Proteção em camadas – Endpoint – Identidade

[tiagotoledo]

Proteção em camadas – Endpoint – Identidade

https://tiagobigode.com.br/protecao-em- ... tidade-02/

A ideia desse artigo é detalhar em como podemos proteger o usuário da melhor forma possível em minha humilde opinião fecal. Adicionei as camadas em uma ordem e deve ser respeitada.

Esse artigo foi pensado por causa desse outro: Ataque a Uber como se proteger

Solução inicial – Conscientização
Como solução inicial, entendo que devemos educar e treinar nossos usuários/terceiros. Seja em relação a phishing, USBs, engenharia social, T.I. nunca vai pedir sua senha ou que aprove MFA, usar wifi públicos etc.

Entendo que é essencial trabalhar na conscientização e pensando em orçamento é o de mais baixo custo. Apresentar para os usuários esses cenários que comentei acima e os seus riscos. O que devemos fazer quando recebermos e-mails estranhos, ao achar pendrive na rua/mercado/condomínio, ao usar redes públicas etc. Como primeira ação, criar essas campanhas de conscientização. A própria equipe de S.I. pode realizar essas campanhas, gravar vídeos e no onboarding mostrar para os novos colaboradores, aos terceiros etc.

Como segundo passo nessa fase de conscientização, usar uma solução para criar campanhas de phishings e validar se o usuário está aplicando o que aprendeu. E essa solução tem diversos vídeos educacionais, tem formas de avaliar os usuários e tem até um seriado onde mostra como um insider age, muito legal, recomendo.

Solução 01 – Diminuir superfície ataque e privilégio mínimo
Pensando agora na proteção do dispositivo, tenho em mente duas coisas: reduzir a superfície de ataque e o privilégio mínimo. E que 99% dos incidentes começam no endpoint (achismo meu esse número, mas é verdade esse bilhete). Zero-Trust será?!?!


A solução do EPM (Endpoint Privilege Manager) da CyberArk seria minha primeira opção, por justamente trabalhar nos dois pontos mencionados acima. Nenhum usuário será administrador local, só isso por si só reduz drasticamente o que o atacante/malware pode fazer (tem mais coisas perae).

E no nosso mundo não existe ambiente 100% seguro, temos que pensar que, em algum momento o atacante vai conseguir comprometer o dispositivo. E se conseguir?!

Pensando nisso, iremos proteger as credenciais em cache – windows, chrome, putty, open-vpn, filezilla, etc – e caso atacante tente ler credencial em cache irá encontrar uma isca (honeytoken) que ao usar irá disparar o alerta para equipe de S.I. (tem mais coisas perae).

E para aplicações como CMD/powershell vamos adicionar MFA ao executar. Obviamente, usuários que não são de TI terá o acesso bloqueado a esse tipo de ferramenta e para as pessoas autorizadas, terá essa camada de proteção (tem mais coisas perae).

Teremos visibilidade de tudo que elevar privilégio. A informação é o novo petróleo, se for acesso legitimo criamos regra e usuário irá usar sem problemas, sem precisar do admin-local tornando a experiencia do usuário top das galáxias. Se for aplicação crítica porque não pedir MFA, entender como funciona a aplicação e remover permissões desnecessárias (memória, disco, internet etc (tem mais coisas perae)).

Não iremos permitir que usuário instale nada que ele baixe da internet. Para instalar coisas temos um repositório confiável e seguro que o usuário pode acessar e ele mesmo pode instalar. (tem mais coisas perae).

Temos a possibilidade de enviar o arquivo para análise na CyberArk e de terceiros, já integrado na solução, como vírus-total e NSR. Ao visualizar algum executável incomum, só clicar e enviar para ter mais detalhes (tem mais coisas perae).

E a cereja do bolo iremos habilitar a proteção contra ransomware. Antes de habilitar a proteção temos que criar nossa lista de softwares-permitidos, softwares-com-restrição e softwares-bloqueados (iremos impor o privilégio mínimo). O CyberArk LABS, analisou mais de 3 milhões de amostras de ransomware e o EPM teve sucesso em 100% dos casos. Link da análise completa.


link
Solução 02 – Proteger Identidade
Pensando no novo perímetro (home-office) e também que a identidade é o novo perímetro vamos pensar em como protegê-la. Artigo interessante de 2016.


Para atender essa demanda temos aqui uma combinação de funcionalidades: SSO, A-MFA, UBA, WPM (cofre pessoal) e LCM. A solução é o Identity da CyberArk.

SSO (Single Sign-On): com uma única credencial usuário consegue acessar o dispositivo e qualquer outra aplicação necessária para executar suas atividades.

A-MFA (Adaptive Multi-Factor Authentication): iremos aplicar MFA em tudo e em todos os lugares, simples assim. Ao acessar o notebook exigimos token-físico, ao acessar aplicação pedimos o QR-Code e ao acessar aplicação crítica podemos pedir o token e o QR-Code.

UBA (User Behavior Analytics): irá nos permitir criar regras condicionais de acesso. Aplicação-X acessível somente de segunda a sexta das 09:30 às 17:00. Aplicações críticas permitir acesso somente se estiver no escritório, somente de um browser/S.O. específico, que tenha o certificado instalado etc. Será criado linha base do usuário, com isso se o comportamento mudar podemos bloquear o acesso baseado no risco.

WPM (Workforce Password Manager): através de um único portal, usuário acessa todas as aplicações que precisa e fazendo SSO/MFA. O WPM irá nos permitir compartilhar acesso a aplicações corporativas (linkedin, facebook) e o usuário acessa sem saber a senha. O usuário vai ter acesso ao seu cofre-pessoal corporativo onde irá salvar as senhas não privilegiadas e credenciais onde não é possível usar o SSO. Costumamos dizer que é o lastpass corporativo, inclusive conseguimos importar as senhas do lastpass para o WPM. O usuário consegue compartilhar anotações de forma segura e centralizada, diga adeus a planilhas e txts. E aquela aplicação que o próprio usuario fez o onboard e somente ele tem a senha, é possível compartilhar essa credencial quando usuario sair férias ou delegar atividades.

LCM (Lifecycle Management): usuário foi desativado, imediatamente ele perde acesso as aplicações, ele é desprovisionado de todas as aplicações, licença removida, excluído dos grupos etc. E o mesmo vale para o onboarding.

Essa combinação irá facilitar a governança de acesso, precisa de acesso é só adicionar ao grupo, não precisa mais só remover do grupo. E tudo isso com uma experiencia de uso, top das galáxias.

Solução 03 – AV-NG e EDR
Como terceira solução, é o clássico antivírus, mas com detecção baseado em comportamento que é chamado de AV-NG e não podemos esquecer do EDR. Estamos falando de proteção em camadas, uma solução não exclui a outra, elas se complementam (caso tenha pensado: tenho o EPM não preciso de AV-NG ou vice-versa).

A solução aqui é da Crowdstrike. Que além da proteção baseado em comportamento (AV-NG) o EDR tem um papel muito importante aqui, visibilidade em tudo e em tempo real do que está acontecendo no endpoint e irá nos ajudar a melhorar nosso tempo de resposta a algum incidente e priorizar as análises baseado em risco.

Irá nos permitir controlar o uso de USB, que é uma porta de entrada gigante, mas tipo colossal quando pensamos em infecções de todos os tipos. Temos que pensar que o usuário pode comprar pendrive em lugares obscuros (sem intenção) e plugar no dispositivo. Já ouvi histórias onde o atacante colocou o malware em um mouse, roubou/escondeu o mouse do usuário, quando usuário foi procurar o mouse não achou e o atacante oferece mouse e ao plugar já era. Ou o atacante pode te distrair e outra pessoa vem e pluga o pendrive e o malware é auto instalado. Tem bastante cenários possíveis, então protejam o USB.


Precisamos ter regras de firewall configuradas no endpoint. Ter regras mais restritivas quando usuário estiver fora da rede corporativa, que hoje em dia é bem comum. E teremos visibilidade de potenciais ameaças de rede ou anomalias que irá gerar dados para nosso SIEM que ao correlacionar os dados pode prevenir ataques.

Temos a possibilidade de isolar o dispositivo em caso de suspeitas. E através de um shell-reverso conseguimos conectar e analisar remotamente o dispositivo.

E a telemetria coletada pode ser usada no SIEM para correlacionar eventos e através da integração outras soluções podem acionar o isolamento do dispositivo.

Resumindo:

Teremos proteção baseada em comportamento;
Visibilidade de tudo o que acontece no endpoint em tempo real;
Protege o USB;
Isola o dispositivo;
Shell-reverso;
Permite que outras soluções isolem o dispositivo;
Solução 04 – Roubo da informação e comportamento do usuário
Com as camadas de segurança em vigor a próxima solução irá nos proteger do roubo/perda de informação. Seja de um Insider ou atacante externo.

A solução que irá nos ajudar nesse pilar o DLP Endpoint da Forcepoint e uma solução específica para comportamento do usuário, Risk-Adaptive Protection. E obviamente que as duas tem uma integração, quando usuário tenta exfiltrar algum dado o risco sobe e conseguimos aplicar regras de DLP baseado em risco. É ou não é um tesão?!?!

Começando pelo RAP (Risk-Adaptive-Protection) onde a ideia é monitorar o que usuário faz e para cada ação o risco vai aumentando, talvez uma ação sozinha não seja um risco, mas uma sequência de ações pode ser um risco. Exemplos:

Limpar log do sistema
Desabilitar firewall
Se candidatar a vaga de emprego
Fazer download de documentos que estão na nuvem
Copiar arquivos para USB
Copiar texto para documento em branco
Tirar prints
Zipar e/ou criptografar arquivos
Upload para nuvem pessoal

Essas ações nós chamamos de IOBs (Indicators of behaviors) e com o passar do tempo o risco vai diminuindo. Se foi uma ação isolada o risco sobe um pouco e com o tempo esse risco diminui automaticamente. Dependendo do risco podemos aplicar regras mais rígidas.

Outra solução clássica é o DLP de endpoint, onde iremos monitorar todos os canais que o usuário poderia extraviar informação. Exemplo:

Enviar documento com 1 CPF por e-mail é permitido, com 3 CPFs aparece pop-up e usuário justifica, acima de 3 é bloqueado;
Enviar para USB temos a opção de permitir, mas será criptografado. Só pode ser aberto no seu dispositivo, em qualquer outro não é possível;
Impedir usuário de zipar documentos com informações sensíveis;
Copiar e colar, conseguimos bloquear;
Conseguimos impedir o envio de e-mails para domínios externos que tenha informações sensíveis;
Monitorar palavras chaves;
Etc
Solução 05 – Acesso de terceiro
Adicionamos essas soluções para proteger o negócio e o escopo é todos os usuários. Não faria sentido permitir um terceiro acessar nossos recursos sem as camadas de proteção, acho que é bem plausível disponibilizar um dispositivo para o terceiro ou o terceiro disponibiliza e instalarmos as camadas nesse dispositivo.

Mesmo para as soluções SaaS temos que ter as proteções, penso que é igual comprar seguro, todos pagamos esperando nunca usar. Acredito que com essas proteções o CASB não é necessário, mas dependendo do orçamento pode ser uma opção.

E ainda podemos trabalhar com certificado, garantido que mesmo as aplicações SaaS sejam acessadas somente em dispositivos confiáveis. A solução do Identity deve tratar esse tema.

Solução 06 – Navegação
Nossa próxima proteção é o filtro de conteúdo, onde iremos proteger o usuário ao acessar ou clicar em sites de risco ou não classificados. A solução é o Forcepoint-ONE

É uma solução simples e eficaz. Basicamente iremos criar as regras para bloquear as categorias que desejamos bloquear, mais simples impossível.

A solução tem uma base de dados com relação ao risco que aquele site representa, bloquear esse tipo de site é essencial. E existem inúmeras categorias como bot-nets, keyloggers, phishing and frauds, spyware and adware etc. E sites sem classificação com certeza merece ser bloqueado, bem provável é site que foi recentemente criado e o seguro morreu de velho.

Dependendo da necessidade e do negócio, alguns desses precisam ser acessados e para garantir segurança no acesso nós podemos contar com o RBI (Remote Browser Isolarion) e CDR (Content Disarm e Reconstrution).

RBI: quando usuário acessar o site ele é redirecionado para proxy e a navegação continua normal para usuário, mas a execução não é local é no nosso proxy. É um streaming do site para máquina do usuário, se a página contiver algum script ou clicar em algo, podemos ficar tranquilo que o usuário está em segurança.


CDR: caso usuario precise realizar download de algum documento desses sites o CDR irá nos proteger. Ele não é baseado em assinatura, o documento é literalmente descontruído e construído novamente do outro lado. Se tiver algum código malicioso ou qualquer coisa que não faça parte do arquivo (esteganografia por exemplo) é removido. Não analisamos o arquivo em busca de código malicioso ou palavras chaves, nós sabemos o que é um arquivo JPG por exemplo e tudo que não for é removido, simples assim.

E o legal do CDR é que é uma solução standalone, conseguimos usar ele em diversos outros cenários. Um cenário importante a se considerar é a equipe de RH que recebe muitos arquivos dos candidatos e ali pode conter alguma macro/código malicioso e com isso comprometer a máquina. Ao fazer upload do arquivo ele passa pelo CDR e depois disso é entregue para o RH. Imagine isso no mundo financeiro, call-center etc.

Palavras chaves: proteção endpoint, proteção em camadas, proteção em profundidade, conscientização, cyberark, crowdstrike, forcepoint, knowbe4, mfa, sso, identity, uba, identidade, wpm, novo perímetro, lcm, epm, dlp,