2. 1
1
Agenda
Sobre a Beyondtrust
Conceitos de segurança raramente implementados
corretamente
Exemplos de falhas de segurança do passado e do presente
O que podemos fazer para reduzir a superfície de ataque?
3. 2
2
BeyondInsight IT Risk Management Platform: Capabilities
Privilege & Access Management
Internal Risk Management
• Privileged Password Management
• Shared Account Password Management
• Privileged Session Management
• Privileged Threat Analytics
• User Activity and Entitlement Auditing
• AD Bridge for UNIX/Linux and Mac
• Automated AD Recovery & Protection
Vulnerability Management
External Risk Management
• Vulnerability Management
• Regulatory Compliance Reporting
• Configuration Compliance Assessment
• Integrated Patch Management
• Endpoint Protection Agents
Reporting
& Analytics
Central Data
Warehouse
Asset
Discovery
Asset
Profiling
Asset Smart
Groups
User
Management
Workflow &
Notification
Third-Party
Integration
IT Security:
Optimize Controls
IT Risk:
Calculate Risk
Management:
Prioritize Investments
Compliance & Audit:
Produce Reports
IT Operations:
Prioritize Mitigation
5. 4
4
Conceitos de segurança raramente
implementados (corretamente)
Least Privilege
Least privilege requires that a user be given no more access privilege than
necessary to perform a job, task, or function.
Need to know
Should be used heavily in situations where operational secrecy is a key
concern in order to reduce the risk that someone will leak that information to
the enemy. It's a companion concept to least privilege and it defines that
minimum as a need for that access based on job or business requirements.
7. 6
6
EDWARD SNOWDEN AND
THE NATIONAL SECURITY AGENCY
Edward Snowden, a contractor working as a systems
administrator for the NSA, convinced
several of his co-workers to provide him with their system
credentials, according to a report by Reuters. Snowden may
have convinced up to 25 employees at the NSA to give him
their usernames and passwords under the pretext that he
needed them to do his job.
High Profile Breaches in 2013 - NSA
12. 11
11
Como alguém geralmente pode ter acesso aos
seus sistemas (servidores, switches, estações)?
Eles possuem uma credencial válida (usuário e senha);
Esta credencial também precisa dos privilégios apropriados;
Eles podem explorar uma vulnerabilidade existente em
seus sistemas e neste caso muitas vezes não é preciso
saber um usuário e senha;
13. 12
12
O que nós podemos fazer para reduzir a
superfície de ataque?
Forçar a política de menor privilégio em servidores e estações;
Controlar quem pode acessar as contas privilegiadas no seu
ambiente (root, administrator, sa, sysadmin, etc)
Notificar e auditar o que é feito durante o acesso privilegiado.
Auditar quem está acessando seus dados, identificar anomalias,
alertar acessos em arquivos/objetos críticos
Alterações em objetos no Active Directory (i.e. Domain Admins group);
Acesso a pasta e arquivos confidenciais de sua empresa;
Uso de mailbox estratégicos de seu MS-Exchange;
Registros sensíveis, tabelas em banco de dados SQL, Oracle, and DB2.
Identifique se sua empresa pode ser comprometida por exploits
Verifique, priorize e elimine as vulnerabilidades que podem ser exploradas
facilmente através de exploits já existentes na Internet.
17. 16
16
Superfície de ataque – Overview
Como você prefere proteger sua empresa de malwares,
ataques e vulnerabilidades?
Usuários privilegiados – “administradores” Usuários comuns
26. 27
27
Dê acesso privilegiado à certas aplicações, sem revelar a
senha privilegiada
2
7
► Função “Run As”, porém, os usuários não precisam saber a senha;
► Casos de uso: Microsoft SQL Studio, AD Users and Computers, etc.
30. 31
31
Monitore alterações no Active Directory
User, Group, OU, Printer (deleted, changed, created, etc)
Who? When? Where? What?
31. 32
32
Proteja objetos críticos no AD
Specify that in the “domain admins” group, only the user “cassio” can
make changes. Even other domain admins will not be able to change that.
32. 33
33
Auditoria para servidores de arquivo
Who accessed the file salary.xls in the last 30/60/90 days?
Who is really accessing/changing your critical data?
Email me if someone delete or change the file secrets.doc
33. 34
34
Auditoria de eventos (Event Viewer)
What are the errors or security events that are happening in my servers?
You are seeing user accounts being lock out. Where it’s happening?
Would you like to get alerts when some type of events are generated?
34. 35
35
Auditoria para Microsoft Exchange
An email message has “disappeared”. When it happened, who deleted?
Who is reading your CEO e-mail messages? Only him? Really?
Would you like to receive an alert when if it occurs?
35. 36
36
Auditoria para MSSQL, Oracle, and DB2
What changes occurred in the last 24 hours?
Is there someone looking at sensitive tables like salary, credit cards, etc?
Would you like to receive an alert if a suspicious activity occurs?
42. 43
43
Desafio!
Quantos usuários possuem direitos de administrador em seu ambiente?
Quantas contas de serviço existem em seu ambiente?
Quem está acessando as 5 principais pastas de sua empresa?
Se você criar um usuário HACKER e colocá-lo dentro do grupo “Domain
Admins” no Active Directory, em quanto tempo isso será notado?
Há quanto tempo as senhas abaixo não são trocadas?
Domain administrator on Windows;
Administrator account in your MS-Windows workstations;
Root in your Linux and Unix systems;
Admin password for your networking devices (switches, firewall, etc);
SA password for your MS-SQL or Sysadmin for your Oracle
Quantas vulnerabilidades podem ser exploradas em seu ambiente?
Facilmente exploradas por ferramentas “exploits” disponíveis na Internet
Notas do Editor
-----
Goals for this slide:
Introduce the BeyondInsight platform capabilities – both the overarching capabilities and the category-specific capabilities.
Emphasize that all capabilities are integrated to enable collective risk reduction efforts among various stakeholders.
-----
BeyondInsight platform solutions offer a variety of capabilities that help you gain a clearer understanding of risk and take the necessary steps to protect your organization.
1) Vulnerability Management capabilities enable you to reduce external, attacker-triggered risk by identifying IT security exposures, measuring breach likelihood, and managing remediation and endpoint protection.
2) Privilege and Access Management capabilities enable you to reduce internal, user-triggered risk by managing access control policies and limiting access to key systems, applications and data.
BeyondInsight enables stakeholders from across your organization to collaboratively “connect the dots” between external and internal threats. This is facilitated through BeyondInsight’s dashboard interface offering shared capabilities from asset discovery and profiling to reporting and analytics.
As a result, you have a single, contextual lens through which to view user and asset risk. This clear, consolidated risk profile enables proactive, joint decision-making while ensuring that daily operations are guided by common goals for risk reduction.
Neste slide podemos observar a superfície de ataque de alguns malwares quando executados em uma máquina logada com um usuário privilegiado.
Provavelmente sua empresa já foi afetada ou talvez você conheça alguém que já tenha sido afetado por pelo menos um destes malwares: Sality, Conficker, Disttrack, Sdbot ou mesmo o Flame/Skywiper.
Deixando de lado a questão de exploração de vulnerabilidades de lado, pois isso é assunto para um outro vídeo, podemos observar que existem 31 pontos possíveis de infecções.
Neste gráfico, observamos a superfície de ataque das mesmas ameaças, porém, considerando que o usuário afetado é um usuário standard (não privilegiado).
A superfície de ataque destes malwares caíram de 31 para somente 4 locais possíveis de infecções, uma vez que todos estes locais preenchidos com verde um usuário Standard não possui privilégios para criar novos arquivos ou modificar arquivos já existentes.
Neste gráfico, observamos a superfície de ataque das mesmas ameaças, porém, considerando que o usuário afetado é um usuário standard (não privilegiado).
A superfície de ataque destes malwares caíram de 31 para somente 4 locais possíveis de infecções, uma vez que todos estes locais preenchidos com verde um usuário Standard não possui privilégios para criar novos arquivos ou modificar arquivos já existentes.