ITDR É UMA FALHA NA MATRIX DO SIEM?

Publicado

Por

Laurence Plazas

ITDR, um recente acrônimo que nós Nerds de tecnologia adoramos para não termos que pronunciar o nome completo de alguma coisa, e este novo garoto do pedaço tem tomado boa parte da minha timeline no Linkedin, seja pela propaganda de um fabricante oferecendo esta bala de prata para resolver todos os incidentes relacionados com identidades ou grandes analistas falando sobre o assunto.

Esta avalanche sobre o tema na minha timeline faz todo sentido, o mercado de IAM no geral nunca esteve tão em evidência no mundo de cibersegurança, renegado no passado recente a equipe de gestão de acessos o qual normalmente estava abaixo de Infraestrututa de TI, agora é peça fundamental na área de Cibersegurança das empresas. 

Os números e relatórios recentes de grandes consultorias e empresas de Cibersegurança fundamentam na mesma proporcionalidade a importância de todos temas que giram em torno deste mundo de identidades. Gosto de citar um em destaque, vocês sabiam que mais de 80% dos ataques estão relacionados de alguma maneira com credencias? Sejam roubadas, compradas, brute force, password spray, sistemas sem autenticação, cookie stealing, secrets de APIs vazadas…you name it… isso segundo o relatório sobre investigação de vazamento de dados da Verizon de 2022. Os outros 20% são ataques mais sofisticados onde o atacante vai buscar por uma falha de segurança em um sistema. Vamos lá, é muito mais fácil logar do que buscar por uma nova/existente vulnerabilidade. Vocês acham que o “hacker” invadiu o celular do Moro? Não! Ele logou! 

Brincadeiras a parte, o modus operandi da grande maioria das invasões que tomaram a mídia recentemente seguiram o seguinte fluxo: compra ou roubo de credencias, bypass no MFA através de MFA fatigue, já dentro da infra busca por credenciais com maiores privilégios e consequente tomada do controle de forma generalizada da infra, exemplo clássico, ataque ao Uber no ano passado.

Desculpe o longo e extenso preâmbulo para justificar a importância de falarmos desta disciplina, eu disse disciplina, chamada ITDR, em inglês denominada Identity Threat Detection and Response ou no bom português, Detecção e Resposta para Ameaça a Identidade. 

Vocês devem estar pensando que isso é um artigo tipo click bait para gerar engajamento, afinal de contas o que o SIEM tem a ver com este tema? Explico, quando comecei a me aprofundar sobre o assunto, pesquisar sobre os fabricantes com suas balas de prata, percebi que muitos deles utilizam logs do Active Directory, Azure AD, Google Directory dentre outras fontes relacionadas para analisar, detectar e responder a Incidentes com Identidades… ué… o SIEM não pode analisar, detectar e responder desde que tenha as regras para detectar e os playbooks para automatizar por exemplo o bloqueio de uma credencial suspeita? Definitivamente sim! Mas falharam na especialização das regras e playbooks de automação. Claro que muitas das soluções que suportam a disciplina de ITDR vão além de um simples correlacionamento de informações, algumas utilizam algoritmos de aprendizagem de máquina para conhecer o comportamento específico de cada identidade mas são poucas que chegam neste nível de maturidade, ou seja, um SIEM com a regras especializadas e o SOAR com os playbooks específicos para responder a incidentes com identidades já poderia ajudar em muito esta disciplina.

Vocês devem estar percebendo que várias vezes cito a palavra disciplina, explico novamente o porque, de fato as soluções que se auto intitulam como soluções de ITDR na verdade são parte de uma disciplina muito mais abrangente, talvez vocês não saibam mas com certeza já fazem algo relacionado com ITDR. Com certeza vocês dentro de suas empresas possuem alguma destas soluções de mercado como PAM, CIEM, AM e IGA, todas elas suportam a disciplina, cito exemplos nos parágrafos subsequentes.

Aposto um sticker da CyberArk que sua solução de PAM tem a capacidade de detectar comandos de alto risco em sessões privilegiadas e bloquear/desconectar a sessão, correto? Você está detectando e respondendo uma ameaça relacionada a uma identidade, não soa como ITDR?

Vamos para um outro exemplo, sua solução de Access Management (AM), por mais básica que seja, ela provavelmente tem a capacidade de detectar falhas consecutivas de login e bloquear tentativas posteriores, ITDR?

Um último exemplo relacionado a soluções de IGA, um dos casos de uso básico de uma solução de IGA é a detecção de contas órfão ou sem utilização por um período longo de tempo e automaticamente apagá-las ou bloqueá-las, não parece novamente com o conceito de ITDR?

Esses são exemplos básicos, poderia enumerar vários casos que estas tecnologias já existentes na sua empresa já apoiam ou podem apoiar na disciplina de ITDR.

A disciplina de ITDR é importantíssima, estamos falando de situações e controles reativos com a finalidade de detectar uma tentativa de invasão utilizando identidades e responder a mesma de forma eficiente e rápida, porém trago um questionamento, e prevenção para ataques com identidades? Temos implantados controles preventivos para evitar que o atacantes ingressem em nossa infraestrutura? Sendo mais direto, temos implantado MFA (o mais básico já ajuda muito) em todas as portas de entrada? Temos uma solução de PAM para evitar acesso direto a credencias privilegiadas e somente nos ativos necessários? Temos uma solução de IGA para reforçar o conceito de menor privilégio, concedendo o acesso somente aos direitos necessários e no tempo necessário para as identidades? Como estão protegidas minhas identidades não humanas?

Por fim, SIEM, AM, PAM, IGA, CIEM, soluções especializadas em detectar e responder incidentes com identidades, são algumas peças que fazem parte do quebra cabeça da disciplina chamada ITDR. 

Última pergunta, sua solução de XDR, EDR fazem parte da disciplina? Na minha opnião, claro! E muitas delas estão se especializadando em conter ameças a identidades na camada do endpoint, estão chamando de IDR (Identity ), mais um acrônimo para conta…

Espero que tenho curtido as minhas opiniões sobre o assunto, reforçando, são meras opiniões sobre um tema relativamente novo, aguardo comentários, discussões são sempre frutíferas.

Laurence Plazas

Identity First Security Professional (IAM) em CyberArk • Escreve sobre #iam, PAM, Cyberark, Access Management e Identity Security.

WWW: https://www.cyberark.com/

Linkedin: https://www.linkedin.com/in/lauplazas/