O documento apresenta as soluções de segurança cibernética da empresa BeyondTrust, incluindo gerenciamento de privilégios, gerenciamento de vulnerabilidades, auditoria de eventos, proteção de pontos finais e centralização de sistemas Linux no Active Directory. A empresa oferece ferramentas para reduzir riscos, auditoria e recuperação de dados.
3. 3
3
8/10 world’s
largest banks
8/10 world’s
largest
aerospace and
defense firms
8/10 largest US
pharmaceutical
companies
50%+ of the
Dow Jones
4. 4
4
1-) Quem tem acesso aos seus principais servidores? Quem
tem conhecimento da senha de “administrador” / “root”?
PowerBroker Password Safe
Gerenciamento de Contas Privilegiadas
5. 5
5
2-) A senha do administrador de todas as estações de
trabalho são iguais? Há quanto tempo você não altera?
1-) Quem tem acesso aos seus principais servidores? Quem
tem conhecimento da senha de “administrador” / “root”?
PowerBroker Password Safe
Gerenciamento de Contas Privilegiadas
6. 6
6
3-) Você tem o controle de quem, quando e quais alterações
são realizadas em seus servidores, switches, firewalls, etc?
2-) A senha do administrador de todas as estações de
trabalho são iguais? Há quanto tempo você não altera?
1-) Quem tem acesso aos seus principais servidores? Quem
tem conhecimento da senha de “administrador” / “root”?
PowerBroker Password Safe
Gerenciamento de Contas Privilegiadas
7. 7
7
1-) Quem tem acesso aos seus principais servidores? Quem
tem conhecimento da senha de “administrador” / “root”?
2-) A senha do administrador de todas as estações de
trabalho são iguais? Há quanto tempo você não altera?
3-) Você tem o controle de quem, quando e quais alterações
são realizadas em seus servidores, switches, firewalls, etc?
4-) Existem aplicações ou scripts em sua empresa que
possuem usuário e senha fixados no código fonte?
PowerBroker Password Safe
Gerenciamento de Contas Privilegiadas
8. 8
8
Manager
(Web Interface)
Password Request
Password
(Retrieved via SSH, HTTPS)
Password Request
Password
(Retrieved via API, PBPSRUN)
Login w/
Password
Login w/
Password
PowerBroker Safe
Administrator
or Auditor
(Web or CLI Interface)
User
(Web Interface)
Application
or Script
Routers /
Switches
Firewalls Windows
Servers
Unix/Linux
Servers
SSH/Telnet
Devices
IBM iSeries
Servers
IBM ZSeries
Servers
AD/LDAP
Directories
Databases
2
1
3
4
B
C
PowerBroker Password Safe
Gerenciamento de Contas Privilegiadas
10. 10
10
Como você prefere defender seus endpoints?
Privileged Users – “administrators” Non-privileged Users – just “users”
PowerBroker for Windows / Linux
Least Privilege
11. 11
11
PowerBroker for Windows / Linux
Least Privilege
Porque “Least Privilege” é fundamental:
• Diversas vulnerabilidades são automaticamente mitigadas através da remoção de
direitos administrativos (2013):
• 96% das vulnerabilidades críticas no Windows;
• 100% das vulnerabilidades no Internet Explorer versões 6-11;
• 91% das vulnerabilidades no Microsoft Office versões 2003-2010;
• Redução em ~90% da superfície de ataques de Malware (5K malwares/dia);
• Minimiza o risco abusivo de privilégios (acidental ou intencional) “ rm –rf ”
• Economia de USD 1,237 ao ano, por desktop (Gartner Desktop TCO Report);
Nestegráfico, observamos a superfície de ataque das mesmasameaças, porém, considerando que o usuárioafetado é um usuário standard (não privilegiado).A superfície de ataquedestes malwares caíram de 31 para somente 4 locaispossíveis de infecções, uma vez que todos esteslocaispreenchidos com verde um usuário Standard não possui privilégios para criarnovos arquivos ou modificar arquivos jáexistentes.
Antes de mais nada, éimportanteexplicar o conceito de Least Privilege ouPrivilégioMínimo.O conceito de Least Privilege nada mais é quefazer com quetodososusuáriostenhamsomente o acessonecessárioparaexecutarsomente as tarefasnecessárias de seutrabalho, sem conceder nenhumprivilégioadicional.Técnicamente no Windows, é o fato de fazer com quetodosseususuáriosnãofaçam parte do grupo “Administradores Local”.Atualmenteusuários com contasprivilegiadaspodemalterar as políticas de segurançadefinidaspelaorgainzação, incluindodesabilitarsoftwares de segurançacomo Firewall e Antivirus.Podemtambéminstalarsoftwaresnãolicenciados, quealém de trazervulnerabilidadesadicionaispara o ambientetecnológico, trazemtambémriscoslegais.Podemteracesso a áreascríticas do sistema de arquivos e registro do Windows podendoalterá-los e causar o mal funcionamento no Windows e aumentando a carga de trabalho de equipes de Helpdesk.Para empresasqueprecisamaderiar a regulamentaçõescomo PCI, SOX, HIPAA é importanteterumagestão de privilégioseficientes. Abaixoestãodoisítensrelacionados a PCI.Porúltimo, vouabordar o tema de Malware.Antes de mais nada, antivirus hojeemdia é umanecessidadeparatodos, entretanto, existemmilhares de novos malwares quesãolançadostodososdias e Antivirus é algoreativo, ouseja, é precisoprimeiroexistir o malware paradepois o fabricante de AV providenciar a vacina.O queacontece é quequando um usuárioestálogado com um usuárioprivilegiado, a probabilidade dele serinfectado e terdanossignificativos (roubo de credenciais, roubo de dados, movimentação lateral para outros sistems, etc) é imensa se compar com o queaconteceria se ele fosse um usuário Standard.
Neste slide podemosobservar a superfície de ataque de alguns malwares quandoexecutadosem uma máquinalogada com um usuárioprivilegiado. Provavelmentesuaempresajáfoiafetada ou talvezvocêconheçaalguém que játenhasidoafetado por pelomenos um destes malwares: Sality, Conficker, Disttrack, Sdbot ou mesmo o Flame/Skywiper.Deixando de lado a questão de exploração de vulnerabilidades de lado, poisisso é assunto para um outro vídeo, podemosobservar que existem 31 pontospossíveis de infecções.
Nestegráfico, observamos a superfície de ataque das mesmasameaças, porém, considerando que o usuárioafetado é um usuário standard (não privilegiado).A superfície de ataquedestes malwares caíram de 31 para somente 4 locaispossíveis de infecções, uma vez que todos esteslocaispreenchidos com verde um usuário Standard não possui privilégios para criarnovos arquivos ou modificar arquivos jáexistentes.
No momento de implementar o princípio de Least Privilege com ferramentasnativas do sistemaoperacional, geralmente as empresaspassamporalgunsproblemasqueimpactamdiretamentenaprodutividade dos usuáios. Algunsdestesproblemassão:Algumasaplicaçõessimplesmentepáram de funcionarpoiselasrequeremprivilégiosadicionaisaosque um usuário Standard possui.Usuáriosnãoconsegueminstalarprogramasautorizadossem a intervenção do helpdesk;Tarefascomunscomomudar o horário do sistema, executar um defrag, instalar um controle ActiveX tambémrequeremprivilégiossuperioresaosque um usuário standard possui.Estes e outros problemasresultamemumasobrecarga de trabalhopara o Helpdesk e a consequência disso é um desgastemuitogrande entre as áreas de tecnologia e segurança com as áreas de negócio da empresa.
Com o Power Broker for Windows, podemostambem implementar o conceito de Whitelist ou blacklist de aplicacoes. Desta forma, podemoscriarregraspermitindo a execucao de aplicacoesconhecidasrelativasaonegocio da empresa e regrasbloqueandoqualqueraplicacao que naoestejanalista de aplicacoespermitidas.
Comnossaferramenta, tambem eh possivelmonitorar as atividades dos usuarios no momentoem que uma aplicacaoespecifica eh executada.Nesteexemplo, temos um analista de helpdesk acessando o shell do windows (cmd.exe) paratentar resolver um problemaespecifico. Entretanto, eh possivelquaiscomandoseleestaexecutando e alem disso o que mais eleestafazendonessadeterminadamaquinanestemomento.O monitoramentodestassecoes eh realizadoatraves de screenshots paraevitar o maximo de impactopossivelemsuainfraestrutura.
Este e’ um exemplo de uma regra de File Integrity.Nesteexemplo, estamos ‘blindando’ a pasta C:\MySAPClientFolder, ou seja, estamosproibindo que seu conteudosejaalterado por qualqueraplicacao ou usuario.Poderíamos também definir que estaproteçãoseriaválida somente para determinadasextencoes.Observe que nasregras de File Integrity, tambemtemos a opcao de “ITEM LEVEL TARGETING” ondepodemosprecisarqualcomputador ou usuario que receberaestaregra.