Credenciais comprometidas e contas sequestradas podem atuar como chaves-mestras nas suas redes e sistemas corporativos. Com a perspectiva de uma recompensa tão lucrativa, criminosos cibernéticos estão cada vez mais concentrando seus ataques nas suas identidades para perpetrar vazamento de dados, sequestrar ambientes de TI e lançar ataques de ransomware.
Para ter uma compreensão mais detalhada de como os líderes do setor estão lidando com essa mudança no cenário de ameaças, eu participei recentemente de um webinar conduzido por executivos da Proofpoint, como Tim Choi, vice-presidente de marketing de produto, e Ofer Israeli, vice-presidente do grupo e gerente geral do Identity Threat Defense.
Nós discutimos porque os ataques a identidades são um problema crescente, os desafios da identificação de usuários vulneráveis e como proteger pessoas e dados contra ataques que utilizam contas comprometidas.
A facilidade que as identidades comprometidas oferecem
Nosso setor utiliza muito a expressão “centrado em pessoas”. Sabemos que os atacantes visam pessoas para que possam lançar campanhas de ransomware ou vazar dados. Para os criminosos cibernéticos atuais, porém, isso não é tudo.
Agora, perpetradores de ameaças visam pessoas para comprometer identidades. Eles utilizam essas identidades para elevar ainda mais seu acesso e seus privilégios. Eles também movimentam-se lateralmente dentro das organizações para coletar inteligência, lançar ataques adicionais e roubar mais dados.
Graças a ferramentas como Mimikatz e Bloodhound, que podem identificar relacionamentos ocultos, permissões de usuário e caminhos de ataque, todo o processo de visar identidades, roubar credenciais e ampliar privilégios agora é muito simples.
Compreender identidades de alto risco
Elementos maliciosos precisam saber duas coisas para aumentar as possibilidades de um ataque bem-sucedido: onde se encontram os dados desejados e qual identidade lhes dará acesso a estes.
Na maioria das vezes, a resposta à segunda pergunta é uma conta de serviço. Essas contas nem sempre são protegidas em uma solução de gerenciamento de acesso privilegiado. Elas costumam ter acesso a muitos arquivos e sistemas diferentes com senhas estáticas que não oferecem proteção alguma.
Usuários comuns que são administradores ocultos também são identidades de risco muito alto. Eles não costumam ser identificados como privilegiados, mas frequentemente herdam toda sorte de direitos de acesso por meio de complicadas associações a grupos do Active Directory, as quais são muito difíceis de acompanhar.
Em quais áreas as organizações estão mais vulneráveis a ataques a identidades?
A maioria das organizações tem dificuldades com gerenciamento de identidades e acessos (IAM) há muitos anos. O acesso tem a peculiaridade de se tornar um organismo vivo, de modo que as equipes de segurança precisam se certificar de que compreendem o que está acontecendo com ele. Existem três áreas principais de preocupação:
- Credenciais compartilhadas
- Credenciais armazenadas
- Segredos compartilhados
A maioria dos usuários possui dezenas ou mesmo centenas de nomes de usuário e senhas em várias contas. Além disso, eles são propensos a reutilizar credenciais em pelo menos algumas dessas contas. Basta que um único site sofra um ataque, para que todas essas credenciais possam ser experimentadas em muito mais contas e sistemas.
No que se refere ao armazenamento de senhas, as empresas precisam ser extremamente cuidadosas. Como ponto de partida, retire-as do ambiente em que são utilizadas.
Infelizmente, muitos ataques a identidades originam-se do hackeamento de passagem, no qual criminosos cibernéticos obtêm credenciais em descargas de senhas ou vazamentos de dados e tentam a sorte, experimentando as senhas em várias contas corporativas.
Proteger suas identidades
A cibersegurança é como uma guerra assíncrona. Quando chegamos a criar um novo mecanismo de controle ou defesa, os malfeitores já descobriram uma maneira nova de contorná-lo. Isso é o que está acontecendo agora mesmo.
Há inúmeras estatísticas que confirmam que até mesmo nas maiores violações, os perpetradores de ameaças entram pela porta da frente. Como? Eles obtêm acesso a uma identidade e credencial compartilhada que possui mais acesso do que qualquer pessoa da organização visada poderia imaginar.
Fundamentalmente, é uma questão de higiene. Somos todos culpados por nos deixar enredar em novas e avançadas capacidades de segurança. No entanto, estamos perdendo de vista um pouco do básico. Ou seja, a simples higiene de cibersegurança e melhor visibilidade e compreensão do seu ambiente.
Como o Proofpoint Spotlight e o Proofpoint Shadow podem ajudar
As soluções Spotlight e Shadow da Proofpoint enfrentam ambos aspectos da questão do ataque a identidades:
- O Spotlight trata do aspecto da higiene, descobrindo e limpando identidades vulneráveis dentro do seu ambiente.
- Enquanto isso, o Shadow cria um ambiente hostil para os atacantes, instalando armadilhas para enganá-los na movimentação lateral e alertando as equipes de segurança quanto à sua presença.
Assim você obtém uma visibilidade melhor para compreender e remediar identidades arriscadas, enquanto toma providências para detectar e bloquear ampliações de privilégios e danos maiores aos seus dados, sistemas e redes.
As identidades são as joias da coroa de uma empresa
Os atacantes começaram a se concentrar em identidades comprometidas para viabilizar vazamentos de dados, sequestrar ambientes de TI e lançar ataques de ransomware. Assista todo o webinar “Identity Is the New Attack Surface” (A identidade é a nova superfície de ataque) para saber mais.
Obtenha o seu exemplar gratuito de New Perimeters
Encontre mais artigos e aprenda a quebrar a cadeia de ataque com o Identity Threat Defense em New Perimeters – A identidade é a nova superfície de ataque.