a maldição do local admin - 10o workshop seginfo - apresentação
TRANSCRIPT
A MALDIÇÃO DO LOCAL ADMIN
A MALDIÇÃO DO LOCAL ADMIN
A MALDIÇÃO DO LOCAL ADMIN
A MALDIÇÃO DO LOCAL ADMIN
Introdução
▪ Quem sou eu ?▪ Motivador da Palestra▪ O que vocês vão ver aqui hoje■ Desafios de gestão de privilégios
■ Estratégias de controle e mitigação
PRIVILÉGIOS LOCAIS(local admin)• Não existe meio morto;
• Não existe meio grávida;• Nem meio administrador.
PRIVILÉGIOS LOCAIS(local admin)• Não existe meio morto;
• Não existe meio grávida;• Nem meio administrador.• Consequência: Maior superfície de ataque
• Solução: Remoção dos privilégios indevidos
Desafio #1: VOCÊ É PARTE DO PROBLEMA?
Desafio #1: VOCÊ É PARTE DO PROBLEMA?
Por acaso você pode…• Instalar um software?• Desabilitar o anti-vírus ou o Firewall?• Criar um novo usuário local?• Alterar privilégios dos usuários existentes?• Acessar dados que pertencem a outros usuários?• Substituir um programa por um Trojan?• Instalar um root kit ou um key logger?
Desafio #2:Difícil balancear SEGURANÇA e PRODUTIVIDADE
• Usuários frustrados• Help Desk sobrecarregado
Desafio #2:Difícil balancear SEGURANÇA e PRODUTIVIDADE
• Usuários frustrados• Help Desk sobrecarregado
Desafio #3:O Pesadelo em reduzir privilégios
Desafio #4:Segregação de Tarefas e a Superfície de Ataque
Desafio #4:Segregação de Tarefas e a Superfície de Ataque
Desafio #4:Segregação de Tarefas e a Superfície de Ataque
Desafio #5:Sempre vai haver um local admin… SEMPRE!!
Desafio #6:Não interessa… O malware vai entrar!
Ele vai dar um jeito!!
Desafio #6:Não interessa… O malware vai entrar!
Ele vai dar um jeito!!
( Lembrou de Ransomware, né? )
Desafio #7: Aplicações
Estudos apontam que umaempresa possui, no total,
20.000Diferentes Aplicações.
Desafio #7: Aplicações
#8 – Fiz de tudo! Nada Funciona
• Anti-Virus• Anti-Spyware• Host-IPS• Device Control• Network Access Control
• DLP• File & Disk Encryption• NEXT Gen AV• Endpoint Detection &
Response
( RANSOMWARE )
[ COMO TUDO ACONTECE ]
Tentativa de Deslocamento
Lateral
Propagação
Tentativa de Deslocamento
Lateral
Propagação
Encripta eComunica
Tentativa de Deslocamento
Lateral
Propagação
Encripta eComunica
REPETE
Key Server
Seus problemas acabaram!!
Você sabia que eliminar privilégios
locais reduz a superfície de ataque
em 25%?
PRIMEIRA LIMPEZAProteja os “admins locais” e credenciais
de backdoor / built-in
PRIMEIRA LIMPEZAProteja os “admins locais” e credenciais
de backdoor / built-in
[ Rotacione as senhas… por favor! ][ Sem repetir, galera! ]
Para usuários de negócios… Elevação de Privilegio Controlada
Para Administradores …. Mínimo Privilégio e Separação de Tarefas
Políticas baseadasem confiança
Políticas baseadasem confiança
Ransomware cai em qualcategoria?
Execução em Modo Restrito
• Privilégios Padrão• Acesso Limitado a Arquivos e Dados Corporativos• Sem acesso a compartilhamentos de rede• Sem acesso a determinados servidores• Sem acesso a Internet
Execução em Modo Restrito
• Privilégios Padrão• Acesso Limitado a Arquivos e Dados Corporativos• Sem acesso a compartilhamentos de rede• Sem acesso a determinados servidores• Sem acesso a Internet
E não se esqueçam das boas práticas, amiguinhos!!
Análise Comportamental
Conclusão
“Endpoint hardening, including vulnerability, patch, privilege and policy
management, and application control, is currently the most effective
form of malware defense; however, most organizations are unwilling or
unable to invest in the upfront effort required to reduce the attack
surface.”
Gartner Research Note: The Real Value of a Non-Signature-Based Anti-Malware Solution to Your Organization
Published: 22 September 2016
Analyst(s): Eric Ouellet, Peter Firstbrook
Doc ID: G00308947
