A violação de credenciais tem sido uma das principais portas de entrada de crackers às redes corporativas, on-premises e na nuvem, provocando perdas imensuráveis. Na verdade, especialistas concordam que o problema está na origem de boa parte das ameaças cibernéticas que têm tirado o sono dos executivos de praticamente todas as corporações, mundo a fora.
A CLM foi à fundo no assunto e traz para você, nesta edição, as principais tendências dos ataques de violação de identidade e da cibersegurança no combate a eles.
Conheça também a metodologia ITDR, acrônimo para Identity Threat Detection & Response, que vem sendo embarcado nas principais soluções de proteção do mercado, sendo incluída pelo Gartner como nova categoria, no ano passado.
O ITDR da SentinelOne, o Singularity Identity – Real-time Identity Threat Detection & Response (ITDR), entre outros recursos da solução, tem um que aborda a violação de dados com iscas e caminhos que não levam a lugar nenhum, enganando os invasores, enquanto barra a ofensiva.
O pesadelo de ter dados confidenciais roubados
O roubo ou a exposição de dados confidenciais não é fácil para nenhuma organização. As consequências de uma invasão podem ser muitas: danos, destruição, exfiltração ou sequestro de dados, dinheiro roubado, perda de produtividade, paradas de sistemas, roubo de propriedade intelectual, de dados pessoais e financeiros, fraudes, interrupção do curso normal dos negócios após o ataque, investigações judiciais, multas etc.
“Para além dos prejuízos financeiros, é muito mais grave afetar a reputação da empresa que, quando tem sua imagem manchada, perde clientes e credibilidade, afetando significativamente os negócios”, alerta o GP da CLM, Alisson Santos.
Uma das principais causas dos mais diversos ataques maliciosos é a violação de identidade, que acontece com o roubo de credenciais de acesso de usuários à rede corporativa. Por incrível que pareça, segundo Santos, a principal vulnerabilidade nesse tipo de violação é o descuido com as senhas. “Explorar senhas fáceis é uma das primeiras técnicas dos criminosos para acessar o ambiente de uma empresa, seguida pelo phishing que, se bem-sucedido, também permite o acesso indevido de um invasor. Em ambos os casos, o atacante passa a se movimentar lateralmente para descobrir privilégios, técnica que costumamos chamar pass the hash”.
O terceiro passo é o roubo da credencial. Depois de o invasor entender, escalar, mapear a rede, estações de trabalho, servidores, onde existem os possíveis privilégios, ele parte para a ação: rouba e troca a credencial ou encripta todos os dados. A violação de identidade funciona como um detonador inicial que permite que os invasores acessem e se alastrem dentro da rede, escalando privilégios, identificando mais alvos e movendo-se lateralmente.
Violação de credenciais, a origem de grande parte dos ataques
Para se ter uma ideia, nos últimos dois anos, 79% das empresas no mundo sofreram violação de identidade, segundo levantamento da Forbes. Em 2022, o número de comprometimentos de dados nos Estados Unidos foi de 1.802 casos. Mais de 422 milhões de pessoas no mesmo período tiveram seus dados comprometidos, incluindo violação, vazamento e exposição. “Embora sejam três eventos diferentes, eles têm uma coisa em comum: dados confidenciais foram acessados por um agente de ameaça não autorizado”, afirma relatório da Statistica.
Evolução necessária: ITDR
ITDR é o acrônimo para Identity Threat Detection & Response ou detecção e resposta a ameaças de identidade. Trata-se de um método, assim como o EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) ou NDR (Network Detection and Response). Não é uma tecnologia, mas inclui em sua definição uma combinação de soluções e ferramentas que protegem contra roubo de credenciais, privilegiadas ou não.
Esse novo pilar da segurança protege a identidade no AD (Active Directory), que é onde os cibercriminosos se movimentam lateralmente e, de acordo com Alisson Santos, são as ameaças de roubo de credenciais que mais ocorrem em uma estruturação de dados do AD.
Atualmente, os avanços dos cibercriminosos burlam e corrompem os controles preventivos comumente usados pelas organizações, chamados de IAM (Identity Access Management), que fazem a gestão do acesso dos usuários, como por exemplo a autenticação multifator. Neste cenário, a detecção e resposta a ameaças de identidade (ITDR) se tornou uma das principais prioridades de cibersegurança, tendência que deve continuar pelos próximos anos.
Tanto que, em 2022, o Gartner reconheceu a importância da segurança de identidade ao criar a categoria: ITDR (Identity Threat Detection & Response. Em dezembro do mesmo ano, a SentinelOne foi reconhecida pelo Gartner® Hype Cycle™ para segurança de endpoint nas categorias XDR, ITDR, EDR e EPP. De acordo com a consultoria, “os líderes de segurança e risco devem se preparar para escolher tecnologias da próxima onda para continuar a proteger endpoints contra ataques e violações. O EDR continua sendo uma tecnologia convencional, enquanto o XDR promove a adoção de novos casos de uso e tecnologias, como UES, DaaS, ASA/ASM, BAS, EM e ITDR.”
O CEO da CLM, Francisco Camargo, ressalta que a presença da SentinelOne nessas categorias do relatório do Gartner, destacando o Singularity XDR e a amplitude de serviços e tecnologias da plataforma para ajudar as empresas a reduzir os gastos e minimizar os riscos, indica que a empresa está na direção
“As equipes técnica e comercial da CLM estão sempre atentas às demandas de mercado, buscando soluções emergentes e de ponta para incorporar ao seu portfólio e atender às necessidades de proteção e segurança das organizações, que precisam se transformam a cada dia para evitar que a sofisticação contínua dos ataques cibernéticos as torne vítimas”.
Contra ataques, inteligência e superação de técnicas de defesa
Os ataques empregados pelo crimeware para violar identidades não são detectáveis. “Não é possível perceber quando o cracker consegue violar o primeiro usuário, aquele com senhas mais óbvias. E a empresa só percebe a movimentação lateral se ela tiver uma solução de zero trust, um EDR. Caso contrário, ela não vai perceber e, quando perceber, será tarde demais”, alerta o GP da CLM.
Iscas do bem
Para fazer frente a isto, a SentinelOne integrou à sua solução Singularity Identity – Real-time Identity Threat Detection & Response (ITDR), um recurso chamado Singularity Hologram™ Deception, que literalmente engana o cracker. E consiste na inclusão de iscas, informações falsas que levam o invasor a pensar que tem um dado privilegiado, mas não tem.
Outros recursos do Singularity Identity™ ITDR
O Singularity Identity™ threat detection & response (ITDR) foi adicionado à plataforma SentinelOne Singularity XDR. Este componente defende, em tempo real, os controladores de domínio Microsoft Active Directory e Azure AD e, claro, endpoints do usuário final, que são as principais vítimas, cuja identidade, se roubada, permite que os invasores tentem obter privilégios e se mover sem serem percebidos dentro da rede. Como se sabe, os controladores de domínios são servidores que respondem às requisições de autenticação segura como login, verificação de permissões etc.
Sentinelas inteligentes
Como sentinelas, palavra que significa vigilantes, Singularity Identity detecta ataques ao Active Directory de qualquer tipo de dispositivo ou sistema operacional, incluindo IoT e OT. E impedem que invasores obtenham acesso ao AD e ao Azure AD on-premises ou na nuvem.
A solução afasta cibercriminosos do AD, com direcionamento incorreto para becos sem saída; encobre, desvia, protege, oculta credenciais e dados críticos, dificultando a movimentação lateral. E vai além, ao integrar iscas Singularity Hologram™ Decception, desacelera as investidas maliciosas dentro da rede, bem como ameaças internas.
Se um cracker conseguir acessar a rede da empresa, esse acesso, como todos os outros, passa pela equipe de segurança que normalmente não enxergaria a atividade como uma invasão. O ITDR busca ativamente inúmeros tipos de anomalias, usando análises de comportamento baseada em Inteligência Artificial para coletar todas as possíveis ameaças e emitir alertas. Assim, quando um usuário age de forma diferente da habitual, por exemplo, ou seu acesso vem de um IP de local diferente, em horários não usuais, se há tentativas erradas de inserção de senha, tudo é detectado e gera alertas para as equipes.
Há, então, a interrupção do avanço do atacante dentro da rede, inclusive de ataques de ransomware, com o uso de trilhas com armadilhas, digamos, a cada esquina.
Além disso, o Singularity Identity evita o roubo de credenciais privilegiadas de contas de usuários, serviços e de sistemas com dados de alto valor. O login não autorizado e a impressão digital se tornam praticamente inúteis para os invasores, pois os dados legítimos são substituídos por dados falsos. A integração ao Singularity Hologram Decception também permite redirecionar tentativas de movimento lateral para iscas na rede.
A solução faz ainda:
- Detecção em tempo real de ataques cibernéticos de identidade baseados no Active Directory e no Azure AD, incluindo ransomware
- Cobertura de ataque de identidade e tranquilidade para todos os ativos gerenciados ou não gerenciados em todos os sistemas operacionais, incluindo dispositivos IoT e OT
- Tecnologia de camuflagem para enganar invasores e proteger credenciais de alto valor
- Insights acionáveis sobre vulnerabilidades na superfície de ataque de identidade, incluindo configurações incorretas, controles de acesso, violações de políticas e muito mais
- Cobertura total para AD local, Azure AD e ambientes multinuvem
- Detecta ataques baseados em identidade de toda a infraestrutura de domínio.
- Fornece informações acionáveis e de alta fidelidade à medida que os ataques surgem de dispositivos gerenciados e não gerenciados, incluindo IoT e OT onipresentes, que podem ser comprometidos, independentemente de seu sistema operacional ou localização.
- Detecta o uso indevido de identidade e atividades de reconhecimento que ocorrem nos processos de endpoint que tem como alvo servidores de domínio crítico, contas de serviço, credenciais locais, dados locais, dados de rede e dados de nuvem
- Limita o acesso apenas a aplicativos confiáveis ou validados
- Descobre e entende os fatores ocultos que deixam o ambiente suscetível a ataques baseados em identidade, como superfícies expostas, credenciais órfãs e violações de políticas. Complementado por mapas topográficos visuais, o Singularity Identity mostra como os invasores podem se mover pelos sistemas para alcançar os ativos críticos. Com essa percepção, as equipes de segurança e TI podem bloquear preventivamente os caminhos para ativos críticos e reforçar suas defesas usando a tecnologia de dissimulação.
- Fácil implementação com resultados de baixa fricção; oferece suporte ao Active Directory local, Azure AD e ambientes multinuvem.
Cibersegurança exige um bundle de soluções complementares
Um projeto eficiente de segurança cibernética para credenciais exige a inclusão de diversas tecnologias. Portanto, a solução de ITDR da SentinelOne pode ser potencializada por outras complementares.
O XDR para detecção e resposta estendidas permite detecção mais rápida e automatizada de ameaças e tempos de resposta mais curtos por meio de ações automatizadas. E oferece integração profunda com outras ferramentas de segurança, podendo coordenar ações de resposta entre elas.
Enquanto o ITDR prioriza a identidade na cibersegurança, adicionando uma camada adicional para implantações maduras de gerenciamento de identidade e acesso (IAM), o Endpoint Detection and Response (EDR) é uma parte essencial de qualquer defesa em camadas. E deve ser implantado em todos os sistemas para relatar configuração e telemetria, identificar atividades anômalas ou maliciosas, revelar as táticas e técnicas de ataques avançados e fornecer um recurso de resposta. O EDR evita malware e ransomware conhecidos e pode identificar ameaças avançadas.
Endpoint Protection Platforms (EPP), por sua vez, é considerado a higiene de segurança, sendo fundamental para todas as organizações. Vale lembrar que é impossível.
Já a tecnologia de Private Access, baseada na tecnologia ZTNA – Zero Trust Network Access – da Skyhigh, permite que as empresas tenham granularidade muito maior. Ao invés de a empresa permitir o acesso a toda a sua rede, ela dá acesso específico apenas a aplicações que o usuário precisa, naquele momento. Toda vez que for necessário acessar a aplicação, com o ZTNA, a validação é feita constantemente, partindo da premissa zero trust. Por isso se chama ZTNA – zero trust network access. O caminho de acesso não fica aberto.
Granularidade: os ovos não devem ficar na mesma cesta
Muito se tem falado em soluções granulares para combater o roubo de identidades. A granularidade limita o acesso de alguns usuários a determinados conteúdos com a inclusão de controles granulares, como permissões individuais. “A granularidade é uma forma de as empresas pulverizarem os acessos a dados sensíveis, não colocando todos os ovos na mesma cesta”, exemplifica Santos.
Mas, adverte o especialista da CLM, existe um ponto de atenção: a granularidade é muito custosa para as empresas, quase impraticável, porque não é possível rastrear e manter esses acessos de usuários a todo o tempo. A solução da Skyhigh ou a da SentinelOne, a Singularity XDR, com Singularity IDTR, por exemplo, podem ser potencializadas com IGA – Identity Governance Access, da SailPoint, que é muito poderosa para automatizar os acessos granulares, usa, inclusive, aprendizado de máquina e faz, por exemplo, a inclusão e exclusão de usuários automaticamente.
“Se uma empresa me procura para se proteger contra a violação de credenciais, a primeira pergunta que faço é se ela tem uma solução de IGA, que aliada ao SentinelOne Singularity XDR, com Singularity Identity™ threat detection & response (ITDR), irá, sim, entregar proteção incomparável contra roubo de credenciais”, assinala Santos.
Os IAMs – Identity and Access Management – também são importantes nesse bundle de soluções contra o roubo de identidade e podem incluir, em alguns casos, tokens físicos como segundo fator de autenticação. A biometria é outra forma de acesso autenticado que pode ser incorporada a projetos de segurança cibernética.
Soluções concatenas em projetos assertivos
Na CLM, cada fabricante atua em determinado ponto dessa cadeia de proteção. Como distribuidor de Valor Agregado, a empresa formou um pool de soluções complementares que geram projetos assertivos e direcionados às necessidades efetivas de cada corporação.
“De todo modo, a SentinelOne com ITDR está muito à frente de outras que existem no mercado para a mesma finalidade. Sua base tem um número muito maior de validações de postura de segurança no AD,” finaliza Alisson dos Santos.