Home
Padrões perigosos que colocam seu ambiente de TI em risco: segurança de TI sob ataque

Padrões perigosos que colocam seu ambiente de TI em risco: segurança de TI sob ataque

Log360 ManageEngine 31 de março de 2021

O post de hoje tem o intuito de lançar alguma luz sobre um tópico desconhecido e raramente discutido em segurança de TI: as configurações padrão e prontas para usar em ambientes de TI que podem estar colocando sua rede e usuários em risco.

Configurações padrão e porque a configuração inicial não é a mais segura 

A maneira mais rápida e fácil de iniciar um dispositivo ou software é com as configurações padrão. Eles sem dúvida facilitam a vida de todos na área de TI, e as configurações padrão nos dão a satisfação de experimentar o produto em primeira mão, sem ter que passar por todos os problemas com a configuração inicial. Infelizmente, só porque essas configurações são padrão, não significa que sejam recomendadas, nem tampouco seguras.

Os fabricantes e fornecedores sempre fornecem as configurações padrão, colocando a experiência do cliente e a usabilidade em primeiro lugar. Por exemplo, quando você configura um novo smartphone, sempre há uma opção para pular os recursos de segurança, certo? Como identificação facial ou talvez segurança de impressão digital? A configuração padrão deve ser apenas temporária, para ajudá-lo a experimentar o produto. Esta configuração deve ser atualizada ou alterada, caso contrário, você arrisca a segurança de sua rede e a privacidade de seus usuários.

Vamos dar uma olhada em várias áreas em sua rede que contém padrões perigosos e como você pode corrigi-los antes que seja tarde demais.

1. Senhas padrão perigosas 

  • É quase como um ritual discutir o uso e a rotação saudáveis ​​de senhas quando se trata de padrões de segurança, mas também é importante perceber que as senhas não são apenas para usuários:
    • Senhas de administrador: por mais irônico que possa parecer, as contas mais poderosas geralmente são aquelas com senhas fracas. Por exemplo, as contas de administrador local em redes são usadas para configurar servidores em uma rede. No entanto, na maioria das vezes, é aí que termina seu papel. Essas contas permanecem inalteradas com senhas padrão ou previsíveis, o que as torna o principal alvo de ataques. Em ambientes como Active Directory (AD), Azure ou Amazon Web Services (AWS), as senhas das contas de administrador podem ser seguras, mas ainda são amplamente reutilizadas ou compartilhadas entre as pessoas na rede.
    • Senhas do roteador: os roteadores são o gateway principal e alguém que tem a chave do roteador pode alterar suas configurações e sequestrar a rede, deixando você sem acesso. Qualquer pessoa com certo conhecimento também será capaz de acessar dispositivos conectados por Wi-Fi e roubar informações confidenciais.
    • Senhas de usuários locais: as senhas de contas locais de dispositivos (assim como administradores locais) costumam ser as mesmas em todos os servidores. Essas senhas geralmente são enviadas como padrão do fabricante, mas permanecem inalteradas após a configuração inicial.
    • Senhas de banco de dados: por exemplo, essas são as senhas de contas que foram usadas para configurar ou gerenciar seus servidores de banco de dados internos (como MSSQL ou Oracle), mas nunca foram alteradas!

Preste atenção em suas senhas e atualize-as se estiverem estagnadas há muito tempo.

2. Políticas padrão perigosas

As políticas de segurança na rede são cruciais para controlar o acesso do usuário e ditar o que um usuário pode fazer na rede. Existem algumas políticas de segurança que podem não ser configuradas por padrão e devem ser ativadas ou vice-versa.

Por exemplo, se você tiver uma infraestrutura AD local, há várias políticas de segurança em Objetos de Política de Grupo que devem ser configurados.

Por exemplo: 

Quando a opção acima está desabilitada, o Windows armazena hashes de senha dos usuários no banco de dados local do Security Account Manager dos sistemas Windows ou AD. O hash pode ser extraído da memória e quebrado por invasores para obter a senha em texto simples.

Aqui estão mais algumas políticas de segurança padrão que, quando mal configuradas, podem colocar sua organização em risco significativo:

  • Não permitir o armazenamento de senhas e credenciais para autenticação de rede: ative esta política, porque quando um usuário se autentica em um compartilhamento de rede ou proxy ou usa um software cliente e marca a caixa “Lembrar minha senha”, a senha é normalmente armazenada em um cofre, e as senhas salvas podem ser vistas através do gerenciador de credenciais, que pode ser invadido!
  • Controle de conta de usuário – elevar apenas arquivos executáveis ​​assinados e validados: quando esta configuração está ativada, os administradores podem controlar e permitir que apenas aplicativos legítimos e autorizados sejam executados com privilégios de administrador.
  • Controle o acesso ao CMD (Prompt de Comando): habilite esta política para evitar ataques de linha de comando e tentativas de coleta de informações de rede.
  •  Todas as classes de armazenamento removíveis – negar todo o acesso: habilite esta configuração para evitar que seus usuários conectem unidades USB em suas estações de trabalho.

Da mesma forma, se você usar infraestruturas de nuvem como o Azure AD , cada locatário terá certas políticas de segurança padrão aplicadas a ele. No entanto , é importante perceber que as políticas no Azure apenas garantem que uma organização tenha um nível básico de segurança; essas políticas não são uma estratégia de segurança completa.

O Azure oferece políticas de acesso condicional mais granulares e seguras para resolver esse problema, mas você precisa adquirir uma licença premium para obter um controle mais rígido sobre a segurança do Azure.

 Da mesma forma, os usuários em um locatário do Azure podem convidar “usuários convidados” e até mesmo convidados podem convidar outros convidados.

E esta é a configuração padrão! Embora os convidados não tenham permissões iguais às de um usuário membro da organização, eles ainda têm acesso de leitura a recursos confidenciais do Azure, como detalhes do usuário, membros de grupos de administradores e aplicativos corporativos.

 3. Padrões “públicos” perigosos em sua rede 

Em cada ambiente de TI, existem algumas partes da rede que são públicas para os usuários acessarem e modificarem, como os compartilhamentos em seus servidores de arquivos. Esses locais públicos também podem ser chamados de padrões perigosos. Por exemplo, depois que os compartilhamentos são criados, os dados neles raramente são monitorados quanto a alterações. Como os compartilhamentos podem ser acessados ​​até mesmo por usuários sem privilégios, isso os torna um local ideal para ataques.

Por exemplo, um invasor pode colocar malware com um nome de arquivo clickbait em um compartilhamento e alavancar seus usuários finais como catalisadores para espalhar o malware na rede.

Da mesma forma, os arquivos e pastas do sistema responsáveis ​​pela configuração da rede também podem ser excluídos ou as permissões podem ser modificadas pelos agentes da ameaça. No entanto, esta não é uma configuração padrão e, na maioria dos casos, apenas administradores ou usuários autorizados podem acessar esses arquivos de sistema (por padrão). Por causa disso, esses arquivos raramente são monitorados quanto a alterações, e este é um exemplo clássico de um padrão não monitorado que pode se tornar uma ameaça à segurança.

Também é uma boa prática monitorar seus ambientes de nuvem que possuem locais de armazenamento público, como AWS e Azure AD.

A configuração de um bucket AWS S3 pode ser definida como pública (consulte a imagem acima). Independentemente de a configuração pública ter sido autorizada ou não, é crucial monitorar os objetos dentro do intervalo quanto a alterações e manter uma lista de verificação de todos os intervalos públicos apenas para garantir a segurança.

No Azure, por padrão, todos os usuários podem registrar aplicativos e definir a permissão de consentimento em seu nome.

Os invasores costumam enganar os usuários finais para dar consentimento a aplicativos ilícitos por meio de ataques de phishing.

Fonte de imagens: Microsoft

Depois que o usuário concede consentimento, o invasor tem acesso no nível da conta sem roubar credenciais ou infectar o dispositivo do usuário. Um ataque de usuário sem comprometer a senha! Desative a política que permite que os usuários se registrem e concedam consentimento aos aplicativos. Se isso não for uma opção, monitore o consentimento do usuário concedido para novos aplicativos.

Padrões perigosos existem de muitas formas 

E estamos apenas começando! Padrões perigosos podem se manifestar de várias formas em vários locais de uma rede, e você deve estar preparado. Você deve atualizar esses padrões perigosos ou pelo menos monitorá-los para alterações. Outros exemplos de padrões perigosos incluem:

  • Usuários não utilizados (inativos) com permissões desatualizadas.
  • Comandos Sudo executados em sistemas Linux (caso contrário, apenas para serem usados ​​pelo usuário raiz padrão) ou tarefas cron não programadas (scripts de tarefas de agendamento).
  • Alterações nas chaves de registro padrão, como HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, que só devem ser modificadas por um administrador ou usuário autorizado.
  • Regras inalteradas de entrada e saída de firewall ou alterações não autorizadas nas regras.
  • Alterações de estado do computador (reinicializações forçadas), o que pode indicar um ataque de força bruta.
  • Uma interrupção do serviço do sistema (como serviços de backup ou serviços de registro de eventos), que pode sinalizar um ataque de ransomware.
  • Partições de disco padrão modificadas em suas máquinas virtuais ou montagens ou desmontagens do Network File System.
  • Rede não autorizada conectada separadamente das redes padrão.

O objetivo do post de hoje, foi mostrar as várias maneiras pelas quais as configurações padrão podem ser exploradas e a necessidade de atualizar essas configurações. Para os momentos em que atualizar essas configurações não é a resposta, tenha uma estratégia de monitoramento em vigor em busca de alterações não autorizadas.

Para obter uma solução abrangente que pode te ajudar a obter informações sobre as configurações padrão e monitorá-las para alterações 24 × 7, faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do Log360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.

Testar grátis o Log360

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Join @acsoftware on Telegram

Relacionado

, , , , , , ,

Deixe um comentário

Blog ACSoftware - ManageEngine