Gerenciamento de Privilégios e Vulnerabilidades
•Transferir como PPTX, PDF•
1 gostou•358 visualizações
O documento apresenta as soluções de segurança cibernética da empresa BeyondTrust, incluindo gerenciamento de privilégios, gerenciamento de vulnerabilidades, auditoria de eventos, proteção de pontos finais e centralização de sistemas Linux no Active Directory. A empresa oferece ferramentas para reduzir riscos, auditoria e recuperação de dados.
Recomendados
Recomendados
Mais conteúdo relacionado
Destaque
Destaque (17)
Semelhante a Gerenciamento de Privilégios e Vulnerabilidades
Semelhante a Gerenciamento de Privilégios e Vulnerabilidades (20)
Gerenciamento de Privilégios e Vulnerabilidades
- 1. 1 1 Além da segurança tradicional Bruno Caseiro Sr. Security Sales Engineer CISSP, GWAPT, CPT, CCFE, CEH, MCSE © 2013 BeyondTrust Software
- 2. 2 2 BeyondTrust – Além da segurança tradicional Proteger Infra-estruturas dinâmicas de TI contra ameaças Internas e Externas Gerenciamento de Privilégios Gerenciamento de Vulnerabilidades Auditoria para ambientes Microsoft Cofre de Senhas Endpoint Protection Centralização de Linux no Active Directory 2 © 2013 BeyondTrust Software
- 3. 3 3 8/10 world’s largest banks 8/10 world’s largest aerospace and defense firms 8/10 largest US pharmaceutical companies 50%+ of the Dow Jones
- 4. 4 4 1-) Quem tem acesso aos seus principais servidores? Quem tem conhecimento da senha de “administrador” / “root”? PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 5. 5 5 2-) A senha do administrador de todas as estações de trabalho são iguais? Há quanto tempo você não altera? 1-) Quem tem acesso aos seus principais servidores? Quem tem conhecimento da senha de “administrador” / “root”? PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 6. 6 6 3-) Você tem o controle de quem, quando e quais alterações são realizadas em seus servidores, switches, firewalls, etc? 2-) A senha do administrador de todas as estações de trabalho são iguais? Há quanto tempo você não altera? 1-) Quem tem acesso aos seus principais servidores? Quem tem conhecimento da senha de “administrador” / “root”? PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 7. 7 7 1-) Quem tem acesso aos seus principais servidores? Quem tem conhecimento da senha de “administrador” / “root”? 2-) A senha do administrador de todas as estações de trabalho são iguais? Há quanto tempo você não altera? 3-) Você tem o controle de quem, quando e quais alterações são realizadas em seus servidores, switches, firewalls, etc? 4-) Existem aplicações ou scripts em sua empresa que possuem usuário e senha fixados no código fonte? PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 8. 8 8 Manager (Web Interface) Password Request Password (Retrieved via SSH, HTTPS) Password Request Password (Retrieved via API, PBPSRUN) Login w/ Password Login w/ Password PowerBroker Safe Administrator or Auditor (Web or CLI Interface) User (Web Interface) Application or Script Routers / Switches Firewalls Windows Servers Unix/Linux Servers SSH/Telnet Devices IBM iSeries Servers IBM ZSeries Servers AD/LDAP Directories Databases 2 1 3 4 B C PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 9. 9 9 PowerBroker Password Safe Gerenciamento de Contas Privilegiadas
- 10. 10 10 Como você prefere defender seus endpoints? Privileged Users – “administrators” Non-privileged Users – just “users” PowerBroker for Windows / Linux Least Privilege
- 11. 11 11 PowerBroker for Windows / Linux Least Privilege Porque “Least Privilege” é fundamental: • Diversas vulnerabilidades são automaticamente mitigadas através da remoção de direitos administrativos (2013): • 96% das vulnerabilidades críticas no Windows; • 100% das vulnerabilidades no Internet Explorer versões 6-11; • 91% das vulnerabilidades no Microsoft Office versões 2003-2010; • Redução em ~90% da superfície de ataques de Malware (5K malwares/dia); • Minimiza o risco abusivo de privilégios (acidental ou intencional) “ rm –rf ” • Economia de USD 1,237 ao ano, por desktop (Gartner Desktop TCO Report);
- 12. 12 12 Attack Surface for Malware – Privileged User
- 13. 13 13 Attack Surface for Malware – Standard User
- 14. 14 14 PowerBroker for Windows / Linux Least Privilege
- 15. 15 15 Então está fácil! É só isso, certo? PowerBroker for Windows / Linux Least Privilege
- 16. 16 16 PowerBroker for Windows / Linux Least Privilege
- 17. 17 17 PowerBroker for Windows / Linux Least Privilege
- 18. 18 18 PowerBroker for Windows / Linux Least Privilege
- 19. 19 19 PowerBroker for Windows / Linux Least Privilege
- 20. 20 BeyondInsight Retina CS Gerenciamento de Vulnerabilidades
- 21. 21 BeyondInsight Retina CS Gerenciamento de Vulnerabilidades
- 22. 22 22 • Conheça suas vulnerabilidades e minimize o risco de ataques! BeyondInsight Retina CS Gerenciamento de Vulnerabilidades
- 23. 23 23 BeyondInsight Retina CS Gerenciamento de Vulnerabilidades
- 24. 24 24 BeyondInsight Retina CS Gerenciamento de Vulnerabilidades
- 25. 25 25 PowerBroker Auditor Auditoria e Recovery para A.D.
- 26. 26 26 PowerBroker Auditor Auditoria e Recovery para A.D.
- 27. 27 27 PowerBroker Auditor Auditoria e Recovery para A.D.
- 28. 28 28 PowerBroker Auditor Auditoria para File Servers Windows
- 29. 29 29 PowerBroker Auditor Auditoria para File Servers Windows
- 30. 30 30 PowerBroker Auditor Auditoria para File Servers Windows
- 31. 31 31 PowerBroker Auditor Auditoria de Eventos – Event Vault
- 32. 32 32 PowerBroker Auditor Auditoria de Eventos – Event Vault
- 33. 33 33 PowerBroker Auditor Auditoria para MS Exchange
- 34. 34 34 PowerBroker Auditor Auditoria para Banco de Dados (SQL, Oracle e DB2)
- 35. 35 35 PowerBroker Identity Services Gerenciamento de Linux/Unix/Mac via A.D.
- 39. 39 39 Secure IIS - Web Application Firewall para IIS
- 40. 40 40 Perguntas?
- 41. 41 41 Thank You! Bruno Caseiro bcaseiro@beyondtrust.com © 2013 BeyondTrust Software
Notas do Editor
- Note these logo are company wide, NOT just for VM
- Nestegráfico, observamos a superfície de ataque das mesmasameaças, porém, considerando que o usuárioafetado é um usuário standard (não privilegiado).A superfície de ataquedestes malwares caíram de 31 para somente 4 locaispossíveis de infecções, uma vez que todos esteslocaispreenchidos com verde um usuário Standard não possui privilégios para criarnovos arquivos ou modificar arquivos jáexistentes.
- Antes de mais nada, éimportanteexplicar o conceito de Least Privilege ouPrivilégioMínimo.O conceito de Least Privilege nada mais é quefazer com quetodososusuáriostenhamsomente o acessonecessárioparaexecutarsomente as tarefasnecessárias de seutrabalho, sem conceder nenhumprivilégioadicional.Técnicamente no Windows, é o fato de fazer com quetodosseususuáriosnãofaçam parte do grupo “Administradores Local”.Atualmenteusuários com contasprivilegiadaspodemalterar as políticas de segurançadefinidaspelaorgainzação, incluindodesabilitarsoftwares de segurançacomo Firewall e Antivirus.Podemtambéminstalarsoftwaresnãolicenciados, quealém de trazervulnerabilidadesadicionaispara o ambientetecnológico, trazemtambémriscoslegais.Podemteracesso a áreascríticas do sistema de arquivos e registro do Windows podendoalterá-los e causar o mal funcionamento no Windows e aumentando a carga de trabalho de equipes de Helpdesk.Para empresasqueprecisamaderiar a regulamentaçõescomo PCI, SOX, HIPAA é importanteterumagestão de privilégioseficientes. Abaixoestãodoisítensrelacionados a PCI.Porúltimo, vouabordar o tema de Malware.Antes de mais nada, antivirus hojeemdia é umanecessidadeparatodos, entretanto, existemmilhares de novos malwares quesãolançadostodososdias e Antivirus é algoreativo, ouseja, é precisoprimeiroexistir o malware paradepois o fabricante de AV providenciar a vacina.O queacontece é quequando um usuárioestálogado com um usuárioprivilegiado, a probabilidade dele serinfectado e terdanossignificativos (roubo de credenciais, roubo de dados, movimentação lateral para outros sistems, etc) é imensa se compar com o queaconteceria se ele fosse um usuário Standard.
- Neste slide podemosobservar a superfície de ataque de alguns malwares quandoexecutadosem uma máquinalogada com um usuárioprivilegiado. Provavelmentesuaempresajáfoiafetada ou talvezvocêconheçaalguém que játenhasidoafetado por pelomenos um destes malwares: Sality, Conficker, Disttrack, Sdbot ou mesmo o Flame/Skywiper.Deixando de lado a questão de exploração de vulnerabilidades de lado, poisisso é assunto para um outro vídeo, podemosobservar que existem 31 pontospossíveis de infecções.
- Nestegráfico, observamos a superfície de ataque das mesmasameaças, porém, considerando que o usuárioafetado é um usuário standard (não privilegiado).A superfície de ataquedestes malwares caíram de 31 para somente 4 locaispossíveis de infecções, uma vez que todos esteslocaispreenchidos com verde um usuário Standard não possui privilégios para criarnovos arquivos ou modificar arquivos jáexistentes.
- No momento de implementar o princípio de Least Privilege com ferramentasnativas do sistemaoperacional, geralmente as empresaspassamporalgunsproblemasqueimpactamdiretamentenaprodutividade dos usuáios. Algunsdestesproblemassão:Algumasaplicaçõessimplesmentepáram de funcionarpoiselasrequeremprivilégiosadicionaisaosque um usuário Standard possui.Usuáriosnãoconsegueminstalarprogramasautorizadossem a intervenção do helpdesk;Tarefascomunscomomudar o horário do sistema, executar um defrag, instalar um controle ActiveX tambémrequeremprivilégiossuperioresaosque um usuário standard possui.Estes e outros problemasresultamemumasobrecarga de trabalhopara o Helpdesk e a consequência disso é um desgastemuitogrande entre as áreas de tecnologia e segurança com as áreas de negócio da empresa.
- Com o Power Broker for Windows, podemostambem implementar o conceito de Whitelist ou blacklist de aplicacoes. Desta forma, podemoscriarregraspermitindo a execucao de aplicacoesconhecidasrelativasaonegocio da empresa e regrasbloqueandoqualqueraplicacao que naoestejanalista de aplicacoespermitidas.
- Comnossaferramenta, tambem eh possivelmonitorar as atividades dos usuarios no momentoem que uma aplicacaoespecifica eh executada.Nesteexemplo, temos um analista de helpdesk acessando o shell do windows (cmd.exe) paratentar resolver um problemaespecifico. Entretanto, eh possivelquaiscomandoseleestaexecutando e alem disso o que mais eleestafazendonessadeterminadamaquinanestemomento.O monitoramentodestassecoes eh realizadoatraves de screenshots paraevitar o maximo de impactopossivelemsuainfraestrutura.
- Este e’ um exemplo de uma regra de File Integrity.Nesteexemplo, estamos ‘blindando’ a pasta C:\MySAPClientFolder, ou seja, estamosproibindo que seu conteudosejaalterado por qualqueraplicacao ou usuario.Poderíamos também definir que estaproteçãoseriaválida somente para determinadasextencoes.Observe que nasregras de File Integrity, tambemtemos a opcao de “ITEM LEVEL TARGETING” ondepodemosprecisarqualcomputador ou usuario que receberaestaregra.