As medidas de segurança clássicas, como autenticação multifator ou programas antivírus, não são suficientes para uma segurança cibernética abrangente. As empresas devem, portanto, buscar uma abordagem de defesa em profundidade e se concentrar principalmente em proteger identidades e acesso privilegiado, diz o especialista em segurança CyberArk.
Na maioria dos ataques, independentemente de quem está por trás deles, a camada de identidade é o primeiro ponto de entrada na rede de uma organização. Em muitos casos, foi demonstrado que os invasores são capazes de manter acesso persistente, não detectado e de longo prazo em ambientes comprometidos usando credenciais legítimas, entre outras coisas.
MFA, EDR, Antivírus - tudo conta
Para obter mais segurança cibernética em dispositivos finais, uma empresa deve, por um lado, recorrer a práticas comprovadas. Trata-se, por exemplo, da implementação de MFA (autenticação multifator), a introdução de soluções EDR (detecção e resposta de endpoints) e AV (antivírus), o uso de um firewall, a instalação regular de patches e - se necessário – o uso de senhas seguras.
Por outro lado, são necessárias etapas adicionais para aumentar a segurança cibernética como parte de uma abordagem de defesa em profundidade. Isso inclui as seguintes medidas:
- Uso de soluções para controle de aplicações: As empresas devem bloquear a execução de arquivos EXE desconhecidos porque eles podem conter comandos potencialmente perigosos. O recarregamento de código malicioso e sua execução no dispositivo final comprometido faz parte de um ataque em quase todas as invasões em sistemas de TI.
- Restrição de direitos de acesso: A implementação consistente de um conceito de privilégio mínimo e a desativação de contas que não são necessárias são indispensáveis. Limitar privilégios é crítico porque o roubo de credenciais permite que invasores acessem informações críticas. Uma expansão just-in-time de autorizações também deve ser suportada. Isso significa: Se um usuário precisa de direitos elevados ou mais altos para trabalhar no sistema ou para realizar determinadas etapas de trabalho, esses direitos podem ser atribuídos apenas temporariamente e relacionados à finalidade - ao binário ou à ação. As funções de detecção de ameaças podem acelerar a detecção e prevenção de tentativas de ataque.
- Detecção de administrador de sombra: Os administradores sombra geralmente são equipados com permissões confidenciais que lhes dão a capacidade de escalar privilégios em ambientes de nuvem. Essas identidades, muitas vezes nascidas de configurações incorretas ou falta de conhecimento, podem ser alvo de invasores, deixando todo o ambiente em risco. Existem várias soluções para detectar administradores sombra, como a ferramenta de código aberto zbang.
- Fazendo cópias de segurança: As empresas devem fazer backup confiável dos controladores de domínio, pois os invasores podem tentar acessar ou criar uma cópia do banco de dados de domínio do Active Directory para roubar credenciais ou outro dispositivo, usuário ou informações de direitos de acesso. Ferramentas com funções de detecção de ameaças que protegem o arquivo NTDS no qual os dados confidenciais do Active Directory são armazenados podem ser consideradas para o backup.
- Usando a criptografia AES Kerberos: O uso da criptografia AES Kerberos em vez de RC4 pode impedir que um invasor faça mau uso de um tíquete de concessão de tíquete (TGT) Kerberos válido ou espie o tráfego de rede para acessar um serviço de concessão de tíquete (TGS) recebido, que pode ser vulnerável por métodos de força bruta. Por exemplo, o módulo RiskySPN da ferramenta zBang pode ser usado para detectar Kerberoasting.
- Proteção de certificados de credencial: Os certificados de usuário salvos para fazer logon nos sistemas de destino devem ser protegidos de forma confiável para evitar que invasores tentem assinar certificados com tokens. Isso também pode ser usado para mitigar ameaças como um ataque Golden SAML, no qual os invasores recebem um token SAML válido, ou seja, um elemento de autenticação falso. Isso lhes dá quase qualquer autorização para quase todos os serviços de uma empresa - dependendo de quais serviços usam SAML como protocolo de autenticação.
Segurança cibernética: medidas de segurança de vários níveis protegem
“Medidas de segurança isoladas não são mais suficientes em uma era de escalada do crime cibernético. A ordem do dia é: Defesa em Profundidade – agora. Isso significa que uma empresa deve tomar medidas de segurança multicamadas para proteger sistemas, aplicativos e dados confidenciais e minimizar os possíveis efeitos negativos de um ataque", explica Christian Götz, Diretor de Engenharia de Soluções DACH na CyberArk. “Um bom ponto de partida para isso é uma abordagem de segurança baseada em identidade, ou seja, um conceito de segurança que classifica a identidade como a linha central de defesa de uma empresa – independentemente de ser uma pessoa, um aplicativo ou uma máquina”.
Mais em Cyberark.com
Sobre a CyberArk
A CyberArk é líder global em segurança de identidade. Com Privileged Access Management como um componente central, a CyberArk fornece segurança abrangente para qualquer identidade - humana ou não humana - em aplicativos de negócios, ambientes de trabalho distribuídos, cargas de trabalho de nuvem híbrida e ciclos de vida DevOps. As empresas líderes mundiais confiam na CyberArk para proteger seus dados, infraestrutura e aplicativos mais críticos. Cerca de um terço das empresas DAX 30 e 20 das Euro Stoxx 50 usam as soluções da CyberArk.