Autor: Erick Tauil, Pre Sales Solutions Architect de SEK
A identidade é um dos ativos mais valiosos de uma organização, pois permite o acesso a recursos críticos, dados sensíveis e serviços essenciais. No entanto, a identidade também é um dos alvos mais visados pelos cibercriminosos, que buscam explorar vulnerabilidades, roubas credenciais, realizar fraudes e comprometer sistemas. Para enfrentar esses desafios, as organizações precisam adotar uma abordagem de segurança que envolva a detecção e a resposta a ameaças baseadas em identidade, conhecida como ITDR (Identity Threat Detection and Response).
O que é ITDR?
O Gartner define ITDR como:
“uma disciplina de segurança que engloba inteligência contra ameaças, práticas recomendadas, uma base de conhecimento, ferramentas e processos para proteger os sistemas de identidade. Ela funciona implementando mecanismos de detecção, investigando mudanças e atividades suspeitas de postura e respondendo a ataques para restaurar a integridade da infraestrutura de identidade.”
Agora que entendemos o que o conceito de ITDR significa, quais serão os desafios de segurança que o ITDR aborda? Os ataques baseados em identidade representam uma séria ameaça para a segurança das organizações, podendo resultar em perdas financeiras, legais e reputacionais. Além disso, esses ataques põem ser especialmente desafiadores de serem enfrentados, pois:
- Os ataques são mais rápidos e sofisticados: os cibercriminosos estão aumentando seu repertório de ataques para acompanhar o avanço da tecnologia. A velocidade, a frequência e o número de vetores de ataque baseados em identidade estão crescendo, deixando muitas organizações despreparadas e vulneráveis. Segundo o Relatório Global de Ameaças da Crowdstrike de 2023¹, cerca de 8 em cada 10 ataques, envolvem credenciais roubadas ou comprometidas, que permitem aos atacantes se movimentarem lateralmente pelo sistema e permanecerem indetectados por mais tempo. Além disso, 25% dos ataques burlam as medidas de segurança padrão por meio de hosts não gerenciados, como notebooks de terceiros, sistemas desatualizados, aplicações ou protocolos legados, ou outras partes da cadeia de fornecimento fora de controle da organização. O tempo médio de fuga dos cibercriminosos é de apenas 84 minutos, enquanto as organizações que não possuem as ferramentas, processos e treinamentos adequados de detecção podem levar até 250 dias para detectar uma violação de identidade.
- O ambiente de identidades tornou-se mais complexo. As tecnologias de nuvem, combinadas com o trabalho remoto, aumentaram significativamente a complexidade da arquitetura multicloud e dos múltiplos repositórios de identidade, dificulta a detecção e a defesa contra os ataques cibernéticos, reduzindo a visibilidade de ponta a ponta. 90% das organizações ainda usam o Active Directory (AD), uma tecnologia legada que é vulnerável a ataques, para gerenciais sua infraestrutura de identidade. Os atacantes podem se mover lateralmente da infraestrutura local para a nuvem, tornando o AD um alvo viável. Ambientes complexos dificultam a realização de auditorias regulares de usuários e a identificação de possíveis lacunas nos repositórios de identidade. Como resultado, as organizações com pouca visibilidade sobre seu ambiente de nuvem são altamente vulneráveis.
Agora perante a todos estes desafios citados acima, como podemos minimamente começar a implementação e ganhar maturidade neste conceito/disciplina de ITDR?
Antes de começar, as organizações precisam seguir uma jornada de IAM (Identity and Access Management – Gestão de Identidades e Acesso), o qual envolve as seguintes etapas:
- Definição de uma estratégia de IAM: a estratégia de IAM, deve estabelecer os objetivos, os princípios e as políticas de gestão de identidade da organização, alinhados com os requisitos de negócio, de segurança e de conformidade. A estratégia de IAM deve considerar os diferentes tipos de identidades (humanas, e não humanas), os diferentes cenários de acesso (local, remoto, híbrido, multicloud), os diferentes níveis de risco (baixo, médio, alto) e os diferentes requisitos de autenticação (simples, multifator, adaptativo). Implementar uma solução de IAM, onde a mesma, deve prover as funcionalidades necessárias para gerenciar o ciclo de vida das identidades, desde a criação, a atribuição dos direitos, a revisão, a atualização até a revogação. Deverá também permitir o controle de acesso baseado em atributos, funções/papéis e regras, bem como a integração com os diferentes sistemas e aplicações da organização. Deve ser escalável, flexível, e compatível com os padrões e protocolos de mercado.
- Integrar a solução com o conceito de ITDR, irá complementar o ecossistema de IAM fornecendo as capacidades de detecção e resposta a ameaças baseadas em identidade. Temos que também levar em conta, o monitoramento contínuo das atividades dos usuários, detecção de comportamentos anormais, alertar as equipes de segurança e aplicar políticas de acesso adaptativos com uso da inteligência artificial. Devemos também estar atentos aos alertas de identidade com os sinais provenientes de endpoints, e-mails, ferramentas de colaboração, e aplicações em nuvem, para fornecer uma visão completa da cadeia de ataque. Deverá facilitar a priorização e a remediação com resposta em nível de incidente. Prover mecanismos de automatização a resposta e a recuperação de ataques, limitando o impacto e restaurando a operação normal.
Quais são os ganhos provenientes do ganho de maturidade com a jornada de IAM, frente a abordagem do uso do conceito de ITDR alinhado a estratégia de negócio?
Ao adotar uma abordagem do conceito de ITDR, juntamente com o ganho/atingimento do nível adequado de maturidade em processos, treinamento e solução de gestão de identidades e acesso (IAM), as organizações podem obter os seguintes benefícios:
- Reforçar não somente o perímetro de segurança com uma proteção completa e consistente em toda o ambiente de identidade, como reduzir as vulnerabilidades e os riscos de violação.
- Garantir um acesso seguro e adaptativo, prevenindo ataques de identidade antes que eles aconteçam, com uma solução moderna de IAM, projetada para as organizações de hoje.
- Obter visibilidade e inteligência sobre os sinais de identidade, reduzindo o tempo de identificação e resposta aos ciberataques, com informações provenientes de todas as fontes de identidade, com insights valiosos.
- Automatizar a reposta e a remediação de ataques, detectando e interrompendo os ciberataques em andamento, com base em inteligência altamente precisa, correlacionada a partir de uma ampla gama de sinais.
- Proteger ambientes híbridos de identidade, fechando as lacunas e fornecendo uma proteção consistente para identidades humanas e não humanas e infraestrutura de identidade, tanto local quanto na nuvem.
- Unificar a proteção e a segurança de identidade, habilitando uma resposta em tempo real, com ferramentas compartilhadas, relatórios ricos e forense, que ajudam os administradores de identidade e os centros de operações de segurança (SOCs) a trabalharem juntos para deter os ciberataques.
Em suma, podemos concluir que ITDR é uma abordagem de segurança, a qual visa proteger as identidades e os sistemas baseados em identidade das ameaças cibernéticas. ITDR combina técnicas avançadas de detecção com estratégias rápidas de resposta para mitigar riscos e garantir a proteção dos dados. Para implementar uma solução que entregue os conceitos de ITDR, as organizações precisam seguir uma jornada de IAM, que envolva a definição de uma estratégia, a implementação de uma solução e integração de uma ferramenta que tenha todos os alicerces necessários a ter uma visão de ameaças, detecção e resposta que o conceito de ITDR emprega.
