Menu

O problema são os direitos de administrador, não o antivírus que você escolher

admin rights problem

Ultimamente, tem havido muita discussão no Reddit e em outras plataformas sobre como é “fácil” desabilitar o ATP do Windows Defender. Os MSPs estão recebendo perguntas de clientes sobre essa preocupação.

Mas essas discussões estão se concentrando completamente na questão errada.

Sim, você pode desativar o Defender ATP (mas esse não é o problema real)

Se você tiver direitos de administrador em um computador, desativar o antivírus é muito simples. Basta abrir a Central de Segurança do Windows e desativá-lo.

Obviamente, isso não é o ideal, mas, honestamente, é o mesmo com qualquer solução antivírus.

O que está faltando nas discussões

Aqui está o que muitas vezes é esquecido nessas conversas: qualquer antivírus pode ser desabilitado com direitos de administrador. CrowdStrike, SentinelOne, Heimdal, Windows Defender – não importa qual fornecedor você esteja usando.

Em qualquer cenário de ataque, assim que alguém obtém direitos de administrador na máquina, o invasor pode eventualmente desativar qualquer proteção que você tenha em execução. Este não é um problema do Defender. É um problema de privilégios.

Por que os direitos de administrador são o verdadeiro alvo de ataques

Veja a recente violação da Marks & Spencer. Os invasores não tiveram sucesso porque encontraram um antivírus fraco para desabilitar.

Eles usaram táticas de engenharia social para obter acesso do usuário e, então, gradualmente aumentaram os privilégios ao longo do tempo.

O padrão de ataque é sempre o mesmo:

  1. comece com uma conta de usuário não elevada
  2. mover-se lateralmente através da rede
  3. comprometer contas com privilégios elevados

Com direitos de administrador, eles podem desativar ferramentas de segurança, acessar dados confidenciais e implantar ransomware.

Os direitos de administrador são o que torna todos os outros ataques possíveis. O antivírus específico em execução se torna uma nota de rodapé quando o invasor obtém esses privilégios.

A solução que faz a diferença

A solução é simples: certifique-se de que os usuários não tenham direitos de administrador. Mesmo como administrador ou fundador, você não deve ter esses direitos.

Uma das primeiras coisas que fizemos ao fundar a Heimdal foi remover meus próprios direitos de administrador.

Por quê? Porque você – o usuário – costuma ser o maior risco.

Sou um alvo de alto valor como fundador e, se não tiver privilégios elevados, não posso comprometer todo o sistema acidentalmente (ou por meio de engenharia social).

Se você não tem direitos, não pode desativar a proteção. Esse é o ponto principal.

O que Heimdal realmente faz sobre isso

Temos detecção de adulteração integrada em qualquer serviço Heimdal.

Os clientes só precisam ativá-la e configurar as ações de resposta apropriadas. Mas aqui está a questão: embora a detecção de adulteração seja útil, a verdadeira proteção vem do gerenciamento adequado de privilégios.

Nossa solução PEDM (Privilege Elevation and Delegation Management) aborda a causa raiz: controlar quem tem direitos de administrador, quando eles os têm e por quanto tempo.

Trata-se de interromper a cadeia de ataque antes mesmo que o antivírus se torne um alvo.

privileged access management solution 1024x683 1

O que dizer aos seus clientes

Quando os clientes relatarem preocupações sobre adulteração de antivírus, redirecione-os para o problema real:

O problema não é a escolha do seu antivírus, mas sim o seu gerenciamento de privilégios.

Qualquer ferramenta de segurança pode ser comprometida se um invasor obtiver direitos de administrador. A solução é impedir esse acesso desde o início.

Faça as perguntas que importam:

  • Quem na sua organização tem direitos de administrador no momento?
  • Por que eles precisam deles permanentemente?
  • Como você saberia se esses privilégios estavam sendo usados ​​indevidamente?
  • Qual é o seu plano quando um usuário privilegiado é comprometido?

Concentre a conversa nos direitos do administrador, não nas marcas de antivírus.

Você pode ter a proteção de endpoint mais cara e sofisticada disponível, mas se seus usuários estiverem executando com privilégios de administrador, você ainda estará vulnerável aos mesmos cenários de adulteração com os quais as pessoas se preocupam com o Defender.

Conclusão: Resolva o problema dos direitos de administrador

As discussões online sobre adulteração de antivírus estão resolvendo o problema errado. Debater qual ferramenta de segurança é mais difícil de desabilitar não faz sentido algum.

Os direitos de administrador são o que permitem a adulteração de ferramentas de segurança em primeiro lugar.

Remova os privilégios desnecessários e os invasores não poderão desabilitar suas proteções – independentemente do antivírus que você estiver executando.

A conversa deveria ser sobre implementar um gerenciamento de privilégios adequado, monitorar o comportamento do usuário e garantir que mesmo usuários comprometidos não possam escalar para o controle em nível de sistema.

É isso que realmente impede a adulteração – não escolher uma marca de antivírus diferente.

Preocupado com sua configuração atual de gerenciamento de privilégios? Fale com seu parceiro de distribuição para uma verificação de configuração e veja como os ambientes de seus clientes realmente se comparam aos vetores de ataque modernos.

Você gostaria de leer

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle