Estamos vivendo um momento com eventos mundiais sem precedentes, O COVID-19 forçou os governos a adotar medidas de distanciamento social e fechamento de negócios que atrapalharam a vida diária e que faz necessário uma força tarefa remota para que manter os negócios funcionando, porém muitas corporações foram obrigadas a se adaptarem rapidamente a uma nova realidade.
Com o COVID-19 os ataques maliciosos crescendo cada vez mais, agora é a hora de elevar o monitoramento da estação de trabalho (mesmo para aqueles trabalhadores remotos que usam laptops ou máquinas domésticas para se manterem produtivos durante o “lockout”).
Como fornecer acesso remoto seguro aos funcionários?
Tudo aconteceu muito rápido e o que está acontecendo agora é que muitos novos desafios devem ser encarados e devemos estar atentos a alguns pontos específicos como:
- Usuários finais que desejam saber mais sobre o “coronavírus”.
- Uma enorme quantidade de “endpoints” se conectando na rede das empresas através de VPN.
- Dependência e uso de recursos no Azure.
É nesses momentos que os atacantes usam como oportunidade para atacar organizações e usuários vulneráveis, afinal estão com outro foco durante a crise. São muitos os métodos usados por esses indivíduos maliciosos e sabemos que todos os dias acontecem ataques por phishing, malwares (ransomware) , ataques a credenciais (até mesmo pass-the-hash) e diversos outros métodos e tudo o que eles precisam fazer agora é se aproveitar do nosso medo e apetite pela atual situação provocada pelo COVID-19.
A porta de entrada para esses ataques quase sempre são as estações de trabalho dos usuários finais, seja através da engenharia social ou por conta de falhas na configuração de segurança. Por isso devemos adotar sempre a postura de educar os usuários para que eles tenham conhecimento e diminuam a probabilidade de clicar em links maliciosos em emails de phishing, abrir anexos infectados por vírus de ransomware ou inserir USB unidades de proveniência desconhecida.
A verdade que os invasores são sofisticados e que talvez alguns deles passarão inevitavelmente e para isso devemos estar preparados nesse momento.
O acesso aos recursos de uma rede por meio de um serviço remoto como uma VPN não é novo. A preocupação é que uma VPN, à qual todos estão acessando, pode dar a capacidade de um atacante se aproveitar e ter acesso a toda a rede, especialmente enquanto todos estão distraídos na crise de hoje. A maioria dos ataques a organizações faz uso de credenciais roubadas, provavelmente através de phishing.
Quais ações a curto prazo devemos adotar?
Monitorando as suas estações de trabalho, se você estiver usando ferramentas nativas, existem três logs críticos que você precisa saber para melhorar a segurança do terminal: o log de segurança do Windows, o log Sysmon e os logs do PowerShell (Os hackers adoram usar o PowerShell afinal ele poderoso e é uma ferramenta necessária para muitas tarefas de gerenciamento de sistemas e sistemas operacionais).
Um dos maiores desafios na analise de eventos de segurança é que precisamos ter uma visão simplificada e eficiente, como notificações em tempo real e que permita rapidamente identificar os recursos envolvidos para que possamos tomar ações em tempo hábil.
O monitoramento de log nativo é muito trabalhoso e além disso, existe uma forte possibilidade de você perder eventos críticos, porque é difícil coletar logs de todos os seus endpoints de maneira eficiente.
Além disso, o que você faz com esses eventos quando os encontra? Como você responde quando a atividade já aconteceu? Não é tarde demais?
Meu amigo Brian Hymer enumera esses eventos em um artigo e nos orienta a como fazer uso do Quest Intrust a fim de alertar e interromper esses ataques em tempo real.
O InTrust permite acionar facilmente respostas automatizadas a eventos suspeitos, como bloquear a atividade, desabilitar o usuário, reverter uma determina alteração entre outras ações.
Uma maneira de atender rapidamente as necessidades de monitoramento de segurança do ambiente com visibilidade de todas as alterações no local ou na nuvem é através do Change Auditor que permite a visibilidade imediata das atividades dos usuários e administradores, além de alertas em tempo real.
O Change Auditor junto com o Change Auditor Threat Detection pode modelar padrões de comportamento de usuários usando algoritmos sofisticados e aprendizado de máquina permitindo assim detectar atividades anormais que podem indicar usuários suspeitos ou contas comprometidas.
Indicando facilmente ataques do tipo:
- Exfiltração de dados;
- Malwares;
- Uso indevido de conta privilegiada;
- Elevação de privilégio;
- Ataque de força bruta;
- Atividades anormais no Active Directory;
- Movimento lateral;
- Acesso inapropriado a sistema ou recursos.
Temos um desafio frente ao cenário atual e temos que contar cada vez mais com a tecnologia para nos apoiar de modo que possamos superar os desafios do dia a dia e manter nossos ambientes seguros.
Recomendo a leitura do E-Book “Os três principais logs da estação de trabalho a serem monitorados”: melhore a segurança do terminal com Sysmon, PowerShell e logs de segurança
https://www.quest.com/whitepaper/top-3-workstation-logs-to-monitor8132498/
Seja o primeiro a comentar