Se aprendemos algo com a história das ameaças cibernéticas, foi que o jogo está sempre mudando. Os malfeitores fazem uma jogada. Nós fazemos uma jogada em resposta. Em seguida, os malfeitores fazem uma nova jogada.
Atualmente, essa “nova jogada” é a condição vulnerável das identidades. Os atacantes percebem que, mesmo que a rede e todos os endpoints e dispositivos estejam protegidos, eles podem comprometer os recursos de uma empresa obtendo acesso a uma conta privilegiada.
Há muitas oportunidades para isso, também. Dentro das empresas, um em cada seis endpoints possui um risco de identidade explorável, conforme revelado pela pesquisa do relatório de pesquisa Analisando riscos a identidades (AIR) da Proofpoint.
“A situação desandou rápido.”
O Relatório de investigações de violações de dados mais recente da Verizon destaca os riscos dos ataques complexos que envolvem invasão de sistemas. Ele também ressalta a necessidade de combater o atacante que já esteja dentro do seu ambiente. Ao obter tal acesso, ele procura maneiras de ampliar privilégios e manter a persistência. Ele também procura caminhos que o permitam movimentar-se pela empresa de modo a atingir seus objetivos, sejam estes quais forem.
O problema é agravado pela complexidade do gerenciamento de identidades corporativas e dos sistemas que as protegem. Uma outra complicação são as constantes mudanças em contas e suas configurações.
Os atacantes estão se concentrando mais em ataques do tipo sequestro de contas (ATO) de identidades privilegiadas, as quais lhes permitem comprometer empresas com rapidez e facilidade. Pelo menos, em comparação com o tempo, o trabalho e o custo que podem ser necessários para explorar uma vulnerabilidade de software (uma CVE, exposição ou vulnerabilidade comum).
É de se esperar que essa tendência continue, visto que os ATOs reduziram de meses para dias os tempos de permanência dos atacantes. E há pouco risco de que os atacantes sejam detectados antes que possam concluir seus crimes.
Como os líderes de segurança e de TI e suas equipes podem responder? Uma abordagem de “volta ao básico” pode ajudar.
Mudança do foco para proteção de identidades
As equipes de segurança trabalham para proteger suas redes, sistemas e endpoints em sua infraestrutura e continuam atuando em níveis cada vez mais altos, protegendo até aplicativos. Agora precisamos nos concentrar mais em maneiras de proteger melhor as identidades. É por isso que uma estratégia de detecção e resposta a ameaças a identidades (ITDR) é tão essencial atualmente.
Tendemos a pensar em segurança nos termos de uma batalha. Nesse contexto, a identidade é a próxima “trincheira” que precisamos defender. Como fizemos com as trincheiras de rede, endpoint e aplicativo no passado, devemos aplicar práticas básicas de higiene cibernética e postura de segurança para ajudar a prevenir o risco de identidade.
Nesse sentido, vale a pena utilizar controles de prevenção e detecção, mas o primeiro tipo de controle é preferível. (Sua implantação pode custar menos, também). Em outras palavras, ao avançarmos à próxima trincheira para nos proteger de ameaças a identidades, devemos ter em mente que mais vale prevenir do que remediar.
Identidade como tipo de ativo de gerenciamento de vulnerabilidade
As empresas devem gerenciar a remediação das vulnerabilidades de identidade que são atacadas com mais frequência, de maneira igual ou semelhante à forma como gerenciam as milhões de outras vulnerabilidades e, seus outros tipos de ativos (rede, host, aplicativo etc.).
Precisamos tratar o risco de identidade como um tipo de ativo. Seu gerenciamento de vulnerabilidades deve estar incluído no processo de priorização das vulnerabilidades que precisam de remediação. Um requisito para isso é ter a capacidade de realizar varreduras contínuas no ambiente para descobrir identidades que estejam vulneráveis no momento — e saber porque elas estão em risco.
O Proofpoint Spotlight™ oferece uma solução. Ele permite:
- A descoberta contínua de ameaças a identidades e o gerenciamento das vulnerabilidades
- Sua priorização automatizada com base no risco que elas representam
- Visibilidade sobre o contexto de cada vulnerabilidade
Além disso, o Spotlight permite uma remedição totalmente automatizada de vulnerabilidades, sem que a remediação gere riscos de interrupção de negócios.
Priorização do trabalho de remediação dependendo do tipo de ativo
A maioria das empresas têm milhões de vulnerabilidades em seus diversos tipos de ativos. Portanto, é fundamental priorizar o trabalho de gerenciamento de ameaças e vulnerabilidades. A maioria das vulnerabilidades constitui um risco pequeno. Os principais fatores para determinação da priorização devem incluir:
- A importância do ativo vulnerável para a empresa
- A probabilidade de que a vulnerabilidade seja explorada
- A força e a eficácia de quaisquer controles compensadores que mitiguem o risco associado à vulnerabilidade
Uma vez considerados esses fatores, os riscos de identidade e as vulnerabilidades associadas a identidades privilegiadas frequentemente figuram no topo da lista de prioridades.
Os atacantes podem utilizar contas privilegiadas para causar danos aos sistemas mais importantes de uma empresa. A probabilidade de que essas contas sejam exploradas aumentou porque elas são um alvo preferencial para muitos malfeitores. Como a maioria dos ATOs não chega a ser detectada, fica claro que controles de compensação suficientes não mitigam o risco dessas vulnerabilidades.
A boa notícia é que muitas vulnerabilidades de risco de identidade descobertas em torno de identidades privilegiadas podem ser fáceis de remediar. Uma abordagem consiste em remover credencias desprotegidas dos endpoints. Compare isso com o trabalho associado a remediar vulnerabilidades de software (CVEs), o que pode incluir caras alterações de código e testes completos de regressão.
O gerenciamento de vulnerabilidades e ameaças a identidades é um controle de compensação para muitas CVEs não corrigidas, visto que elementos maliciosos frequentemente utilizam vulnerabilidades de software para viabilizar as táticas preliminares de um ataque. Quando isso acontece, os atacantes ainda precisam agir no sentido de ampliar privilégios.
Como tal, a remediação de vulnerabilidades de identidade oferece um controle de compensação para muitas CVEs não corrigidas que, quando deixadas vulneráveis, podem impedir que um atacante amplie privilégios e avance ainda mais.
Webinar: Identity Is the New Attack Surface (a identidade é a nova superfície de ataque)
Assista nosso webinar sob demanda para saber mais sobre esse assunto e para ver nossos especialistas em cibersegurança discutindo como a IDTR pode ajudar a sua empresa a se manter à frente das vulnerabilidades de identidade.
Obtenha o seu exemplar gratuito de New Perimeters
Veja como insights sobre as suas identidades vulneráveis e arriscadas podem ajudar a quebrar a cadeia de ataque em New Perimeters – a identidade é a nova superfície de ataque.