Dizer que uma rede é 100% segura é utopia. Isso significa que sempre haverá resíduos de ausência de segurança para exploração. Tais resíduos contemplam um rico cardápio de situações envolvendo fatores humanos, falhas estruturais e até mesmo Zero days. O papel dos arquitetos de soluções tem ganho novos aspectos (desafiadores), gerando de forma natural uma mudança em sua forma de existir. Seu foco atual contempla não só a orquestração do ecossistema tecnológico, mas também o de aumentar ao máximo a dificuldade dos atacantes em obter sucesso.
A falha mais perigosa e saborosa para qualquer invasor ainda é o fator humano e sua limitada forma de adequação as mudanças. Seres humanos são preguiçosos por natureza , sempre optando pelo caminho mais fácil e menos trabalhoso. Muitos funcionários e colaboradores atuantes em departamentos como financeiro, RH, DP, fiscal e jurídico acreditam que a tratativa dada pela TI é lenta e vagarosa tornando de forma indireta todos os processos de segurança uma mera futilidade. Abrir chamado (ou ocorrência), esperar atendimento, responder a questionários... isso é maçante e não resolve (esse é o sentimento de usuários).
Vou além... os próprios integrantes da TI, do help desk aos administradores de redes, todos eles se quer respeitam as regras e boas práticas relacionadas ao permissionamento de acesso. Corro o risco de ofender ou generalizar, mas a ideia é realmente causar impacto e desconforto para que seja necessário repensar a forma com que atuamos em nossa realidade. Se não mudarmos a forma de pensar nunca teremos um ambiente resiliente. Funcionários da TI de empresas de pequeno e médio porte (geralmente empresas familiares) são alvos excelentes por uma série de fatores.
Para corrigir este quesito não existe um segredo mágico que fuja da rotina de auditorias e grande disciplina interna. Em resumo, é necessário auditar constantemente cada ação executada e disciplinar os gestores além de conscientizar cada integrante desse grande ecossistema, não importando seu departamento ou função. Este assunto em especial pode gerar páginas e páginas sobre atuação das equipes tendo seu direcionamento relacionado a governança e gestão, portanto o deixaremos para um próximo artigo. Entretanto, as próximas linhas dependem exclusivamente da cultura de empresa para empresa e só receberão funcionamento positivo se cada funcionário estiver ciente de seu papel.
Falar sobre permissionamento de usuários é como colocar o dedo em uma ferida aberta. Provoca muito desconforto, uma certa dose de gritaria e obviamente a necessidade de praticar a paciência de todos os lados. Mudar e adequar direitos de acesso a pastas, programas ou a própria internet de nossos usuários é um assunto polêmico e que deve ser discutido sempre que o termo "segurança" for aplicado. Deve-se ratificar cada uma das ações pelos gestores, sempre sob olhos atentos de auditores e analistas de segurança.
Os direitos de usuário determinam quais tarefas uma respectiva conta pode completar. Desde o acesso a um servidor, sitema ERP/CRM ou apenas um acesso à um site web. O permissionamento de usuários é ponto chave para a segurança, pois quando não é bem executado, permite que um invasor efetue uma movimentação mais livre por toda a estrutura.
Não existe nada mais perigoso que um usuário com permissões administrativas, seja ela no domínio ou localmente. Por exemplo, uma conta de usuário que seja membro do grupo Administradores de domínio pode concluir um grande número de tarefas e atividades porque recebe um grande número de direitos através de sua associação de grupo. Isso significa que se uma conta com perfil administrativo for invadida, sua superfície de ataques será extensa e perigosa.
Uma conta que não seja membro de um grupo privilegiado tem menos direitos, embora possa receber direitos e atribuições específicos à conta conforme necessário. Do ponto de vista da segurança, as organizações devem garantir que as contas tenham os direitos mínimos necessários para que os usuários executem as tarefas que exigem esses direitos. Se uma conta com menor poder administrativo receber um ataque, a movimentação do atacante fica mais limitada. Isso dificulta o ataque e aumenta os requisitos de criatividade do atacante.
Contas com maior poder administrativo são alvos fáceis e podem comprometer facilmente um ambiente inteiro e até mesmo permissionar malwares e desativar quaisquer sistemas de segurança. Uma prática altamente recomendada é jamais utilizar uma conta que possua permissões de domain admin para logar em uma estação de trabalho. Os administradores de redes devem sempre ter sua conta de usuário, com permissões restritas e uma conta domain admin apenas para utilização de configurações específicas. Existem ainda normas mais rígidas que dizem que a senha da conta de Admin (não deve existir mais de uma), fica separada em dois envelopes lacrados com gestores diferentes em cofres. Quando houver a necessidade de ação direta que exija a conta de administrador, ambos os envelopes são abertos e após o uso uma nova senha é gerada.
Em fim, por mais que eu aprofunde o conhecimento em relação a segurança da informação e segurança cibernética, mais entendo que a cultura organizacional é a principal entrada e sucesso de ataques estruturais. O nível de permissionamento de um usuário vem de seu status dentro da empresa, e evidentemente seu acesso lhe da poderes amplos ou não sobre um determinado recurso. Tal recurso pode ser a ascenção ou queda de uma empresa. A melhor forma de garantir a segurança ainda é o foco nos processos e procedimentos com auditorias constantes, e mesmo assim haverão falhas (porém menores).
Dicas úteis a segurança:
- Evite entregar permissões altas (administrativas), para todo e qualquer um que solicite;
- Quanto maior o acesso a internet, maior o risco de sofrer dano;
- Tecnologias não trazem segurança por si só. São componentes que em conjunto com fatores humanos aumentam a chance de se recuperar ou mitigar um ataque;
- A melhor tecnologia com processos incorretos ou imperícia de quem as configura, é uma armadilha que lhe custará caro a longo prazo;
- Contratar um especialista não é caro, se comparado a um imperito. Entregar sua necessidade nas mãos de alguém que se preocupa apenas com o next/finish nos dias de hoje é escancarar sua realidade aos invasores;
- Usuários imperitos e imprudentes devem ser identificados e tratados como ponto de atenção, não importando seu nível hierárquico;
- Ajuda muito quando sua equipe possui um ponto focal sobre os processos, procedimentos e itens padrões do dia a dia (um wiki interno, por exemplo;
- Alinhamentos semanais ajudam a manter o ambiente seguro e devidamente coordenado;
- Boa parte das configurações hoje pode ser automatizada através de GPO´s então use-as . Perca mais tempo com o estudo e identificação dos pontos chave de segurança;
- Se você não tem alguém antenado e disposto a estudar sobre segurança todos os dias em seu time, então você é um alvo perfeito para ataques. Os Zero Day precisam de atenção redobrada;
- Use contas de serviço para aplicações e monitore constantemente o acesso delas aos recursos de seu ambiente. Nunca use senhas de administradores para rodar aplicações em usuários locais;
- Domain Admin não tem que logar em estações de trabalho;
- Tenha sempre um plano de continuidade de negócio.