Como reduzir riscos através do controle de usuários privilegiados, auditoria e gerenciamento de vulnerabilidades.

1. 0
0
Reduzindo riscos através do controle de usuários
privilegiados, auditoria e vulnerabilidades
© 2013 BeyondTrust Software
Bruno Caseiro, CISSP, GWAPT, CEH, MCSE
Sr. Security Sales Engineer

2. 1
1
Agenda
 Sobre a Beyondtrust
 Conceitos de segurança raramente implementados
corretamente
 Exemplos de falhas de segurança do passado e do presente
 O que podemos fazer para reduzir a superfície de ataque?

3. 2
2
BeyondInsight IT Risk Management Platform: Capabilities
Privilege & Access Management
Internal Risk Management
• Privileged Password Management
• Shared Account Password Management
• Privileged Session Management
• Privileged Threat Analytics
• User Activity and Entitlement Auditing
• AD Bridge for UNIX/Linux and Mac
• Automated AD Recovery & Protection
Vulnerability Management
External Risk Management
• Vulnerability Management
• Regulatory Compliance Reporting
• Configuration Compliance Assessment
• Integrated Patch Management
• Endpoint Protection Agents
Reporting
& Analytics
Central Data
Warehouse
Asset
Discovery
Asset
Profiling
Asset Smart
Groups
User
Management
Workflow &
Notification
Third-Party
Integration
IT Security:
Optimize Controls
IT Risk:
Calculate Risk
Management:
Prioritize Investments
Compliance & Audit:
Produce Reports
IT Operations:
Prioritize Mitigation

4. 3
3
Conceitos de segurança
raramente implementados
corretamente
© 2013 BeyondTrust Software

5. 4
4
Conceitos de segurança raramente
implementados (corretamente)
Least Privilege
Least privilege requires that a user be given no more access privilege than
necessary to perform a job, task, or function.
Need to know
Should be used heavily in situations where operational secrecy is a key
concern in order to reduce the risk that someone will leak that information to
the enemy. It's a companion concept to least privilege and it defines that
minimum as a need for that access based on job or business requirements.



6. 5
5
Notícias sobre falhas de
segurança ocorridas nos últimos
anos (brechas)
© 2013 BeyondTrust Software

7. 6
6
EDWARD SNOWDEN AND
THE NATIONAL SECURITY AGENCY
Edward Snowden, a contractor working as a systems
administrator for the NSA, convinced
several of his co-workers to provide him with their system
credentials, according to a report by Reuters. Snowden may
have convinced up to 25 employees at the NSA to give him
their usernames and passwords under the pretext that he
needed them to do his job.
High Profile Breaches in 2013 - NSA


8. 7
7
High Profile Breaches in 2014 - JPMorgan


9. 8
8
High Profile Breaches in 2014 - ShellShock


10. 9
9
High Profile Breaches in 2015 - Anthem


11. 10
10
O que podemos fazer para
reduzir a superfície de ataque?
© 2013 BeyondTrust Software

12. 11
11
Como alguém geralmente pode ter acesso aos
seus sistemas (servidores, switches, estações)?
Eles possuem uma credencial válida (usuário e senha);
Esta credencial também precisa dos privilégios apropriados;
Eles podem explorar uma vulnerabilidade existente em
seus sistemas e neste caso muitas vezes não é preciso
saber um usuário e senha;



13. 12
12
O que nós podemos fazer para reduzir a
superfície de ataque?
 Forçar a política de menor privilégio em servidores e estações;
 Controlar quem pode acessar as contas privilegiadas no seu
ambiente (root, administrator, sa, sysadmin, etc)
 Notificar e auditar o que é feito durante o acesso privilegiado.
 Auditar quem está acessando seus dados, identificar anomalias,
alertar acessos em arquivos/objetos críticos
 Alterações em objetos no Active Directory (i.e. Domain Admins group);
 Acesso a pasta e arquivos confidenciais de sua empresa;
 Uso de mailbox estratégicos de seu MS-Exchange;
 Registros sensíveis, tabelas em banco de dados SQL, Oracle, and DB2.
 Identifique se sua empresa pode ser comprometida por exploits
 Verifique, priorize e elimine as vulnerabilidades que podem ser exploradas
facilmente através de exploits já existentes na Internet.

14. 13
13
Como implementar uma política de
menor privilégio?
Solução: PowerBroker for Windows
© 2013 BeyondTrust Software

15. 14
14
Superfície de ataque para Malware – Usuário Privilegiado

16. 15
15
Superfície de ataque para Malware – Usuários comuns

17. 16
16
Superfície de ataque – Overview
Como você prefere proteger sua empresa de malwares,
ataques e vulnerabilidades?
Usuários privilegiados – “administradores” Usuários comuns

18. 18
18
Passo 1 – Identificar todos usuários privilegiados

19. 19
19
Passo 2 – Identificar quais aplicações realmente
precisam de privilégios excessivos para funcionar

20. 20
20
Passo 3 – Eleve (dê direitos de administrador) somente
as aplicações necessárias e legítimas para seu negócio

21. 21
21
Passo 4 – Monitore o que os usuários fazem durante
seu acesso às aplicações críticas

22. 22
22
Como controlar acesso às
contas privilegiadas?
Solução: PowerBroker Password Safe
© 2013 BeyondTrust Software

23. 24
24
PowerBroker Password Safe – O que faz?
Manager
(Web Interface)
Password Request
Password
(Retrieved via SSH, HTTPS)
Password Request
Password
(Retrieved via API, PBPSRUN)
Login w/
Password
Login w/
Password
PowerBroker Safe
Administrator
or Auditor
(Web or CLI Interface)
User
(Web Interface)
Application
or Script
Routers /
Switches
Firewalls Windows
Servers
Unix/Linux
Servers
SSH/Telnet
Devices
IBM iSeries
Servers
IBM ZSeries
Servers
AD/LDAP
Directories
Databases
2
1
3
4
B
C

24. 25
25
Gerenciamento de sessões / proxy de acesso

25. 26
26
Reprodução de sessões (auditoria)

26. 27
27
Dê acesso privilegiado à certas aplicações, sem revelar a
senha privilegiada
2
7
► Função “Run As”, porém, os usuários não precisam saber a senha;
► Casos de uso: Microsoft SQL Studio, AD Users and Computers, etc.

27. 28
28
Idade das senhas (identifique contas inativas)

28. 29
29
Relatório com as contas de serviço

29. 30
30
Audit your environment
Microsoft File Servers, Active Directory,
Exchange, Event Viewer;
Databases: Oracle, MSSQL, and DB2
© 2013 BeyondTrust Software

30. 31
31
Monitore alterações no Active Directory
User, Group, OU, Printer (deleted, changed, created, etc)
Who? When? Where? What?

31. 32
32
Proteja objetos críticos no AD
Specify that in the “domain admins” group, only the user “cassio” can
make changes. Even other domain admins will not be able to change that.

32. 33
33
Auditoria para servidores de arquivo
Who accessed the file salary.xls in the last 30/60/90 days?
Who is really accessing/changing your critical data?
Email me if someone delete or change the file secrets.doc

33. 34
34
Auditoria de eventos (Event Viewer)
What are the errors or security events that are happening in my servers?
You are seeing user accounts being lock out. Where it’s happening?
Would you like to get alerts when some type of events are generated?

34. 35
35
Auditoria para Microsoft Exchange
An email message has “disappeared”. When it happened, who deleted?
Who is reading your CEO e-mail messages? Only him? Really?
Would you like to receive an alert when if it occurs?

35. 36
36
Auditoria para MSSQL, Oracle, and DB2
What changes occurred in the last 24 hours?
Is there someone looking at sensitive tables like salary, credit cards, etc?
Would you like to receive an alert if a suspicious activity occurs?

36. 37
37
Descubra suas vulnerabilidades,
priorize e elimine (automaticamente)
!Retina CS – Vulnerability Management /
Patch management
© 2013 BeyondTrust Software

37. 38
BeyondInsight Retina CS
Audit Vulnerabilities across all your IT environment

38. 39
39
Que tipo de vulnerabilidades você deve priorizar?

39. 40
40
Patch Management
- Patches for Microsoft (Windows, MSSQL, Office, etc);
- Java;
- Adobe;
- Winrar;
- Firefox, Chrome, etc

40. 41
41
Risk Matrix Reduction

41. 42
42
Thank You!
Bruno Caseiro
bcaseiro@beyondtrust.com
© 2013 BeyondTrust Software

42. 43
43
Desafio!
 Quantos usuários possuem direitos de administrador em seu ambiente?
 Quantas contas de serviço existem em seu ambiente?
 Quem está acessando as 5 principais pastas de sua empresa?
 Se você criar um usuário HACKER e colocá-lo dentro do grupo “Domain
Admins” no Active Directory, em quanto tempo isso será notado?
 Há quanto tempo as senhas abaixo não são trocadas?
 Domain administrator on Windows;
 Administrator account in your MS-Windows workstations;
 Root in your Linux and Unix systems;
 Admin password for your networking devices (switches, firewall, etc);
 SA password for your MS-SQL or Sysadmin for your Oracle
 Quantas vulnerabilidades podem ser exploradas em seu ambiente?
 Facilmente exploradas por ferramentas “exploits” disponíveis na Internet