O princípio da “Clean Source” nas TI, define que um sistema pode depender de outro com um maior nível de segurança e confiança mas não o inverso.
Por exemplo, um portátil de um utilizador pertencente a um domínio confia e pode depender de um controlador de domínio, mas um controlador de domínio não pode depender de um portátil de um utilizador.
De acordo com o anterior temos então que qualquer conta ou computador que controla um objeto torna-se então uma dependência de segurança desse mesmo objeto. Uma conta de administrador de domínio e o PC que é utilizado com essa conta, por exemplo, compreendem uma dependência para todo o domínio (AD). Caso o utilizador ou computador seja comprometido por um hacker, todo a AD estará em risco. Analisar estas dependências pode não ser tão simples como parece, pois as mesmas podem ser diretas ou indiretas.
O que resulta deste princípio então é bastante simples e de senso comum:
Qualquer conta administrador de domínio e os computadores que o mesmo utiliza, devem ser protegidos ao mesmo nível que os servidores controladores de domínio (DC).
Assim, fica claro, que deve ser minimizado ou mesmo impedido o login de contas de administração de domínio em máquinas sem o mesmo nível de confiança e segurança que um controlador de domínio, como por exemplo em computadores que são usados para navegar na web, enviar e-mails e aceder a aplicações de negócio.
A Microsoft, a pensar nesta problemática, desenvolveu o conceito de “Privileged Access Workstations” (PAW), que não são mais do que estações de trabalho fixas ou portáteis trancados de acordo com políticas bastante restritivas, onde não é possível navegar na internet ou desempenhar tarefas de escritório. Estas PAW são usadas pelos administradores de sistemas para gerir a infraestrutura.
Realço que esta regra também se aplica, nos casos em que existem máquinas virtuais dedicadas para a gestão de sistemas, como sugerido no artigo de opinião anterior *. Nestes casos estamos perante uma dependência indireta, pois o administrador de sistema terá sempre de usar uma máquina inicial para efetuar a ligação à máquina de gestão e o risco, apesar de minimizado com o “salto”, está na segurança da máquina inicial.
A melhor solução para ambientes de alta segurança, será então entregar estas PAW completamente blindadas aos administradores de sistema e apenas autorizar a ligação às máquinas virtuais de gestão a partir destes equipamentos seguros.
É importante assumirmos consciência que o risco de sermos atacados vai diminuindo consoante as medidas que vamos tomando e que devemos sempre partir das medidas mais simples. O cenário PAW descrito neste artigo, tem como objetivo esclarecer e informar o que fazer para minimizarmos a exposição ao máximo.
Se a sua organização, está num estado de maturidade de segurança baixo onde por exemplo é permitida a navegação na internet a partir dos servidores (controladores de domínio ou outros), a conta “administrador” é usada de forma indiscriminada pelo staff de TI e parceiros em qualquer computador e para qualquer tarefa e não existe política assertiva de patching. Então pequenos e simples passos anteriores ao “PAW” * aumentarão de imediato e de forma drástica a resiliência para a grande maioria dos ataques.
Mantenha-se seguro!
* https://www.knowledgeinside.pt/noticiasnacloud/post/aumentar-a-resiliencia-contra-ataques-ransomware
