Na iminência de um novo potencial ataque ransomware devido a uma recente vulnerabilidade no protocolo RDP da Microsoft, o BlueKeep, partilhamos algumas notas das práticas que consideramos importantes para tornar a sua infraestrutura mais resistente a ataques deste género.
A maior parte destes ataques começam com algum tipo de engenharia social, tipicamente phishing que culminam num download ou navegação em site malicioso. Após o “paciente zero” ser infetado, a worm que transporta o ransomware tenta através de movimentos laterais na rede interna propagar-se através quer da exploração de vulnerabilidades de sistema ou de roubo de credenciais com permissões elevadas.
Backups
Medida de último recurso e a única que nos poderá salvar no caso de um ataque. Mantenha os seus backups isolados do ambiente de produção, fora do domínio AD e com uma cópia offsite, preferencialmente offline. Teste com regularidade o restauro da informação de ambas as cópias. Lembre-se que as cópias online estão hipoteticamente vulneráveis a um ataque.
Patching
Tendo em conta que a propagação deste tipo de malware acontece em grande parte explorando sistemas com vulnerabilidades, a atualização expedita dos sistemas com os respetivos updates de segurança é de uma importância vital para garantir a resiliência.
Privileged Access Management
Não utilize credenciais com privilégios de administração (nem mesmo do pc local) para as suas tarefas de comum utilizador, nem para navegar na web. Se conseguir proíba no gateway o acesso internet aos grupos “domain admins” e “administrators”. Recorra a um sistema de gestão de privilégios para atribuição, a pedido e por tempo determinado, de privilégios elevados a recursos específicos ou, em alternativa, crie contas dedicadas por administrador de sistema e imponha o seu uso com reservas.
Imponha passwords fortes e em caso algum autorize sessões abertas nos servidores (ativas ou inativas) após a execução da tarefa.
Isolamento da camada de virtualização
Crie duas florestas AD independentes, uma para assegurar a camada de virtualização e outra para a camada user level (VMs). Isole os dois ambientes. Pense como num modelo cloud, jamais os seus clientes poderão atingir a infraestrutura de virtualização e gestão.
Condicione o acesso à internet em servidores.
Crie uma coleção de máquinas de gestão e force a autenticação multifator
Crie uma coleção de máquinas RDSH (Remote Desktop Session Host) específica para o serviço de gestão de sistemas e instale nas mesmas todas as consolas de gestão e ferramentas necessárias. Obrigue a autenticação multifator para os administradores de sistemas que as utilizem.
Configure a sua infraestrutura, de forma a que a gestão dos servidores (Remote desktop, WS-Management e PowerShell) apenas possa ser efetuada pelo conjunto de máquinas definidas acima.
Proteção Endpoint
Implemente soluções de proteção endpoint avançadas e com analítica, que permitam detetar e responder rápida e eficazmente a este tipo de ameaças, por exemplo o Microsoft Defender ATP.
Monitorize e perfile o comportamento e atividade dos utilizadores
Adote uma solução UEBA (User and Entity Behavior Analytics) que assegure medidas avançadas de proteção contra identidades comprometidas ou colaboradores maliciosos. Um exemplo de solução é o impressionante Microsoft Azure ATP (veja o vídeo).
Virtualização do Desktop
A substituição do Desktop tradicional por uma solução centralizada “blindada” que virtualize o ambiente de trabalho, eleva a resiliência da sua infraestrutura para um nível superior de segurança.
Estas são algumas das principais medidas que temos vindo a retirar da prática no terreno em clientes e na infraestrutura NIODO. Espero que vos sejam úteis!
https://www.welivesecurity.com/2019/05/22/patch-now-bluekeep-vulnerability
https://www.youtube.com/watch?v=oY-LSWgNLPY