Quando a segurança é bem executada, nem sempre é conveniente. A segurança avançada, pode significar pequenos inconvenientes aos MSPs e seus funcionários. Mas o aumento dos ataques de ransomware requer medidas de segurança e ambientes aprimorados, fazendo com que pequenos inconvenientes valham a pena a longo prazo. Neste artigo, examinaremos algumas opções de como você pode proteger seu painel de controle do N-able N-sight RMM. Confira!
Autenticação multifator
Por mais fácil que seja habilitar a autenticação multifator (MFA), a necessidade de ter seu smartphone por perto para recuperar uma senha é um inconveniente suficiente para que alguns usuários resistam a usá-la, mesmo dentro de um MSP. O poder que o MFA fornece para impedir o acesso não autorizado, no entanto, vale a pena.
Por que usar o MFA?
Todos estão cientes de que e-mails de phishing, cavalos de troia, RATS e registradores de pressionamento de tecla podem facilitar a exfiltração das credenciais de um usuário. Portanto, administradores de sistema, técnicos de suporte de help desk e outras funções de TI não estão imunes a esses tipos de ataques. Se você não estiver usando MFA em sua própria organização, uma vez que um invasor tenha essas credenciais, as barreiras que o impedem de explorar essas credenciais são significativamente reduzidas. O MFA melhora a proteção contra a ameaça de um invasor ter acesso ao painel do RMM porque ele tem o endereço de e-mail e a senha de um usuário. Os cinco minutos diários gastos recuperando as senhas do MFA valem a pena a proteção adicional que eles fornecem.
Saiba como configurar o MFA no N-able N-sight RMM.
Restringir o acesso com base no IP
Por padrão, o N-able N-sight RMM irá pedir-lhe para confirmar a sua identidade através de um e-mail quando iniciar sessão a partir de um novo endereço IP pela primeira vez. Qualquer pessoa que usa RMM viu esses e-mails e alguns consideram-nos inconvenientes. Esta é outra situação em que o e-mail ocasional pode ser inconveniente, mas eles têm uma função importante de garantir que os logins de novos endereços IP tenham que passar por uma verificação adicional de “prova de identidade”. Existe uma maneira de superar a desvantagem de detectar automaticamente o novo IP usando uma lista de endereços IP aprovados.
Por que restringir o acesso ao RMM com uma lista de IP?
Como com o MFA, o objetivo da restrição de IP é evitar que um invasor que obtenha credenciais para seu RMM efetue login apenas com essas credenciais. Ou seja, se um invasor conseguiu as credenciais de login de RMM de um usuário, ele também pode ter acesso à conta de e-mail desse usuário.
Sendo assim, isso permitiria que eles derrotassem com sucesso a detecção automática de nova verificação de e-mail de IP. Ao desabilitar o recurso de detecção automática e usar uma lista pré-aprovada de endereços IP, você pode restringir o acesso ao seu RMM apenas àqueles endereços IP pré-aprovados.
Existem maneiras convenientes e menos convenientes de lidar com sua lista de endereços IP pré-aprovada. Uma delas é garantir que todos os usuários do painel RMM acessem a solução de um local centralizado.
Nesse sentido, isso pode ser fisicamente de seu escritório principal ou por meio de uma VM jumpbox, se os usuários estiverem trabalhando em casa. Outra opção é fazer com que todos os usuários do painel RMM obtenham IPs estáticos de seu ISP. Isso tem um custo adicional, mas pode valer a pena manter essa postura de segurança aprimorada.
Saiba como configurar uma lista de IPs aprovados.
Sessão expirada
Técnicos e engenheiros de sistema estão sempre em alta demanda e podem ser puxados em diferentes direções a qualquer momento. Embora a melhor prática seja bloquear sua estação de trabalho quando você estiver ausente, é comum que se esqueça de fazer isso. O N-able N-sight RMM pode expirar a sessão de um usuário após algum tempo para garantir a segurança.
Por que usar o tempo limite da sessão?
Para os impacientes, isso ser outro inconveniente. A frustração de ter que fazer login e recuperar uma senha MFA várias vezes ao dia pode rapidamente fazer com que alguns desabilitem o tempo limite da sessão. Isso, é claro, enfraquece a segurança, pois os usuários podem permanecer logados por muito tempo depois de não estarem mais presentes. Pode ser uma estação de trabalho pública desbloqueada na qual um técnico de campo se conectou enquanto estava no local ou pode ser uma conta do sistema que foi deixada aberta, qualquer uma das quais pode ser comprometida por um invasor, permitindo o acesso ao seu painel.
Os tempos limite de sessão não acontecem sem aviso prévio, portanto, enquanto um usuário estiver usando ativamente o painel do RMM, sua sessão permanecerá aberta e eles receberão um aviso antes da sessão ser encerrada.
Saiba mais sobre as configurações de tempo limite da sessão.
Siga o menor privilégio para obter permissões
Um ponto central da segurança de TI é dar aos usuários apenas o mínimo de privilégios necessários para que realizem seu trabalho. O N-able N-sight RMM tem um amplo conjunto de permissões para ajudar a controlar o que um usuário pode ver ou fazer no RMM.
Por que restringir os recursos de um usuário no RMM?
Assim como toda a equipe de TI não recebe permissões de administrador corporativo em um domínio, nem todos os usuários devem ter todas as permissões habilitadas no RMM.
Embora seja conveniente que qualquer usuário tenha a capacidade de fazer qualquer coisa a qualquer momento no RMM, isso também cria uma superfície de ataque maior do que a garantida. Um excelente exemplo de permissão que você não deve dar a todos os usuários é a capacidade de fazer upload de novas tarefas ou scripts automatizados. Técnicos juniores ou agentes mal-intencionados com a capacidade de fazer upload de novos scripts para o RMM podem causar sérios danos.
Portanto, restringir essa permissão para apenas uma única conta pode melhorar a segurança. Além disso, pode melhorar o controle de qualidade no ambiente, forçando qualquer nova tarefa a ser verificada.
Há uma grande seleção de permissões no N-able N-sight RMM. Levará mais do que apenas alguns minutos para revisar todas, mas vale a pena o tempo.
Saiba mais sobre as permissões no N-able N-sight RMM.
Pratique boa higiene cibernética e segurança internamente
Uma corrente é tão forte quanto seu elo mais fraco. Um MSP deve sempre se esforçar para garantir que as operações internas e a segurança não permitam invasões em ambientes gerenciados. Sendo assim, seguir uma estrutura de segurança robusta pode ajudá-lo a indicar seus processos e controles técnicos para melhorar sua própria segurança, bem como expor oportunidades para expandir seu portfólio de serviços.
Resumo
Embora a segurança seja um esforço sem fim que requer vigilância e recursos constantes, existem coisas que você pode fazer hoje para melhorar a segurança do N-able N-sight RMM:
- Habilite o MFA para todos os usuários RMM e para acesso ao e-mail.
- Restrinja o acesso ao RMM a uma lista de endereços IP pré-aprovados. Considere fazer com que os usuários façam login a partir de VMs protegidas que são redefinidas semanalmente ou diariamente.
- Habilite tempos limite de sessão para usuários do painel RMM.
- Siga o princípio de menor privilégio para as permissões do usuário.
- Pratique o que você prega. Certifique-se de que seus sistemas internos estejam devidamente corrigidos, monitorados e protegidos. Principalmente, por uma ferramenta de proteção de endpoint de última geração com recursos de detecção e remediação como N-able Endpoint Detection and Response (EDR). Certifique-se de que todos os usuários usem um gerenciador de senhas para desencorajar a reutilização de senhas e habilitar a auditoria.