Segundo relatório da Fortinet, o Brasil foi o segundo país mais atingido por tentativas de ataques cibernéticos da América Latina em 2022, com 103,16 bilhões de investidas de cibercriminosos, representando um aumento de 16%, comparado a 2021, quando foram registrados 88,5 bilhões de tentativas de ataques.
Das modalidades que mais crescem estão os ataques baseados em identidade – phishing, força bruta, vazamento de credenciais, credential stuffing, ransomware, espionagem cibernética.
A defesa do sistema de identidade está posicionada pelo Gartner entre as principais tendências de segurança cibernética, intitulada como Identity Threat Detection and Response (ITDR).
Com os invasores se concentrando nas identidades e credenciais do usuário, através do uso de táticas de ataque de identidade para obter o acesso às redes, defensores tiveram que buscar a evolução da defesa, implementando o gerenciamento de identidade e acesso (IAM) de forma zero trust.
Veja, neste artigo, por que qualquer estratégia de ITDR bem-sucedida deve começar com o Microsoft Active Directory (AD).
Relação AD x Vulnerabilidades
O AD é o principal armazenamento de identidade para mais de 90% das organizações em todo o mundo. Não por acaso, ele está envolvido em cerca de 90% de todos os ataques cibernéticos que podem levar à inatividade.
A vulnerabilidade acontece, principalmente, por configurações incorretas do AD que o tornam um alvo frequente de ataques cibernéticos. Atores de ameaças podem usá-lo para escalar privilégios, fugir de medidas defensivas e executar técnicas de persistência, entre outras.
Por que se tornou um alvo popular
O AD tornou-se um alvo tão popular para os invasores porque é essencial. Uma pesquisa recente descobriu que 80% dos entrevistados usam um AD híbrido (local + Azure) e 16% usam o AD local como armazenamento de dados principal.
Apenas 4% das organizações da pesquisa não usam o AD ou o Azure AD. E 77% dos entrevistados indicaram que sofreram um impacto grave ou catastrófico caso o AD caísse. Os entrevistados também declararam que suas soluções de recuperação de desastres não incluem suporte para AD, ou que precisam executar uma recuperação manual demorada (que dura dias ou semanas).
As organizações também esperam que o AD continue como seu armazenamento de identidade. O Gartner prevê que apenas 3% das organizações migrarão completamente do AD local para um serviço de identidade baseado em nuvem até 2025. As soluções de ITDR precisam incluir processos específicos do AD.
O que o ITDR apoia
- Avaliação da postura de segurança e monitoramento em tempo real: as Organizações devem ser capazes de identificar o quanto estão preparadas com relação às táticas, técnicas e procedimentos de ataques em constante evolução. Uma ferramenta de avaliação completa não apenas revela gaps na postura de segurança da Companhia, como também mostra vulnerabilidades para que esta possa agir e desenvolver um plano de manutenção. Os entrevistados da pesquisa declararam que sua principal preocupação geral na proteção do AD era a falha das ferramentas de monitoramento tradicionais para detectar ataques. E eles estão certos: muitos ataques de AD bem-sucedidos ignoram soluções baseadas em log ou eventos, como sistemas de gerenciamento de eventos de incidentes de segurança (SIEM). Uma solução de ITDR eficaz utiliza várias fontes de dados, incluindo o fluxo de replicação do AD, para detectar ataques avançados.
- Backup e recuperação de AD multi-forest rápidos e livres de malware: a capacidade de se recuperar rapidamente de um ataque deve estar no topo da lista de prioridades das Organizações. Um ransomware ou outro ataque que coloque os sistemas na inatividade pode causar perdas significativas de receita, bem como danos à reputação que prejudicam as operações comerciais. Em alguns setores, como saúde ou infraestrutura crítica, os efeitos podem ser devastadores. E isso é bem refletido na pesquisa: apenas cerca de um terço dos entrevistados estavam extremamente confiantes em sua capacidade de recuperar rapidamente o AD de um ataque cibernético. Uma solução que pode executar uma recuperação de AD multi-forest automatizada e livre de malware em uma hora ou menos pode dar às empresas a resiliência de que precisam.
- Correção automática de ameaças detectadas: quando um ataque cibernético começa, pode se mover na velocidade da luz, superando a capacidade da equipe de segurança de acompanhá-lo manualmente. A correção automática é fundamental para impedir que uma exploração eleve privilégios e possibilite ao invasor o controle da rede. Os entrevistados da pesquisa classificaram a correção automatizada de ataques de rápida propagação como a capacidade mais importante, seguida pelo rastreamento e correlação de mudança entre o AD local e o Azure AD.
- Pontuação de risco, priorização de risco e orientação de correção: ao avaliar a postura de segurança de uma Companhia, a pontuação de risco ajudará a determinar o nível de exposição no AD e identificar onde as vulnerabilidades são encontradas. Esses recursos podem permitir que as equipes priorizem os riscos de acordo com aqueles que apresentam as maiores ameaças à rede e aos dados críticos. Esse conhecimento pode permitir que uma organização desenvolva orientações de correção claras e baseadas em riscos.
- Análise forense pós-violação: como os invasores estão desenvolvendo consistentemente novos TTPs, os defensores devem acompanhar os novos desenvolvimentos. A análise forense específica do AD após uma violação pode ajudar uma organização a entender melhor suas próprias vulnerabilidades e fazer melhorias para ajudar a prevenir ataques futuros. Essa análise pode envolver uma reavaliação da infraestrutura, coleta de dados do ataque e entrevistas com pessoas-chave. Construir uma linha do tempo do ataque pode ajudar as organizações a entender a extensão da violação e quais etapas o invasor tomou. Esta é uma informação inestimável para evitar outra violação.
Para finalizar
O cenário de ameaças de hoje coloca as identidades e credenciais dos usuários diretamente na mira, com ataques baseados em identidade precedendo a grande maioria de ataques sofisticados, como ransomwares, violações e outros incidentes prejudiciais.
As soluções e estratégias de ITDR que priorizam a proteção AD devem fornecer as ferramentas e técnicas para defender os sistemas contra esses ataques, e isso deve estar no radar de todos os CISOs em 2023.