reduzindo riscos através do controle de usuários privilegiados, auditoria e vulnerabilidades

1

1

Reduzindo riscos através do controle de usuários privilegiados, auditoria e vulnerabilidades

© 2013 BeyondTrust Software

Bruno Caseiro, CISSP, GWAPT, CEH, MCSESr. Security Sales Engineer

2

2

Agenda

Sobre a Beyondtrust

Conceitos de segurança raramente implementados corretamente

Exemplos de falhas de segurança do passado e do presente

O que podemos fazer para reduzir a superfície de ataque?

3

3

BeyondInsight IT Risk Management Platform: Capabilities

Privilege & Access ManagementInternal Risk Management

• Privileged Password Management• Shared Account Password Management• Privileged Session Management• Privileged Threat Analytics• User Activity and Entitlement Auditing• AD Bridge for UNIX/Linux and Mac• Automated AD Recovery & Protection

Vulnerability Management External Risk Management

• Vulnerability Management• Regulatory Compliance Reporting• Configuration Compliance Assessment• Integrated Patch Management• Endpoint Protection Agents

Reporting& Analytics

Central DataWarehouse

AssetDiscovery

AssetProfiling

Asset SmartGroups

UserManagement

Workflow &Notification

Third-PartyIntegration

IT Security:Optimize Controls

IT Risk:Calculate Risk

Management:Prioritize Investments

Compliance & Audit:Produce Reports

IT Operations:Prioritize Mitigation

4

4

Conceitos de segurança raramente implementados corretamente

© 2013 BeyondTrust Software

5

5

Conceitos de segurança raramente implementados (corretamente)

Least PrivilegeLeast privilege requires that a user be given no more access privilege than necessary to perform a job, task, or function.

Need to knowShould be used heavily in situations where operational secrecy is a key concern in order to reduce the risk that someone will leak that information to the enemy. It's a companion concept to least privilege and it defines that minimum as a need for that access based on job or business requirements.

6

6

Notícias sobre falhas de segurança ocorridas nos últimos anos (brechas)

© 2013 BeyondTrust Software

7

7

EDWARD SNOWDEN AND THE NATIONAL SECURITY AGENCY

Edward Snowden, a contractor working as a systems administrator for the NSA, convinced several of his co-workers to provide him with their system credentials, according to a report by Reuters. Snowden may have convinced up to 25 employees at the NSA to give him their usernames and passwords under the pretext that he needed them to do his job.

High Profile Breaches in 2013 - NSA

8

8

High Profile Breaches in 2014 - JPMorgan

9

9

High Profile Breaches in 2014 - ShellShock

10

10

High Profile Breaches in 2015 - Anthem

11

11

O que podemos fazer para reduzir a superfície de ataque?

© 2013 BeyondTrust Software

12

12

Como alguém geralmente pode ter acesso aos seus sistemas (servidores, switches, estações)?

Eles possuem uma credencial válida (usuário e senha);Esta credencial também precisa dos privilégios apropriados;

Eles podem explorar uma vulnerabilidade existente em seus sistemas e neste caso muitas vezes não é preciso saber um usuário e senha;

13

13

O que nós podemos fazer para reduzir a superfície de ataque? Forçar a política de menor privilégio em servidores e

estações;

Controlar quem pode acessar as contas privilegiadas no seu ambiente (root, administrator, sa, sysadmin, etc)

Notificar e auditar o que é feito durante o acesso privilegiado.

Auditar quem está acessando seus dados, identificar anomalias, alertar acessos em arquivos/objetos críticos

Alterações em objetos no Active Directory (i.e. Domain Admins group); Acesso a pasta e arquivos confidenciais de sua empresa; Uso de mailbox estratégicos de seu MS-Exchange; Registros sensíveis, tabelas em banco de dados SQL, Oracle, and DB2.

Identifique se sua empresa pode ser comprometida por exploits

Verifique, priorize e elimine as vulnerabilidades que podem ser exploradas facilmente através de exploits já existentes na Internet.

14

14

Como implementar uma política de menor privilégio?

Solução: PowerBroker for Windows

© 2013 BeyondTrust Software

15

15

Superfície de ataque para Malware – Usuário Privilegiado

16

16

Superfície de ataque para Malware – Usuários comuns

17

17

Superfície de ataque – Overview

Como você prefere proteger sua empresa de malwares, ataques e vulnerabilidades?

Usuários privilegiados – “administradores” Usuários comuns

19

19

Passo 1 – Identificar todos usuários privilegiados

20

20

Passo 2 – Identificar quais aplicações realmente precisam de privilégios excessivos para funcionar

21

21

Passo 3 – Eleve (dê direitos de administrador) somente as aplicações necessárias e legítimas para seu negócio

22

22

Passo 4 – Monitore o que os usuários fazem durante seu acesso às aplicações críticas

23

23

Como controlar acesso às contas privilegiadas?Solução: PowerBroker Password Safe

© 2013 BeyondTrust Software

25

25

PowerBroker Password Safe – O que faz?

Manager(Web Interface)

Approval Request

Approval Administrati

on,

Auditing, etc.

Password Request

Password(Retrieved via SSH, HTTPS)

Password Request

Password(Retrieved via API, PBPSRUN)

Login w/ Password

Login w/Password

PowerBroker SafeAdministrator

or Auditor(Web or CLI Interface)

User(Web Interface)

Applicationor Script

Routers /Switches

Firewalls WindowsServers

Unix/LinuxServers

SSH/TelnetDevices

IBM iSeriesServers

IBM ZSeriesServers

AD/LDAPDirectories

Databases

2

1

3

4

B

C

26

26

Gerenciamento de sessões / proxy de acesso

27

27

Reprodução de sessões (auditoria)

28

28

Dê acesso privilegiado à certas aplicações, sem revelar a senha privilegiada

28

► Função “Run As”, porém, os usuários não precisam saber a senha;► Casos de uso: Microsoft SQL Studio, AD Users and Computers, etc.

29

29

Idade das senhas (identifique contas inativas)

30

30

Relatório com as contas de serviço

31

31

Audit your environment

Microsoft File Servers, Active Directory, Exchange, Event Viewer;Databases: Oracle, MSSQL, and DB2

© 2013 BeyondTrust Software

32

32

Monitore alterações no Active DirectoryUser, Group, OU, Printer (deleted, changed, created, etc)

Who? When? Where? What?

33

33

Proteja objetos críticos no ADSpecify that in the “domain admins” group, only the user “cassio” can

make changes. Even other domain admins will not be able to change that.

34

34

Auditoria para servidores de arquivoWho accessed the file salary.xls in the last 30/60/90 days?

Who is really accessing/changing your critical data?Email me if someone delete or change the file secrets.doc

35

35

Auditoria de eventos (Event Viewer)What are the errors or security events that are happening in my servers?

You are seeing user accounts being lock out. Where it’s happening?Would you like to get alerts when some type of events are generated?

36

36

Auditoria para Microsoft ExchangeAn email message has “disappeared”. When it happened, who deleted?

Who is reading your CEO e-mail messages? Only him? Really?Would you like to receive an alert when if it occurs?

37

37

Auditoria para MSSQL, Oracle, and DB2What changes occurred in the last 24 hours?

Is there someone looking at sensitive tables like salary, credit cards, etc?Would you like to receive an alert if a suspicious activity occurs?

38

38

Descubra suas vulnerabilidades, priorize e elimine (automaticamente)!Retina CS – Vulnerability Management / Patch management

© 2013 BeyondTrust Software

39

BeyondInsight Retina CSAudit Vulnerabilities across all your IT environment

40

40

Que tipo de vulnerabilidades você deve priorizar?

41

41

Patch Management- Patches for Microsoft (Windows, MSSQL, Office, etc);- Java;- Adobe;- Winrar;- Firefox, Chrome, etc

42

42

Risk Matrix Reduction

43

43

Thank You!Bruno Caseirobcaseiro@beyondtrust.com

© 2013 BeyondTrust Software

44

44

Desafio!

Quantos usuários possuem direitos de administrador em seu ambiente?

Quantas contas de serviço existem em seu ambiente?

Quem está acessando as 5 principais pastas de sua empresa?

Se você criar um usuário HACKER e colocá-lo dentro do grupo “Domain Admins” no Active Directory, em quanto tempo isso será notado?

Há quanto tempo as senhas abaixo não são trocadas? Domain administrator on Windows; Administrator account in your MS-Windows workstations; Root in your Linux and Unix systems; Admin password for your networking devices (switches, firewall, etc); SA password for your MS-SQL or Sysadmin for your Oracle

Quantas vulnerabilidades podem ser exploradas em seu ambiente? Facilmente exploradas por ferramentas “exploits” disponíveis na Internet