reduzindo riscos através do controle de usuários privilegiados, auditoria e vulnerabilidades
TRANSCRIPT
1
1
Reduzindo riscos através do controle de usuários privilegiados, auditoria e vulnerabilidades
© 2013 BeyondTrust Software
Bruno Caseiro, CISSP, GWAPT, CEH, MCSESr. Security Sales Engineer
2
2
Agenda
Sobre a Beyondtrust
Conceitos de segurança raramente implementados corretamente
Exemplos de falhas de segurança do passado e do presente
O que podemos fazer para reduzir a superfície de ataque?
3
3
BeyondInsight IT Risk Management Platform: Capabilities
Privilege & Access ManagementInternal Risk Management
• Privileged Password Management• Shared Account Password Management• Privileged Session Management• Privileged Threat Analytics• User Activity and Entitlement Auditing• AD Bridge for UNIX/Linux and Mac• Automated AD Recovery & Protection
Vulnerability Management External Risk Management
• Vulnerability Management• Regulatory Compliance Reporting• Configuration Compliance Assessment• Integrated Patch Management• Endpoint Protection Agents
Reporting& Analytics
Central DataWarehouse
AssetDiscovery
AssetProfiling
Asset SmartGroups
UserManagement
Workflow &Notification
Third-PartyIntegration
IT Security:Optimize Controls
IT Risk:Calculate Risk
Management:Prioritize Investments
Compliance & Audit:Produce Reports
IT Operations:Prioritize Mitigation
4
4
Conceitos de segurança raramente implementados corretamente
© 2013 BeyondTrust Software
5
5
Conceitos de segurança raramente implementados (corretamente)
Least PrivilegeLeast privilege requires that a user be given no more access privilege than necessary to perform a job, task, or function.
Need to knowShould be used heavily in situations where operational secrecy is a key concern in order to reduce the risk that someone will leak that information to the enemy. It's a companion concept to least privilege and it defines that minimum as a need for that access based on job or business requirements.
6
6
Notícias sobre falhas de segurança ocorridas nos últimos anos (brechas)
© 2013 BeyondTrust Software
7
7
EDWARD SNOWDEN AND THE NATIONAL SECURITY AGENCY
Edward Snowden, a contractor working as a systems administrator for the NSA, convinced several of his co-workers to provide him with their system credentials, according to a report by Reuters. Snowden may have convinced up to 25 employees at the NSA to give him their usernames and passwords under the pretext that he needed them to do his job.
High Profile Breaches in 2013 - NSA
8
8
High Profile Breaches in 2014 - JPMorgan
9
9
High Profile Breaches in 2014 - ShellShock
10
10
High Profile Breaches in 2015 - Anthem
11
11
O que podemos fazer para reduzir a superfície de ataque?
© 2013 BeyondTrust Software
12
12
Como alguém geralmente pode ter acesso aos seus sistemas (servidores, switches, estações)?
Eles possuem uma credencial válida (usuário e senha);Esta credencial também precisa dos privilégios apropriados;
Eles podem explorar uma vulnerabilidade existente em seus sistemas e neste caso muitas vezes não é preciso saber um usuário e senha;
13
13
O que nós podemos fazer para reduzir a superfície de ataque? Forçar a política de menor privilégio em servidores e
estações;
Controlar quem pode acessar as contas privilegiadas no seu ambiente (root, administrator, sa, sysadmin, etc)
Notificar e auditar o que é feito durante o acesso privilegiado.
Auditar quem está acessando seus dados, identificar anomalias, alertar acessos em arquivos/objetos críticos
Alterações em objetos no Active Directory (i.e. Domain Admins group); Acesso a pasta e arquivos confidenciais de sua empresa; Uso de mailbox estratégicos de seu MS-Exchange; Registros sensíveis, tabelas em banco de dados SQL, Oracle, and DB2.
Identifique se sua empresa pode ser comprometida por exploits
Verifique, priorize e elimine as vulnerabilidades que podem ser exploradas facilmente através de exploits já existentes na Internet.
14
14
Como implementar uma política de menor privilégio?
Solução: PowerBroker for Windows
© 2013 BeyondTrust Software
15
15
Superfície de ataque para Malware – Usuário Privilegiado
16
16
Superfície de ataque para Malware – Usuários comuns
17
17
Superfície de ataque – Overview
Como você prefere proteger sua empresa de malwares, ataques e vulnerabilidades?
Usuários privilegiados – “administradores” Usuários comuns
19
19
Passo 1 – Identificar todos usuários privilegiados
20
20
Passo 2 – Identificar quais aplicações realmente precisam de privilégios excessivos para funcionar
21
21
Passo 3 – Eleve (dê direitos de administrador) somente as aplicações necessárias e legítimas para seu negócio
22
22
Passo 4 – Monitore o que os usuários fazem durante seu acesso às aplicações críticas
23
23
Como controlar acesso às contas privilegiadas?Solução: PowerBroker Password Safe
© 2013 BeyondTrust Software
25
25
PowerBroker Password Safe – O que faz?
Manager(Web Interface)
Approval Request
Approval Administrati
on,
Auditing, etc.
Password Request
Password(Retrieved via SSH, HTTPS)
Password Request
Password(Retrieved via API, PBPSRUN)
Login w/ Password
Login w/Password
PowerBroker SafeAdministrator
or Auditor(Web or CLI Interface)
User(Web Interface)
Applicationor Script
Routers /Switches
Firewalls WindowsServers
Unix/LinuxServers
SSH/TelnetDevices
IBM iSeriesServers
IBM ZSeriesServers
AD/LDAPDirectories
Databases
2
1
3
4
B
C
26
26
Gerenciamento de sessões / proxy de acesso
27
27
Reprodução de sessões (auditoria)
28
28
Dê acesso privilegiado à certas aplicações, sem revelar a senha privilegiada
28
► Função “Run As”, porém, os usuários não precisam saber a senha;► Casos de uso: Microsoft SQL Studio, AD Users and Computers, etc.
29
29
Idade das senhas (identifique contas inativas)
30
30
Relatório com as contas de serviço
31
31
Audit your environment
Microsoft File Servers, Active Directory, Exchange, Event Viewer;Databases: Oracle, MSSQL, and DB2
© 2013 BeyondTrust Software
32
32
Monitore alterações no Active DirectoryUser, Group, OU, Printer (deleted, changed, created, etc)
Who? When? Where? What?
33
33
Proteja objetos críticos no ADSpecify that in the “domain admins” group, only the user “cassio” can
make changes. Even other domain admins will not be able to change that.
34
34
Auditoria para servidores de arquivoWho accessed the file salary.xls in the last 30/60/90 days?
Who is really accessing/changing your critical data?Email me if someone delete or change the file secrets.doc
35
35
Auditoria de eventos (Event Viewer)What are the errors or security events that are happening in my servers?
You are seeing user accounts being lock out. Where it’s happening?Would you like to get alerts when some type of events are generated?
36
36
Auditoria para Microsoft ExchangeAn email message has “disappeared”. When it happened, who deleted?
Who is reading your CEO e-mail messages? Only him? Really?Would you like to receive an alert when if it occurs?
37
37
Auditoria para MSSQL, Oracle, and DB2What changes occurred in the last 24 hours?
Is there someone looking at sensitive tables like salary, credit cards, etc?Would you like to receive an alert if a suspicious activity occurs?
38
38
Descubra suas vulnerabilidades, priorize e elimine (automaticamente)!Retina CS – Vulnerability Management / Patch management
© 2013 BeyondTrust Software
39
BeyondInsight Retina CSAudit Vulnerabilities across all your IT environment
40
40
Que tipo de vulnerabilidades você deve priorizar?
41
41
Patch Management- Patches for Microsoft (Windows, MSSQL, Office, etc);- Java;- Adobe;- Winrar;- Firefox, Chrome, etc
42
42
Risk Matrix Reduction
44
44
Desafio!
Quantos usuários possuem direitos de administrador em seu ambiente?
Quantas contas de serviço existem em seu ambiente?
Quem está acessando as 5 principais pastas de sua empresa?
Se você criar um usuário HACKER e colocá-lo dentro do grupo “Domain Admins” no Active Directory, em quanto tempo isso será notado?
Há quanto tempo as senhas abaixo não são trocadas? Domain administrator on Windows; Administrator account in your MS-Windows workstations; Root in your Linux and Unix systems; Admin password for your networking devices (switches, firewall, etc); SA password for your MS-SQL or Sysadmin for your Oracle
Quantas vulnerabilidades podem ser exploradas em seu ambiente? Facilmente exploradas por ferramentas “exploits” disponíveis na Internet