Por que o ITDR deve começar com o Active Directory

Publicado

Por

Alfredo Santos

Segundo relatório da Fortinet, o Brasil foi o segundo país mais atingido por tentativas de ataques cibernéticos da América Latina em 2022, com 103,16 bilhões de investidas de cibercriminosos, representando um aumento de 16%, comparado a 2021, quando foram registrados 88,5 bilhões de tentativas de ataques.

Das modalidades que mais crescem estão os ataques baseados em identidade – phishing, força bruta, vazamento de credenciais, credential stuffing, ransomware, espionagem cibernética.
A defesa do sistema de identidade está posicionada pelo Gartner entre as principais tendências de segurança cibernética, intitulada como Identity Threat Detection and Response (ITDR).

Com os invasores se concentrando nas identidades e credenciais do usuário, através do uso de táticas de ataque de identidade para obter o acesso às redes, defensores tiveram que buscar a evolução da defesa, implementando o gerenciamento de identidade e acesso (IAM) de forma zero trust.

Veja, neste artigo, por que qualquer estratégia de ITDR bem-sucedida deve começar com o Microsoft Active Directory (AD).

Relação AD x Vulnerabilidades

O AD é o principal armazenamento de identidade para mais de 90% das organizações em todo o mundo. Não por acaso, ele está envolvido em cerca de 90% de todos os ataques cibernéticos que podem levar à inatividade.

A vulnerabilidade acontece, principalmente, por configurações incorretas do AD que o tornam um alvo frequente de ataques cibernéticos. Atores de ameaças podem usá-lo para escalar privilégios, fugir de medidas defensivas e executar técnicas de persistência, entre outras.

Por que se tornou um alvo popular

O AD tornou-se um alvo tão popular para os invasores porque é essencial. Uma pesquisa recente descobriu que 80% dos entrevistados usam um AD híbrido (local + Azure) e 16% usam o AD local como armazenamento de dados principal.

Apenas 4% das organizações da pesquisa não usam o AD ou o Azure AD. E 77% dos entrevistados indicaram que sofreram um impacto grave ou catastrófico caso o AD caísse. Os entrevistados também declararam que suas soluções de recuperação de desastres não incluem suporte para AD, ou que precisam executar uma recuperação manual demorada (que dura dias ou semanas).

As organizações também esperam que o AD continue como seu armazenamento de identidade. O Gartner prevê que apenas 3% das organizações migrarão completamente do AD local para um serviço de identidade baseado em nuvem até 2025. As soluções de ITDR precisam incluir processos específicos do AD.

O que o ITDR apoia

  • Avaliação da postura de segurança e monitoramento em tempo real: as Organizações devem ser capazes de identificar o quanto estão preparadas com relação às táticas, técnicas e procedimentos de ataques em constante evolução. Uma ferramenta de avaliação completa não apenas revela gaps na postura de segurança da Companhia, como também mostra vulnerabilidades para que esta possa agir e desenvolver um plano de manutenção. Os entrevistados da pesquisa declararam que sua principal preocupação geral na proteção do AD era a falha das ferramentas de monitoramento tradicionais para detectar ataques. E eles estão certos: muitos ataques de AD bem-sucedidos ignoram soluções baseadas em log ou eventos, como sistemas de gerenciamento de eventos de incidentes de segurança (SIEM). Uma solução de ITDR eficaz utiliza várias fontes de dados, incluindo o fluxo de replicação do AD, para detectar ataques avançados.
  • Backup e recuperação de AD multi-forest rápidos e livres de malware: a capacidade de se recuperar rapidamente de um ataque deve estar no topo da lista de prioridades das Organizações. Um ransomware ou outro ataque que coloque os sistemas na inatividade pode causar perdas significativas de receita, bem como danos à reputação que prejudicam as operações comerciais. Em alguns setores, como saúde ou infraestrutura crítica, os efeitos podem ser devastadores. E isso é bem refletido na pesquisa: apenas cerca de um terço dos entrevistados estavam extremamente confiantes em sua capacidade de recuperar rapidamente o AD de um ataque cibernético. Uma solução que pode executar uma recuperação de AD multi-forest automatizada e livre de malware em uma hora ou menos pode dar às empresas a resiliência de que precisam.
  • Correção automática de ameaças detectadas: quando um ataque cibernético começa, pode se mover na velocidade da luz, superando a capacidade da equipe de segurança de acompanhá-lo manualmente. A correção automática é fundamental para impedir que uma exploração eleve privilégios e possibilite ao invasor o controle da rede. Os entrevistados da pesquisa classificaram a correção automatizada de ataques de rápida propagação como a capacidade mais importante, seguida pelo rastreamento e correlação de mudança entre o AD local e o Azure AD.
  • Pontuação de risco, priorização de risco e orientação de correção: ao avaliar a postura de segurança de uma Companhia, a pontuação de risco ajudará a determinar o nível de exposição no AD e identificar onde as vulnerabilidades são encontradas. Esses recursos podem permitir que as equipes priorizem os riscos de acordo com aqueles que apresentam as maiores ameaças à rede e aos dados críticos. Esse conhecimento pode permitir que uma organização desenvolva orientações de correção claras e baseadas em riscos.
  • Análise forense pós-violação: como os invasores estão desenvolvendo consistentemente novos TTPs, os defensores devem acompanhar os novos desenvolvimentos. A análise forense específica do AD após uma violação pode ajudar uma organização a entender melhor suas próprias vulnerabilidades e fazer melhorias para ajudar a prevenir ataques futuros. Essa análise pode envolver uma reavaliação da infraestrutura, coleta de dados do ataque e entrevistas com pessoas-chave. Construir uma linha do tempo do ataque pode ajudar as organizações a entender a extensão da violação e quais etapas o invasor tomou. Esta é uma informação inestimável para evitar outra violação.

Para finalizar

O cenário de ameaças de hoje coloca as identidades e credenciais dos usuários diretamente na mira, com ataques baseados em identidade precedendo a grande maioria de ataques sofisticados, como ransomwares, violações e outros incidentes prejudiciais.
As soluções e estratégias de ITDR que priorizam a proteção AD devem fornecer as ferramentas e técnicas para defender os sistemas contra esses ataques, e isso deve estar no radar de todos os CISOs em 2023.

Fotografia por rawpixel.com no Freepik

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

IAM Identity & Access Management

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by