# M1036 — Account Use Policies ## Descrição As Account Use Policies ajudam a mitigar acessos não autorizados por meio da configuração e aplicação de regras que governam como e quando as contas podem ser usadas. Essas políticas incluem a aplicação de mecanismos de bloqueio de conta, restrição de horários de login e definição de timeouts por inatividade. A configuração adequada dessas políticas reduz o risco de ataques de força bruta, roubo de credenciais e acesso não autorizado, limitando as oportunidades para atores maliciosos explorarem contas. Esta mitigação pode ser implementada por meio das seguintes medidas: Políticas de Bloqueio de Conta: - Implementação: Configurar bloqueio de conta para que, após um número definido de tentativas de login malsucedidas (ex: 3-5 tentativas), a conta seja bloqueada por um período específico (ex: 15 minutos) ou exija desbloqueio por um administrador. - Caso de uso: Previne ataques de força bruta ao limitar quantas tentativas incorretas de senha podem ser feitas antes que a conta seja temporariamente desabilitada, reduzindo a probabilidade de um atacante adivinhar a senha com sucesso. Restrições de Horário de Login: - Implementação: Configurar políticas de horário de login para restringir quando usuários ou grupos podem fazer login nos sistemas. Por exemplo, permitir login apenas durante o horário comercial padrão (ex: 8h às 18h) para contas não administrativas. - Caso de uso: Previne acesso não autorizado fora do horário de trabalho aprovado, onde tentativas de login podem ser mais suspeitas ou mais difíceis de monitorar. Por exemplo, se uma conta que deveria estar ativa apenas durante o dia fizer login às 2h da manhã, isso deve gerar um alerta ou ser bloqueado. Timeout por Inatividade e Encerramento de Sessão: - Implementação: Aplicar timeouts de sessão após um período de inatividade (ex: 10-15 minutos) e exigir que os usuários se reautentiquem caso desejem retomar a sessão. - Caso de uso: Essa política previne que atacantes sequestrem sessões ativas deixadas sem supervisão. Por exemplo, se um colaborador se afastar do computador sem bloqueá-lo, um atacante com acesso físico ao sistema não conseguiria explorar a sessão. Políticas de Envelhecimento de Senha: - Implementação: Aplicar regras de envelhecimento de senha, exigindo que os usuários alterem suas senhas após um período definido (ex: 90 dias) e garantir que senhas não sejam reutilizadas por meio de um histórico de senhas. - Caso de uso: Limita o risco de senhas comprometidas serem usadas indefinidamente. Alterações regulares de senha dificultam que atacantes reutilizem credenciais roubadas. Expiração e Desativação de Contas: - Implementação: Configurar contas de usuário, especialmente para trabalhadores temporários ou terceiros, para expirar automaticamente após uma data ou evento definido. Contas que permanecerem sem uso por um período específico devem ser desativadas automaticamente. - Caso de uso: Previne que contas dormentes se tornem um vetor de ataque. Por exemplo, um atacante pode explorar contas não utilizadas se elas não forem monitoradas ou desativadas adequadamente. **Ferramentas para Implementação**: - Group Policy Objects (GPOs) no Windows: Para aplicar limites de bloqueio de conta, restrições de horário de login, timeouts de sessão e políticas de senha. - Soluções de Identity and Access Management (IAM): Para gerenciamento centralizado de contas de usuário, políticas de sessão e desativação automatizada de contas. - Plataformas de Security Information and Event Management (SIEM): Para monitorar e alertar sobre atividades de login incomuns, como logins malsucedidos ou tentativas de acesso fora do horário. - Ferramentas de Multi-Factor Authentication (MFA): Para reforçar tentativas de login seguras, prevenindo ataques de força bruta ou credential stuffing. ## Fluxo de Implementação ```mermaid graph TB A["Definir Políticas<br/>Lockout, horário, inatividade"] --> B["Aplicar via GPO/IAM<br/>Windows GPO ou solução IAM"] B --> C["Configurar Expirações<br/>Contas temporárias e dormentes"] C --> D["Integrar SIEM<br/>Alertas de acesso fora do padrão"] D --> E["Revisar Periodicamente<br/>Audit de contas e exceções"] ``` ## Contexto LATAM > [!globe] Relevância Regional > Políticas de uso de contas são especialmente relevantes no Brasil para combater ataques de brute force contra portais web e credential stuffing em plataformas de e-commerce. Grupos de fraude financeira brasileiros exploram contas sem lockout adequado para acessar sistemas bancários corporativos via Internet Banking. > - Adoção em SOCs brasileiros: médio (lockout configurado, mas políticas de horário e inatividade são menos comuns) > - Regulamentações relevantes: LGPD (Art. 46 — controle de acesso), BACEN 4893 (restrições de acesso para sistemas financeiros), CIS Controls v8 (Control 5) > - Desafios regionais: impacto operacional de lockout agressivo em ambientes com suporte 24x7, falta de automação para desativação de contas inativas em sistemas legados ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1648 | [[t1648-serverless-execution\|T1648 — Serverless Execution]] | | T1550.001 | [[t1550-001-application-access-token\|T1550.001 — Application Access Token]] | | T1110.004 | [[t1110-004-credential-stuffing\|T1110.004 — Credential Stuffing]] | | T1550 | [[t1550-use-alternate-authentication-material\|T1550 — Use Alternate Authentication Material]] | | T1110.001 | [[t1110-001-password-guessing\|T1110.001 — Password Guessing]] | | T1621 | [[t1621-multi-factor-authentication-request-generation\|T1621 — Multi-Factor Authentication Request Generation]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | | T1110 | [[t1110-brute-force\|T1110 — Brute Force]] | | T1110.003 | [[t1110-003-password-spraying\|T1110.003 — Password Spraying]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | --- *Fonte: [MITRE ATT&CK — M1036](https://attack.mitre.org/mitigations/M1036)*