Os ataques baseados em identidade são uma das maiores ameaças à segurança de TI atualmente, pois as modernas redes corporativas híbridas oferecem aos cibercriminosos vários pontos de entrada. Um comentário de Martin Kulendik, Diretor Regional de Vendas DACH em Silverfort.
Por exemplo, os hackers usam contas sequestradas para obter acesso inicial por meio de aplicativos SaaS e IaaS na nuvem pública ou penetram no perímetro corporativo por meio de conexões comprometidas de VPN ou Protocolo de Área de Trabalho Remota (RDP). Os hackers podem continuar seus ataques de uma máquina para outra usando credenciais comprometidas. O movimento lateral desse tipo ocorre tanto em Ameaças Persistentes Avançadas (APT) quanto na distribuição automatizada de malware ou ransomware.
Fraquezas nas soluções de segurança de identidade
As altas taxas de sucesso desses ataques, seja na forma de controle de conta, acesso remoto malicioso ou movimento lateral, revelam fraquezas inerentes que prevalecem nas soluções e práticas de segurança de identidade atuais. Este artigo explica as razões para isso e apresenta um novo conceito de segurança para a proteção holística de identidades, com o qual as empresas podem preencher as lacunas existentes em sua segurança de identidade e recuperar a vantagem contra ataques baseados em identidade.
Lacunas críticas na segurança de identidade tradicional
A segurança de identidade corporativa de hoje apresenta deficiências tanto na detecção de se a autenticação do usuário representa um risco quanto na prevenção de tentativas de autenticação mal-intencionadas. A lacuna de detecção decorre do fato de que as organizações agora estão usando várias soluções de gerenciamento de identidade e acesso (IAM) em toda a rede híbrida. Uma empresa típica implementa pelo menos um diretório local, como o Active Directory, um Cloud Identity Provider (IdP) para aplicativos da Web modernos, uma VPN para acesso remoto à rede e uma solução Privileged Access Management (PAM) para gerenciar o acesso privilegiado.
O que geralmente falta, no entanto, é uma solução única e unificada que monitore e analise todas as atividades de autenticação do usuário em todos os recursos e ambientes. Isso limita severamente a capacidade de entender o contexto completo de cada tentativa de acesso e detectar anomalias que indicam comportamento de risco ou uso malicioso de credenciais comprometidas.
Os controles de segurança do IAM, como MFA, não são suficientes
A lacuna de prevenção resulta do fato de que os controles essenciais de segurança do IAM, como autenticação multifator (MFA), autenticação baseada em risco (RBA) e imposição de acesso condicional, não cobrem todos os recursos da empresa, deixando lacunas críticas de segurança. Como resultado, muitos ativos e recursos permanecem desprotegidos: incluindo aplicativos proprietários e internos, infraestrutura de TI, bancos de dados, compartilhamentos de arquivos, ferramentas de linha de comando, sistemas industriais e muitos outros ativos confidenciais que podem se tornar os principais alvos dos invasores. Esses ativos ainda dependem de mecanismos baseados em senha e protocolos herdados que não podem ser protegidos pelas soluções atuais baseadas em agente ou proxy. Isso ocorre porque a maioria das soluções de segurança IAM não consegue se integrar a eles ou não oferece suporte a seus protocolos.
Quando você considera todos os diferentes ativos em uma rede corporativa híbrida e todas as rotas de acesso possíveis para cada um, fica claro que proteger apenas alguns desses ativos não é suficiente. Porque todo sistema desprotegido deixa uma possível porta de entrada para invasores. No entanto, proteger todos os sistemas corporativos individualmente implementando agentes de software, proxies e kits de desenvolvedor de software (SDK) não é mais realista. Como resultado, as soluções atuais de segurança do IAM não fornecem uma maneira eficaz de prevenir efetivamente o uso de credenciais comprometidas para acesso malicioso e movimentação lateral.
Proteção de identidade unificada
Proteção de identidade uniforme para fechar lacunas de segurança
A fim de abordar vetores de ameaças baseados em identidade e fechar as lacunas de detecção e prevenção mencionadas acima, a abordagem de segurança para uma proteção holística de identidades (Unified Identity Protection) deve ser baseada nos três pilares básicos a seguir:
1. Monitoramento contínuo e unificado de todas as solicitações de acesso
O monitoramento contínuo e holístico de todas as solicitações de acesso em todos os protocolos de autenticação (acesso usuário-a-máquina e máquina-a-máquina) e em todos os recursos e ambientes é necessário para visibilidade completa e análise de risco precisa. Isso inclui qualquer tentativa de acesso, seja para endpoints, cargas de trabalho em nuvem, aplicativos SaaS, servidores de arquivos locais, aplicativos de negócios legados ou qualquer outro recurso.
Todos os dados de monitoramento devem ser agregados em um repositório unificado para permitir uma análise mais aprofundada. Esse repositório pode ajudar as organizações a superar o problema inerente dos silos IAM e possibilitar a detecção e análise de ameaças.
2. Análise de risco em tempo real para cada tentativa de acesso
Martin Kulendik, Diretor Regional de Vendas DACH em Silverfort (Foto: Silverfort).
Para detectar e responder com eficácia às ameaças, cada solicitação de acesso deve ser analisada para entender seu contexto — em tempo real. Isso requer a capacidade de analisar todo o comportamento do usuário: ou seja, todas as autenticações que o usuário realiza em uma rede, nuvem ou recurso local – não apenas o primeiro login na rede, mas todos os registros posteriores nesses ambientes. Isso permite uma análise de risco altamente precisa e em tempo real que fornece o contexto necessário para determinar se as credenciais fornecidas podem ser comprometidas.
3. Aplicar autenticação adaptável e políticas de acesso em todas as tentativas de acesso
Para reforçar a proteção em tempo real, os controles de segurança, como MFA, autenticação baseada em risco e acesso condicional, devem ser estendidos a todos os ativos corporativos em todos os ambientes. Como já explicado, é impraticável implementar medidas de proteção sistema a sistema. Por um lado, isso se deve ao caráter dinâmico dos ambientes modernos, o que torna essa tarefa interminável; em segundo lugar, o fato de que muitos ativos simplesmente não são cobertos pelas soluções de segurança IAM existentes.
Para alcançar uma proteção verdadeiramente abrangente e unificada, portanto, é necessária uma tecnologia que imponha esses controles sem exigir integração direta com cada um dos vários dispositivos, servidores e aplicativos, e sem grandes mudanças arquitetônicas.
Integração do Unified Identity Protection em soluções IAM existentes
Uma solução de proteção de identidade unificada consolida os controles de segurança do IAM e os estende a todos os usuários, ativos e ambientes da organização. Por meio de uma nova arquitetura sem agente e sem proxy, essa tecnologia pode monitorar todas as solicitações de acesso de usuário e conta de serviço em todos os ativos e ambientes e estender análises baseadas em risco de alta precisão, acesso condicional e políticas de autenticação multifator para todos os recursos no híbrido cobrem o ambiente corporativo. As medidas de proteção também podem ser estendidas a ativos que antes não podiam ser protegidos. Isso inclui, por exemplo, aplicativos legados e locais, infraestrutura crítica, sistemas de arquivos, bancos de dados e ferramentas de acesso administrativo, como o PsExec, que atualmente permitem que os invasores ignorem o MFA baseado em agente.
É importante deixar claro que o Unified Identity Protection não substitui as soluções IAM existentes. Em vez disso, essa tecnologia consolida seus recursos de segurança e estende sua cobertura a todos os ativos, incluindo aqueles não suportados nativamente pelas soluções IAM. Isso garante que as organizações possam gerenciar e proteger todos os seus ativos em todos os ambientes com políticas consistentes e visibilidade para combater efetivamente os múltiplos vetores de ataque baseados em identidade.
Mais em Silverfort.com
Sobre Silverfort
O Silverfort fornece a primeira plataforma unificada de proteção de identidade que consolida os controles de segurança IAM em redes corporativas e ambientes de nuvem para mitigar ataques baseados em identidade. Usando tecnologia inovadora sem agente e sem proxy, Silverfort integra-se perfeitamente com todas as soluções IAM, unificando sua análise de risco e controles de segurança e estendendo sua cobertura a ativos que anteriormente não podiam ser protegidos, como aplicativos legados e domésticos, infraestrutura de TI, sistemas de arquivos, linha de comando ferramentas, acesso máquina a máquina e muito mais. A empresa foi reconhecida como "Cool Vendor" pela Gartner, "FireStarter" pela 451 Research e "Upstart 100" pela CNBC.