Gerenciando os riscos de ataques à identidade: sua maior vulnerabilidade e o vetor mais explorado

26 de fevereiro de 2024 tutoriaisweb

A identidade é o novo alvo de segurança no cenário de ameaças atualmente. Isto pode não ser uma surpresa para os que acompanham as tendências onde a esmagadora maioria das violações de segurança resulta de ataques baseados em identidade. A Proofpoint descobriu que mais de 90% das violações envolvem um componente de identidade na cadeia de ataque.

Os profissionais de segurança cibernética entenderam há muito tempo que o comportamento humano é uma vulnerabilidade central para a segurança. O relatório mais recente que investiga violação de dados da Verizon mostra que 74% dos ataques confirmados envolvem pessoas, e esses dados têm sido consistentes há anos.

Então, o que está mudando? A forma como os agentes maliciosos se aproveitam dos seres humanos como o elo mais fraco na cadeia de ataques. Pense nos ataques do NoEscape, ransomware que sequestrou dados da Fiocruz, e no aumento do número de ataques a provedores de serviços de identidade nos últimos meses.

Esses acontecimentos indicam que os hackers estão ampliando as táticas, como phishing e roubo de credenciais, e visando o supply chain. Esse comprometimento pode gerar potencialmente um retorno do investimento muito elevado. Portanto, os atores mal-intencionados estão investindo em suas táticas mais bem-sucedidas – o ataque à identidade – para maximizar esses retornos.

O relatório State of the Phish de 2023 da Proofpoint mostra que 70% das organizações brasileiras sofreram pelo menos um ataque de phishing em 2022. Mais de um terço desses que foram bem-sucedidos resultaram em roubo de credenciais ou comprometimento de contas, proporcionando aos invasores acesso às contas ou identidades das organizações. Depois que os agentes da ameaça comprometem com êxito pelo menos uma identidade, eles poderão mover-se lateralmente por toda a organização com facilidade.

Neste ponto, eles quase venceram a batalha. Aumentar privilégios, coletar informações, distribuir cargas úteis e realizar outros objetivos é um simples exercício a partir desse momento. Eles podem conseguir tudo sem tocar em nenhuma das defesas perimetrais tradicionais. E sem muito conhecimento técnico e esforço.

De acordo com uma pesquisa da organização independente sem fins lucrativos Identity Defined Security Alliance, 90% das organizações pesquisadas sofreram uma violação relacionada à identidade nos últimos 12 meses. É essencial que as organizações se adaptem a esta nova realidade e evoluam as suas defesas.

Os três maiores tipos de riscos de identidade

Muitas organizações investiram muito no fortalecimento da sua infraestrutura de identidade. Mas faltam os componentes mais vulneráveis, como credenciais armazenadas e em cache, cookies de sessão, chaves de acesso, contas com privilégios de sombra e várias configurações incorretas associadas a contas e identidades. Compreender como os cibercriminosos estão atacando a identidade dentro da sua organização é o primeiro passo para proteger a nova superfície de ataque e quebrar a cadeia de ataque.

Os atores da ameaça normalmente têm como alvo três áreas de identidade:

● Identidades não gerenciadas: incluem identidades usadas por aplicativos (contas de serviço) e administradores locais. A pesquisa de ameaças da Proofpoint descobriu que 87% dos administradores locais não estão inscritos em uma solução de gerenciamento de contas privilegiada. No entanto, estes tipos de identidades muitas vezes não são descobertos durante a implantação ou são esquecidos depois de cumprirem o seu propósito. Muitas dessas contas usam senhas padrão ou desatualizadas, aumentando ainda mais o risco.

● Identidades mal configuradas: administradores “sombra”, identidades configuradas com criptografia fraca ou sem criptografia e contas com credenciais fracas são exemplos de identidades mal configuradas. O relatório Human Factor 2023 da Proofpoint mostra que até 40% das identidades mal configuradas ou de administradores sombra podem ser exploradas em apenas uma etapa – por exemplo, redefinindo uma senha de domínio para aumentar os privilégios. O relatório também descobriu que 13% dos administradores sombra já possuem privilégios de administrador de domínio, permitindo que atores mal-intencionados coletem credenciais e se infiltrem na organização.

● Identidades expostas: esta categoria inclui credenciais armazenadas em cache em vários sistemas, tokens de acesso à nuvem armazenados em terminais e sessões abertas de acesso remoto. Um em cada seis endpoints contém senhas de contas privilegiadas expostas, como credenciais armazenadas em cache. Essa prática é tão arriscada quanto permitir que os funcionários deixem post-its com nomes de usuário e senhas em seus dispositivos, mas é comumente esquecida.

Qualquer que seja o tipo de identidade que os agentes mal-intencionados comprometam, basta apenas uma conta vulnerável para fornecer acesso irrestrito à sua organização. E quanto mais tempo passam despercebidos, mais devastadoras são as consequências potenciais.

Gerenciando riscos com detecção e resposta a ameaças de identidade

O combate a qualquer tipo de ameaça requer várias atividades principais: detectar e identificar ameaças em tempo real, priorizá-las e remediar prontamente a situação, automatizando as respostas tanto quanto possível. É aqui que entram em jogo as melhores práticas de detecção e resposta a ameaças.

No entanto, as organizações normalmente implementam apenas detecção e resposta a ameaças para sua tecnologia. E isso não é suficiente no atual ambiente de ameaças centrado nas pessoas.

À medida que o perímetro humano se tornou o componente mais vulnerável, a detecção e resposta a ameaças de identidade (ITDR) surgiu como uma parte crítica da identificação e mitigação de lacunas na exposição baseada na identidade.

O ITDR requer uma combinação de processos, ferramentas e práticas recomendadas de segurança abrangentes. Trate as identidades da mesma forma que trata qualquer outro tipo de ativo, incluindo sua rede e endpoints.

Comece com controles proativos e preventivos para descobrir e mitigar vulnerabilidades de identidade antes que os cibercriminosos possam explorá-las. A descoberta contínua e a correção automatizada são a melhor maneira de manter afastados atores mal-intencionados.

Em seguida, você precisa da capacidade de neutralizar rapidamente as ameaças caso elas escapem das defesas. Como nenhum controle é infalível, considere toda a cadeia de ataque. Interromper rapidamente o escalonamento de privilégios é fundamental porque os agentes da ameaça tentarão essa etapa assim que obtiverem o acesso inicial. Se não conseguirem chegar a lugar nenhum, terão que desistir e seguir em frente.

Ferramentas avançadas que oferecem recursos como aprendizado de máquina ou análise para detectar eventos e comportamentos incomuns ou suspeitos, juntamente com resposta automatizada, aumentam seu grau de sucesso.

Semelhante a ferramentas como detecção e resposta de endpoint e detecção e resposta estendida, soluções robustas de ITDR fornecem uma abordagem aprofundada para mitigar a exposição. Os cibercriminosos estão simplesmente agindo rápido demais para que as equipes de segurança consigam acompanhar as ameaças à identidade sem as ferramentas certas para o trabalho.

Por último, um ITDR eficaz depende das melhores práticas, como a garantia de uma boa higiene cibernética. Afinal, as pessoas são a sua maior falha de segurança. As defesas centradas nas pessoas não funcionam se você não capacitar os funcionários para quebrar a cadeia de ataques, mudando seus comportamentos e hábitos. E melhorar a higiene é uma atividade simples que não requer muitos recursos.

Uma das previsões de segurança da Proofpoint para 2024 era que os ataques baseados em identidade dominariam as violações. Os cibercriminosos se concentrarão nesses ataques lucrativos. Não se prepare apenas para isso. Faça dos riscos centrados na identidade sua prioridade — e prepare-se para adaptar suas estratégias à medida que esses riscos evoluem.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!