma mudança de atitude e uma desistência do ataque. A verdade é que certas atividades não valem o esforço para o atacante.
É isso... espero ter ajudado com conceitos básicos sobre segurança de dados e proteção de ambientes e servidores. Fique a vontade para comentar e deixar sua opinião, pois é assim que trocamos experiências. Forte abraço e muito sucesso.
Att
Eduardo Popovici