m1018-user-account-management

# M1018 — User Account Management ## Descrição O User Account Management envolve a implementação e aplicação de políticas para o ciclo de vida das contas de usuário, incluindo criação, modificação e desativação. O gerenciamento adequado de contas reduz a superfície de ataque ao limitar acessos não autorizados, gerenciar privilégios de contas e garantir que as contas sejam usadas de acordo com as políticas organizacionais. Esta mitigação pode ser implementada por meio das seguintes medidas: Aplicar o Princípio do Menor Privilégio - Implementação: Atribuir aos usuários apenas as permissões mínimas necessárias para executar suas funções. Auditar contas regularmente para garantir que nenhuma permissão excessiva seja concedida. - Caso de uso: Reduz o risco de escalada de privilégios ao garantir que contas não possam executar ações não autorizadas. Implementar Políticas de Senha Robustas - Implementação: Aplicar requisitos de complexidade de senha (ex: comprimento, tipos de caracteres). Exigir expiração de senha a cada 90 dias e proibir reutilização de senhas. - Caso de uso: Previne que adversários obtenham acesso não autorizado por meio de adivinhação de senhas ou ataques de força bruta. Gerenciar Contas Dormentes e Órfãs - Implementação: Implementar workflows automatizados para desabilitar contas após um período de inatividade definido (ex: 30 dias). Remover contas órfãs (ex: contas sem proprietário atribuído) durante auditorias regulares de contas. - Caso de uso: Elimina contas dormentes que poderiam ser exploradas por atacantes. Políticas de Bloqueio de Conta - Implementação: Configurar limites de bloqueio de conta (ex: bloquear contas após cinco tentativas de login malsucedidas). Definir duração de bloqueio para no mínimo 15 minutos. - Caso de uso: Mitiga técnicas de ataque automatizadas que dependem de tentativas repetidas de login. Autenticação Multifator (MFA) para Contas de Alto Risco - Implementação: Exigir MFA para todas as contas administrativas e usuários de alto risco. Utilizar mecanismos de MFA como tokens de hardware, aplicativos autenticadores ou biometria. - Caso de uso: Previne acesso não autorizado, mesmo que credenciais sejam roubadas. Restringir Logins Interativos - Implementação: Restringir logins interativos para contas privilegiadas a sistemas seguros específicos ou consoles de gerenciamento. Usar políticas de grupo para aplicar restrições de logon. - Caso de uso: Protege contas sensíveis contra uso indevido ou exploração. *Ferramentas para Implementação* Ferramentas Nativas: - Microsoft Active Directory (AD): Gerenciamento centralizado de contas e aplicação de RBAC. - Group Policy Object (GPO): Aplicar políticas de senha, restrições de logon e políticas de bloqueio de conta. Ferramentas de Identity and Access Management (IAM): - Okta: Provisionamento centralizado de usuários, MFA e integração SSO. - Microsoft Azure Active Directory: Fornece gerenciamento avançado de ciclo de vida de contas, acesso baseado em funções e políticas de acesso condicional. Privileged Account Management (PAM): - CyberArk, BeyondTrust, Thycotic: Gerenciar e monitorar uso de contas privilegiadas, aplicar gravação de sessões e acesso JIT. ## Fluxo de Implementação ```mermaid graph TB A["Inventariar Contas Mapear todas as contas ativas"] --> B["Aplicar Least Privilege Revisar e reduzir permissões"] B --> C["Gerenciar Ciclo de Vida Criar, modificar, desativar"] C --> D["Configurar Lockout Política de bloqueio por falha"] D --> E["Auditar Periodicamente Contas dormentes e órfãs"] ``` ## Contexto LATAM > [!globe] Relevância Regional > O gerenciamento de contas é crítico no contexto brasileiro dado o alto índice de uso de contas compartilhadas e genéricas em ambientes corporativos. Ataques de [[t1078-valid-accounts|T1078 — Valid Accounts]] são frequentes em campanhas de ransomware contra o setor financeiro e de saúde no Brasil. > - Adoção em SOCs brasileiros: médio > - Regulamentações relevantes: LGPD (controle de acesso a dados pessoais), BACEN 4893 (gestão de identidade para IFs), ISO 27001 (amplamente adotado por empresas brasileiras) > - Desafios regionais: ambientes heterogêneos (on-prem + cloud), falta de IAM centralizado em PMEs, resistência à desativação de contas de ex-colaboradores ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1580 | [[t1580-cloud-infrastructure-discovery\|T1580 — Cloud Infrastructure Discovery]] | | T1677 | [[t1677-poisoned-pipeline-execution\|T1677 — Poisoned Pipeline Execution]] | | T1078.002 | [[t1078-002-domain-accounts\|T1078.002 — Domain Accounts]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1040 | [[t1040-network-sniffing\|T1040 — Network Sniffing]] | | T1578 | [[t1578-modify-cloud-compute-infrastructure\|T1578 — Modify Cloud Compute Infrastructure]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1021.008 | [[t1021-008-direct-cloud-vm-connections\|T1021.008 — Direct Cloud VM Connections]] | | T1574.010 | [[t1574-010-services-file-permissions-weakness\|T1574.010 — Services File Permissions Weakness]] | | T1213.004 | [[t1213-004-customer-relationship-management-software\|T1213.004 — Customer Relationship Management Software]] | | T1578.005 | [[t1578-005-modify-cloud-compute-configurations\|T1578.005 — Modify Cloud Compute Configurations]] | | T1098.004 | [[t1098-004-ssh-authorized-keys\|T1098.004 — SSH Authorized Keys]] | | T1619 | [[t1619-cloud-storage-object-discovery\|T1619 — Cloud Storage Object Discovery]] | | T1053 | [[t1053-scheduled-taskjob\|T1053 — Scheduled Task/Job]] | | T1556.006 | [[t1556-006-multi-factor-authentication\|T1556.006 — Multi-Factor Authentication]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | | T1036 | [[t1036-masquerading\|T1036 — Masquerading]] | | T1610 | [[t1610-deploy-container\|T1610 — Deploy Container]] | | T1197 | [[t1197-bits-jobs\|T1197 — BITS Jobs]] | | T1537 | [[t1537-transfer-data-to-cloud-account\|T1537 — Transfer Data to Cloud Account]] | | T1562.008 | [[t1562-008-disable-or-modify-cloud-logs\|T1562.008 — Disable or Modify Cloud Logs]] | | T1562.013 | [[t1562-013-disable-or-modify-network-device-firewall\|T1562.013 — Disable or Modify Network Device Firewall]] | | T1556.009 | [[t1556-009-conditional-access-policies\|T1556.009 — Conditional Access Policies]] | | T1566.003 | [[t1566-003-spearphishing-via-service\|T1566.003 — Spearphishing via Service]] | | T1546.003 | [[t1546-003-windows-management-instrumentation-event-subscription\|T1546.003 — Windows Management Instrumentation Event Subscription]] | | T1547.009 | [[t1547-009-shortcut-modification\|T1547.009 — Shortcut Modification]] | | T1578.003 | [[t1578-003-delete-cloud-instance\|T1578.003 — Delete Cloud Instance]] | | T1134 | [[t1134-access-token-manipulation\|T1134 — Access Token Manipulation]] | | T1543.004 | [[t1543-004-launch-daemon\|T1543.004 — Launch Daemon]] | | T1047 | [[t1047-windows-management-instrumentation\|T1047 — Windows Management Instrumentation]] | | T1134.001 | [[t1134-001-token-impersonationtheft\|T1134.001 — Token Impersonation/Theft]] | | T1566.001 | [[t1566-001-spearphishing-attachment\|T1566.001 — Spearphishing Attachment]] | | T1609 | [[t1609-container-administration-command\|T1609 — Container Administration Command]] | | T1550.003 | [[t1550-003-pass-the-ticket\|T1550.003 — Pass the Ticket]] | | T1654 | [[t1654-log-enumeration\|T1654 — Log Enumeration]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | | T1098.001 | [[t1098-001-additional-cloud-credentials\|T1098.001 — Additional Cloud Credentials]] | | T1053.007 | [[t1053-007-container-orchestration-job\|T1053.007 — Container Orchestration Job]] | | T1484.001 | [[t1484-001-group-policy-modification\|T1484.001 — Group Policy Modification]] | | T1547.006 | [[t1547-006-kernel-modules-and-extensions\|T1547.006 — Kernel Modules and Extensions]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | | T1569 | [[t1569-system-services\|T1569 — System Services]] | | T1666 | [[t1666-modify-cloud-resource-hierarchy\|T1666 — Modify Cloud Resource Hierarchy]] | | T1213.002 | [[t1213-002-sharepoint\|T1213.002 — Sharepoint]] | | T1543.002 | [[t1543-002-systemd-service\|T1543.002 — Systemd Service]] | | T1485.001 | [[t1485-001-lifecycle-triggered-deletion\|T1485.001 — Lifecycle-Triggered Deletion]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1550.002 | [[t1550-002-pass-the-hash\|T1550.002 — Pass the Hash]] | | T1555.005 | [[t1555-005-password-managers\|T1555.005 — Password Managers]] | | T1484 | [[t1484-domain-or-tenant-policy-modification\|T1484 — Domain or Tenant Policy Modification]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1548 | [[t1548-abuse-elevation-control-mechanism\|T1548 — Abuse Elevation Control Mechanism]] | | T1562.006 | [[t1562-006-indicator-blocking\|T1562.006 — Indicator Blocking]] | | T1078.003 | [[t1078-003-local-accounts\|T1078.003 — Local Accounts]] | | T1562.012 | [[t1562-012-disable-or-modify-linux-audit-system\|T1562.012 — Disable or Modify Linux Audit System]] | | T1547.013 | [[t1547-013-xdg-autostart-entries\|T1547.013 — XDG Autostart Entries]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1675 | [[t1675-esxi-administration-command\|T1675 — ESXi Administration Command]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1484.002 | [[t1484-002-trust-modification\|T1484.002 — Trust Modification]] | | T1578.001 | [[t1578-001-create-snapshot\|T1578.001 — Create Snapshot]] | | T1606.002 | [[t1606-002-saml-tokens\|T1606.002 — SAML Tokens]] | | T1134.002 | [[t1134-002-create-process-with-token\|T1134.002 — Create Process with Token]] | | T1053.005 | [[t1053-005-scheduled-task\|T1053.005 — Scheduled Task]] | | T1566.002 | [[t1566-002-spearphishing-link\|T1566.002 — Spearphishing Link]] | | T1555.003 | [[t1555-003-credentials-from-web-browsers\|T1555.003 — Credentials from Web Browsers]] | | T1199 | [[t1199-trusted-relationship\|T1199 — Trusted Relationship]] | | T1110.004 | [[t1110-004-credential-stuffing\|T1110.004 — Credential Stuffing]] | | T1185 | [[t1185-browser-session-hijacking\|T1185 — Browser Session Hijacking]] | | T1195 | [[t1195-supply-chain-compromise\|T1195 — Supply Chain Compromise]] | | T1021.004 | [[t1021-004-ssh\|T1021.004 — SSH]] | | T1562.007 | [[t1562-007-disable-or-modify-cloud-firewall\|T1562.007 — Disable or Modify Cloud Firewall]] | | T1134.003 | [[t1134-003-make-and-impersonate-token\|T1134.003 — Make and Impersonate Token]] | | T1489 | [[t1489-service-stop\|T1489 — Service Stop]] | | T1657 | [[t1657-financial-theft\|T1657 — Financial Theft]] | | T1110 | [[t1110-brute-force\|T1110 — Brute Force]] | | T1485 | [[t1485-data-destruction\|T1485 — Data Destruction]] | | T1548.005 | [[t1548-005-temporary-elevated-cloud-access\|T1548.005 — Temporary Elevated Cloud Access]] | | T1538 | [[t1538-cloud-service-dashboard\|T1538 — Cloud Service Dashboard]] | | T1087 | [[t1087-account-discovery\|T1087 — Account Discovery]] | | T1550 | [[t1550-use-alternate-authentication-material\|T1550 — Use Alternate Authentication Material]] | | T1053.002 | [[t1053-002-at\|T1053.002 — At]] | | T1053.003 | [[t1053-003-cron\|T1053.003 — Cron]] | | T1547.004 | [[t1547-004-winlogon-helper-dll\|T1547.004 — Winlogon Helper DLL]] | | T1569.003 | [[t1569-003-systemctl\|T1569.003 — Systemctl]] | | T1505.003 | [[t1505-003-web-shell\|T1505.003 — Web Shell]] | | T1006 | [[t1006-direct-volume-access\|T1006 — Direct Volume Access]] | | T1552.007 | [[t1552-007-container-api\|T1552.007 — Container API]] | | T1543.005 | [[t1543-005-container-service\|T1543.005 — Container Service]] | | T1562.004 | [[t1562-004-disable-or-modify-system-firewall\|T1562.004 — Disable or Modify System Firewall]] | | T1648 | [[t1648-serverless-execution\|T1648 — Serverless Execution]] | | T1213.003 | [[t1213-003-code-repositories\|T1213.003 — Code Repositories]] | | T1613 | [[t1613-container-and-resource-discovery\|T1613 — Container and Resource Discovery]] | | T1547.012 | [[t1547-012-print-processors\|T1547.012 — Print Processors]] | | T1543.003 | [[t1543-003-windows-service\|T1543.003 — Windows Service]] | | T1213.006 | [[t1213-006-databases\|T1213.006 — Databases]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1528 | [[t1528-steal-application-access-token\|T1528 — Steal Application Access Token]] | | T1490 | [[t1490-inhibit-system-recovery\|T1490 — Inhibit System Recovery]] | | T1036.010 | [[t1036-010-masquerade-account-name\|T1036.010 — Masquerade Account Name]] | | T1053.006 | [[t1053-006-systemd-timers\|T1053.006 — Systemd Timers]] | | T1562.001 | [[t1562-001-disable-or-modify-tools\|T1562.001 — Disable or Modify Tools]] | | T1574.005 | [[t1574-005-executable-installer-file-permissions-weakness\|T1574.005 — Executable Installer File Permissions Weakness]] | | T1563 | [[t1563-remote-service-session-hijacking\|T1563 — Remote Service Session Hijacking]] | | T1569.001 | [[t1569-001-launchctl\|T1569.001 — Launchctl]] | | T1213.001 | [[t1213-001-confluence\|T1213.001 — Confluence]] | | T1578.002 | [[t1578-002-create-cloud-instance\|T1578.002 — Create Cloud Instance]] | | T1087.004 | [[t1087-004-cloud-account\|T1087.004 — Cloud Account]] | | T1505 | [[t1505-server-software-component\|T1505 — Server Software Component]] | | T1606 | [[t1606-forge-web-credentials\|T1606 — Forge Web Credentials]] | | T1562.002 | [[t1562-002-disable-windows-event-logging\|T1562.002 — Disable Windows Event Logging]] | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 — Exfiltration Over Alternative Protocol]] | | T1059.008 | [[t1059-008-network-device-cli\|T1059.008 — Network Device CLI]] | | T1098.006 | [[t1098-006-additional-container-cluster-roles\|T1098.006 — Additional Container Cluster Roles]] | | T1098.003 | [[t1098-003-additional-cloud-roles\|T1098.003 — Additional Cloud Roles]] | | T1020.001 | [[t1020-001-traffic-duplication\|T1020.001 — Traffic Duplication]] | | T1574.012 | [[t1574-012-corprofiler\|T1574.012 — COR_PROFILER]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | --- *Fonte: [MITRE ATT&CK — M1018](https://attack.mitre.org/mitigations/M1018)*