Como defender redes Windows contra ataques cibernéticos destrutivos

Como defender redes Windows contra ataques cibernéticos destrutivos

A defesa contra ataques destinados a destruir sistemas ao invés de roubar ou extorquir requer uma abordagem diferente. Ao menos, foi o que os ataques cibernéticos da Rússia contra a Ucrânia demonstraram. Então, aprenda como defender redes Windows contra esse tipo de ataque.

defender redes windows

Os ataques cibernéticos russos a organizações ucranianas nos lembram que o invasor nem sempre está procurando roubar dados ou extorquir dinheiro. Às vezes, eles só querem causar o máximo de dano possível. Portanto, tanto a Microsoft quanto a Mandiant divulgaram recentemente informações sobre esses ataques destrutivos e como se proteger melhor contra eles.

Contudo, independentemente da localização geográfica, todos nós podemos aprender como esses ataques ocorrem e são mitigados. Os ataques foram extremos em sua destruição. Como a Microsoft observou em seu blog, “o malware neste caso substitui o MBR [registro mestre de inicialização] sem nenhum mecanismo de recuperação”.

Isso faz com que o sistema não seja inicializável e não possa ser reparado sem uma reinstalação completa ou recuperação de um backup completo do sistema. Portanto, a primeira lição sobre como defender redes Windows é garantir que você tenha as ferramentas e os recursos para reimplantar totalmente as imagens da sua estação de trabalho ou tenha capacidade total para recuperar suas plataformas.

O documento da Mandiant fornece informações acionáveis ​​sobre as melhores maneiras de se proteger contra danos e destruição de ataques semelhantes. Então, à medida que você analisa o documento, considere se você tem essas proteções em vigor.

Proteja dispositivos e sistemas externos com autenticação multifator

A Mandiant recomenda começar com os externos. Há muito tempo temos uma rede interna frágil e uma casca endurecida. No entanto, uma vez que o exterior é penetrado, é relativamente fácil lançar ataques laterais dentro dos recursos do seu escritório. Portanto, primeiro analise se seus dispositivos externos e qualquer outra coisa que permita acesso remoto requer autenticação multifator.

Ninguém ou nada deve ser capaz de fazer login com um mero nome de usuário e senha. Portanto, para defender redes Windows, revise cada dispositivo de borda para determinar se o dispositivo suporta nativamente o uso de um aplicativo autenticador em vez de uma mera senha. Nem sempre é necessário estar absolutamente seguro, apenas um pouco mais seguro do que a rede próxima à sua.

Identifique alvos de alto valor em sua rede

Revise sua rede em busca de alvos de alto valor que possam ser alvo de ataques destrutivos. E o recurso chave que você tem não é revolucionário. Na verdade, ele está conosco há anos: o backup. Ou seja, você precisa ter uma rotação de backups para garantir que tenha mídia de backup fora do local e fora do domínio. 

Afinal, se todos os seus locais de backup forem ingressados ​​no domínio e o invasor puder acessar esse local, seus próprios backups poderão ser afetados. Então, o acesso à infraestrutura de virtualização deve ser feito por meio de contas limitadas projetadas e protegidas para ter esse acesso. Portanto, novamente, considere a autenticação de dois fatores e outros processos de acesso privilegiado quando se trata de proteger o HyperV e outras plataformas de virtualização.

Proteção contra movimentos laterais

Revise quais proteções você tem para o movimento lateral. Implantar uma solução de senha de administrador local (LAPS) pode garantir que o movimento lateral não ocorra devido a uma senha administrativa local compartilhada. No entanto, vale revisar seu uso das portas de firewall típicas que os invasores terão como alvo para acesso lateral, portas 445, 135 e 139. Não obstante, para defender sua rede Windows, determine quais estações de trabalho e servidores estão escutando nessas portas e a melhor maneira de isolar e limitar as portas de firewall em sua rede.

Revise o uso e a exposição de protocolos remotos

Certifique-se de que você não tenha o Remote Desktop Protocol (RDP) exposto ao exterior em primeiro lugar. Contudo, se você o tiver exposto, limite o RDP apenas aos dispositivos que o exigem.

Como a Mandiant aponta, os protocolos remotos que você deve bloquear em seus dispositivos sensíveis incluem:

  • Compartilhamento de Arquivos e Impressão;
  • Área de Trabalho Remota;
  • Instrumentação de Gerenciamento do Windows (WMI);
  • Gerenciamento remoto do Windows. 

Isso significa que você precisará revisar como sua equipe de TI gerencia e mantém os sistemas a fim de defender suas redes Windows. Afinal, a maneira antiga de simplesmente se conectar remotamente a servidores e desktops não é mais segura. Então, certifique-se de que seus próprios processos de gerenciamento não estejam introduzindo insegurança no processo.

Verifique se há senhas expostas ou herdadas

Nomes de usuário e senhas são um ponto de acesso chave e, portanto, um ponto de ataque chave. Os humanos geralmente reutilizam as senhas, e os aplicativos geralmente colocam credenciais nos sistemas e apresentam pontos fracos como resultado. Não obstante, a Mandiant ressalta que muitas vezes temos senhas ocultas deixadas para trás em nossas redes e que não estamos cientes do risco.

Muitos de nós temos redes do Active Directory (AD) que foram atualizadas ao longo do tempo de uma infraestrutura AD mais antiga e menos segura. Talvez ainda tenhamos muitas dessas configurações legadas em nossa rede. Caso em questão é a configuração WDigest. Embora a autenticação WDigest agora esteja desabilitada por padrão no Windows 8.1 e no Windows Server 2012 R2 e posterior, você ainda pode ter senhas de texto simples armazenadas na memória LSASS para dar suporte à autenticação. Portanto, a Mandiant recomenda que você envie a chave de registro abaixo para bloquear o salvamento de senhas:

HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential

REG_DWORD = “0”

 

Também há sistemas legados com a senha do WDigest salva e deixada para trás, facilitando para os invasores coletar essas informações.

Implementar o Windows Defender Credential Guard

O Credential Guard é “um serviço do Windows que protege as credenciais de serem retiradas de uma máquina. Ele protege os segredos usados ​​pelo Windows para logon único de serem roubados e usados ​​em outras máquinas.” O Windows documentou APIs que permitem que o software acesse credenciais e segredos que estão sendo executados na memória. Contudo, a Microsoft não pode desabilitar essas APIs porque todos construímos software de linha de negócios para confiar nelas. Então, a execução do Credential guard torna mais difícil para os invasores acessar essas credenciais.

A maioria das recomendações da Mandiant para defender redes Windows pode ser feita nas redes que temos atualmente. Ou seja, não precisamos de uma nova implantação de sistema operacional de servidor ou estações de trabalho no Windows 11 para implementar muitas dessas recomendações. Tudo o que precisamos é de testes e tempo para fazer os ajustes necessários na forma como nossas redes são implementadas. Aproveite o tempo agora para tornar sua rede mais difícil de ataques. Certifique-se de que os invasores se movam para a rede menos segura no caminho, em vez de atacar você.

Para isso, você pode contar com o suporte técnico de uma empresa de TI com experiência em segurança.

Sobre a Infonova

A Infonova já atendeu mais de 135 clientes dos mais diversos segmentos, desde corporate, governo, PME até indústria do entretenimento e saúde. Você pode conferir a lista completa de clientes satisfeitos da Infonova aqui.

A Infonova usa uma metodologia consolidada. Portanto, essa empresa de TI conta com depoimentos da maioria de seus clientes garantindo a qualidade do atendimento.

Em relação à confiança, a Infonova comprova sua transparência e seriedade logo no início do nosso contrato. Afinal, é quando realiza uma visita inicial de manutenção intensiva em todos os computadores da sua empresa e também servidores.

Inclusive, se você pedir, a Infonova oferece um mapeamento de todo seu ambiente de TI.  Afinal, seu interesse é conhecer toda sua infraestrutura e, de cara, resolver todas as suas dores.

Resumindo, a Infonova faz um diagnóstico para identificar como está a sua TI. Então, avalia o que está bom, resolvemos o que está ruim e cria um projeto para o que é possível melhorar. Tudo isso sem custo. Ou seja, a Infonova conta com as melhores condições custo-benefício do mercado. Especialmente em relação a automação da infraestrutura em nuvem e outras inovações.

Perfil Infonova

A expertise da Infonova permite fornecer atendimento técnico local com escalas flexíveis definidas pelo cliente. Estas incluem:

  • Atendimento por demanda;
  • Disponibilização de equipes com 1 técnico local e retaguarda especializada; 
  • Equipes completas com até 200 profissionais qualificados para assumir parte ou toda a operação de TI.
Colaboradores

O trabalho executado pela equipe da Infonova é primoroso. Afinal, essa empresa de TI se preocupa com seus funcionários. Ou seja, a Infonova oferece participação nos lucros aos seus colaboradores a fim de mantê-los sempre motivados. Além disso, a contratação dos analistas é CLT Full, o que reduz o turnover e aumenta a confiança. 

Soluções

A Infonova tem soluções voltadas para PMEs, Governo e Corporate. Contudo, todas essas soluções compreendem modelos flexíveis com início rápido e transição sem dor.

Para saber mais sobre os serviços da Infonova e sinais de alerta sobre seu treinamento de TI, entre em contato pelo (11) 2246-2875 ou clique aqui.

Se quer saber mais sobre o que nossos clientes têm a dizer sobre nossos serviços, baixe gratuitamente nossos cases exclusivos.

 

 

Facebook
Twitter
LinkedIn

posts relacionados

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Já vai?

Receba conteúdos exclusivos e gratuitos direto no seu e-mail, para ler sem pressa ;)

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA