Em praticamente qualquer empresa, o departamento de segurança de TI enfrenta duas tarefas prioritárias: a primeira delas é garantir que os sistemas críticos possam operar continuamente e a segunda, é a redução do risco de ataques à rede corporativa. Uma das abordagens mais eficazes para ambos os problemas, é restringir os privilégios de usuários do sistema. Em termos de segurança de TI, os sistemas críticos têm duas propriedades básicas - Integridade e Disponibilidade - que afetam a sua continuidade operacional.
Para proteger a rede corporativa de ataques, é necessário reduzir a superfície de ataque, reduzindo o número de dispositivos de rede e serviços disponíveis a partir de fora da rede corporativa e reforçar a proteção dos sistemas e serviços que necessitam desse acesso (serviços web, gateways, roteadores, estações de trabalho, etc). O principal vetor de ataque a uma rede corporativa, são os computadores de usuários conectados à Internet na rede.
Proteção de Sistemas Críticos
Teoricamente, para proteger sistemas críticos de alterações não autorizadas e reduzir a possibilidade de ataques à rede corporativa, você deve especificar os objetos (equipamentos, sistemas, aplicações de negócio, documentos valiosos, etc) na rede corporativa, elementos estes que requerem proteção. Também é preciso descrever os processos de negócios da empresa e usá-los para ajudar a determinar os níveis de acesso aos bens protegidos; garantir que cada sujeito (um usuário ou um aplicativo corporativo) possua uma conta única; acessar
assuntos limitados a objetos, ou seja, para restringir os direitos das pessoas dentro dos processos de negócios; assegurar que todas as operações entre os sujeitos e os objetos, sejam registradas e esses registros sejam armazenados em um local seguro.
Na prática, todos os documentos corporativos são armazenados centralmente em pastas compartilhadas em um dos servidores da empresa (por exemplo, no servidor "Controlador de Documentos"):
o acesso a sistemas críticos é negado a todos, mas os administradores - qualquer administrador - pode entrar no sistema, remotamente, para reparar de forma rápida, qualquer falha que venha a ocorrer.
- Às vezes, os administradores usam uma conta "compartilhada";
- Todos os funcionários têm privilégios limitados como um "usuário padrão", mas a partir de uma solicitação, qualquer pessoa pode obter direitos de administrador local.
-Tecnicamente, é muito mais fácil de proteger os sistemas críticos do que as estações de trabalho: isso porque mudanças nos processos de negócios são raras de acontecer, os regulamentos variam pouco e podem ser elaborados para explicar até os seus menores detalhes. Em contraste com ambiente de trabalho dos usuários que é caótico, seus processos de mudança rápida e os requisitos de proteção, mudam junto com eles.
Além disso, muitos usuários estão desconfiados de quaisquer restrições, mesmo quando não há nenhum impacto no fluxo de trabalho. Portanto, a proteção tradicional de usuários é baseada no princípio "é melhor eliminar software malicioso do que bloquear alguma coisa que seja realmente importante".
"2013 Microsoft Vulnerabilities Study: Mitigating Risk by Removing User Privileges"
No ano passado, a Avecto realizou um estudo chamado "2013 Microsoft Vulnerabilities Study: Mitigating Risk by Removing User Privileges" e concluiu que "através da remoção de direitos de administrador local, é possível reduzir o risco de exploração de 92% das vulnerabilidades críticas no software Microsoft". A conclusão parece lógica, mas deve-se notar que a Avecto não testou as vulnerabilidades; ela apenas analisou os dados do Microsoft Vulnerability Bulletin 2013. Contudo, é claro que o software malicioso em execução sem direitos de administrador não pode instalar um driver, criar/modificar arquivos em diretórios protegids (% systemdrive%,%windir%,% programfiles%, dentre outros), mudanças em configurações de sistema (incluindo escrita para a seção de registro HKLM) e o mais importante - não poder usar funções privilegiadas da API.
Vulnerabilidades Existentes nos Sistemas
Na realidade, porém, a falta de direitos de administrador não é um obstáculo sério para qualquer software mal-intencionado ou para um cracker penetrar na rede corporativa. Em primeiro lugar, é necessário dizer que qualquer sistema possui dezenas de vulnerabilidades, que abrem os direitos necessários até o nível de privilégios do kernel. Em segundo lugar, existem ameaças que requerem apenas privilégios de usuário padrão a ser implementado. O diagrama abaixo mostra os possíveis vetores de ataque, que não necessitam de quaisquer direitos de administrador. Portanto, é necessário olhar com mais atenção a eles.
Ataques Locais
Com apenas privilégios de usuário padrão, o atacante tem acesso completo à memória de todos os processos em execução sob a conta de usuário. Isso é suficiente para integrar código malicioso em processos, a fim de controlar remotamente o sistema (backdoor), para interceptar as teclas digitadas (keylogger), para modificar o conteúdo do navegador, dentre outras práticas. Desde maioria dos programas antivírus pode haver um controle das tentativas de implementar o código desconhecido nos processos, e assim, os atacantes costumam usar métodos mais secretos.
Portanto, um método alternativo aplicado para implementar um backdoor ou um keylogger no processo do navegador, é usar plugins e extensões. Privilégios de usuário padrão são suficientes para baixar um plugin, e que o código pode fazer quase tudo que um Trojan cheio de recursos é capaz de fazer. Isso inclui controlar remotamente o navegador da Web, registrando as entradas de dados no tráfego do navegador, interagindo com serviços Web e modificar o conteúdo da página (phishing).
Além do mais, os fraudadores também estão interessados em aplicações de escritório padrão (como e-mail e IM-clientes), que podem ser usados para atacar outros usuários da rede (incluindo métodos de phishing e uso de técnicas de engenharia social). Os scammers podem acessar programas como o Outlook, The Bat, Lync, Skype, via API e serviços locais de tais aplicações, bem como injetar código em processos relevantes.
Criminosos Visam Dados Armazenados no Computador
É claro que não são apenas as aplicações que passam a ter valor para os fraudadores; os dados armazenados no computador são, também, uma potencial mina de ouro para esses cybercriminosos. Além de documentos corporativos, os atacantes muitas vezes visam arquivos de aplicativos diferentes que contêm senhas, dados criptografados, chaves digitais (SSH, PGP), etc. Se o computador do usuário tem o código-fonte, os atacantes poderiam tentar implementar seu código para ele.
Ataques de Domínio
Uma vez que as contas da maioria dos usuários corporativos são contas de domínio, os mecanismos de autenticação de domínio (Autenticação do Windows), fornecem ao usuário o acesso a vários serviços em uma rede corporativa. Este acesso, é muitas vezes fornecido, de forma automática, sem que haja qualquer verificação adicional do nome de usuário e senha. Como resultado, se o usuário infectado tem acesso ao banco de dados corporativo, os atacantes podem facilmente tirar proveito dela.
Além disso, a autorização de domínio também permite que atacantes possam acessar todas as pastas de rede e discos disponíveis para o usuário, compartilhar recursos internos através da Intranet e às vezes um "evenaccess" relacionado a outras estações de trabalho no mesmo segmento de rede. Além de pastas de rede e banco de dados, a rede corporativa, muitas vezes inclui vários serviços de rede, tais como acesso remoto, FTP, SSH, TFS, GIT, SVN, dentre outros. Mesmo que as contas não sejam do domínio dedicado, elas são usadas para aceder a estes serviços, e assim, os atacantes podem facilmente utilizá-los enquanto o usuário está trabalhando em seu computador (ou seja, durante uma sessão ativa).
Proteção
É quase impossível fornecer um alto nível de proteção para estações de trabalho, negando aos usuários direitos administrativos. Instalar um software antivírus em uma estação de trabalho irá aumentar a sua segurança, mas não vai resolver todos os problemas. Para alcançar elevados níveis de segurança, a tecnologia de controle de aplicativos deve ser composta de três elementos-chave:
Proibido por padrão, que só permite a instalação e execução de software que tenha sido aprovado pelo administrador. Neste caso, o administrador não tem que colocar cada aplicativo individual (hash) na lista de software confiável. Há uma grande variedade de ferramentas genéricas disponíveis, com a intenção de permitir listas brancas dinâmicas de todos os softwares assinados por um certificado reconhecido, criado por um desenvolvedor aprovado, obtidos a partir de uma fonte confiável ou contidos no banco de dados de uma Whitelisting de um fornecedor de software de segurança.
Em relação ao controle de aplicativos que podem restringir o trabalho de apps confiáveis de acordo com suas funções. Por exemplo, para o funcionamento normal do navegador, deve haver sim a capacidade capaz de criar conexões de rede, mas não precisa ler/escrever outros processos na memória, ligar a bases de dados on-line ou armazenar arquivos na rede. O gerenciamento de atualizações que garante todo o software nas estações de trabalho é atualizado imediatamente, reduzindo o risco de infecção através de mecanismos de atualização.
Saiba Mais:
[1] Secure List http://securelist.com/blog/research/...ccess-control/