Detecção e Resposta a Ameaças à Identidade

Publicado

Por

Alfredo Santos

Em março do ano passado, uma consultoria referência em tópicos ligados ao universo da Tecnologia da Informação já começava a falar de algo que hoje não foge à vista dos profissionais de segurança digital. O conceito de detecção e resposta a ameaças à identidade (em inglês, ITDR – Identity Threat Detection and Response) foi trazido no press release da Gartner como a 3ª tendência para 2022 no âmbito de segurança cibernética.

Nesta leitura, vamos entender com mais profundidade no que consiste o mencionado conceito e como ele deve ser considerado pelo mercado atual.

ITDR e IAM

A tática de detectar e sobrepassar a infraestrutura da gestão de identidade de acesso não é novidade para agentes de ameaça. O que pode ser desconhecido por eles é o desenvolvimento de um conjunto de ferramentas e práticas que têm como objetivo preservar sistemas de identidade.

Sim, é nisso que se baseia a detecção e resposta a ameaças à identidade. No entanto, em meio à preocupação de desenvolver tecnologias para autenticação de usuários, as empresas acabam deixando para trás outros riscos iminentes à gestão de identidade de acesso (IAM).

Qual é o desafio?

As ferramentas utilizadas por IAM definitivamente possuem mérito. Contudo, se comprometidas, colocam em risco toda a estrutura de segurança adotada por diversas corporações. É por esse motivo que o mesmo sistema gerencia infraestrutura também deve carregar a responsabilidade de monitoramento e segurança.

O ponto fraco das ferramentas de IAM está na visibilidade limitada que, em muitos casos, impacta negativamente provedores que detectam apenas identidades pertencentes a um diretório local. Quando algo assim ocorre, não são considerados aqueles que possuem acesso sistêmico privilegiado, como usuários externos que conseguem acessar repositórios internos sem deixar rastros.

A questão é: depois que uma identidade é autenticada, como é possível estabelecer uma governança que garanta níveis de acesso coerentes entre perfis e privilégios? Atingir esse balanço é mais do que fundamental para que sistemas operem com a devida segurança.

Automatizar para contornar

O papel da detecção e resposta a ameaças à identidade (ITDR) é garantir que a infraestrutura da gestão de identidade de acesso (IAM) esteja isenta de configurações que possam comprometer sistemas e detectar atividades maliciosas que os colocam em risco.

O primeiro passo é analisar a distribuição de acessos privilegiados, eliminando excessos. Em seguida, deve-se observar a existência de anomalias no uso dos acessos privilegiados, buscando verificar também se contas acessadas apresentam qualquer tipo de comprometimento. São movimentos aparentemente trabalhosos, mas que podem ser automatizados para cumprir a sua função em larga escala.

Contando com machine learning, método de análise de dados que automatiza a construção de modelos analíticos, os seguintes passos se tornam verdadeiros aliados na aplicação do conceito de ITDR:

Monitoramento

A vigilância realizada a partir da conexão com sistemas que monitoram e buscam ameaças permite que seja determinada a configuração de dados coletados. Consequentemente, torna-se possível visualizar os perfis e quais são os seus privilégios, tangibilizando auditorias que validam se os acessos estão sendo utilizados corretamente.

Detecção

Os dados coletados durante o monitoramento, após serem normalizados, auxiliam na detecção de acessos com risco, nas configurações suspeitas e no aumento de acessos privilegiados baseados em mudanças no ciclo de vida dos perfis. Logo, decisões relacionadas ao fornecimento de privilégios de acesso são embasadas com lógica e exatidão analítica, erradicando as anomalias e o comprometimento de contas.

Resposta

É chegado o momento de responder às ameaças que colocam em risco a identidade. Ainda contando com machine learning, recomenda-se a criação de um contexto sólido para a tomada de decisões e posterior determinação de quais alterações são cabíveis às ameaças sistêmicas detectadas. O monitoramento constante verifica não somente se as decisões anteriormente tomadas foram eficazes, mas também se o gerenciamento de serviços de TI pode ser integrado com sucesso ao restante do processo.

Visão do amanhã

O que a Gartner identificou em 2022 como uma tendência no ambiente de segurança começou anos antes, com a chegada da pandemia e a transição do acesso local de dados migrando para a nuvem. Se antes a identidade era importante, com tal acontecimento de proporções globais, ela se tornou chave para que os ativos de organizações pudessem ser acessados de forma segura. A pandemia afetou empresas de todos os portes, não fazendo distinção quanto ao setor de atuação ou maturidade administrativa.

A gestão da identidade e segurança de acesso é uma dor comum a uma série de organizações, que se vêem encurraladas pela agilidade com que novos formatos de ameaças se desenvolvem e ganham força. Porém, ao passo em que esse mal avança, também avança as soluções desenvolvidas para preservar dados guardados em sistemas acessados por perfis diferentes.

Já podemos contar com ferramentas de IAM e com o conceito de ITDR para reverter cenários caóticos, gerenciando identidades de maneira mais eficiente e antecipando ameaças que surgem para desestabilizar ambientes originalmente desenhados para ter segurança inabalável.

Foto de creativeart no Freepik

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/