Ataques que envolvem o uso de credenciais roubadas — seja através de phishing ou outros métodos — continuam em alta no submundo do crime cibernético. Felizmente, é possível se defender dessa tendência perigosa.
Os números não mentem: de acordo com a mais recente pesquisa Data Breach Investigations Report (DBIR), realizada anualmente pela Verizon, 61% das exposições indevidas de dados envolveram o uso de credenciais legítimas para invadir um ambiente computacional. A estatística parece ir de contramão com as tendências do mercado — afinal, somos cada vez mais bombardeados com soluções de proteção de identidade.
Trata-se de um problema bastante sensível e que possui várias facetas. Primeiramente, é de conhecimento público que o fator humano é um dos grandes desafios quando falamos de credenciais: o colaborador, muitas vezes, não segue as boas práticas de gerenciamento de senhas, reutilizando logins ou criando passwords que podem ser adivinhadas via força bruta em poucos minutos. Também é raro encontrar quem utilize autenticação dupla (2FA).
Claro, não podemos nos esquecer do velho phishing, que continua sendo altamente eficiente em ludibriar internautas desatentos a ceder suas credenciais de mão beijada. A transição para um modelo de trabalho cada vez mais focado em acesso remoto torna esse tipo de atitude ainda mais perigosa, especialmente quando falamos de infraestruturas críticas e sistemas de controle industrial (OT, ou tecnologia operacional).
Todos atentos à identidade
Isso não significa, porém, que a conscientização do fator humano seja a resposta universal. Embora ela seja sim de grande ajuda, existem abordagens e estratégias no âmbito técnico que podem — e precisam — ser aplicadas para dificultar o roubo de credenciais, que pode acontecer através de métodos mais avançados de invasão a endpoints, servidores e ambientes na nuvem (cada vez mais adotados no pós-transformação digital).
Como já era de se esperar, o mercado está reagindo com rapidez — o setor de soluções de Identity and Access Management (gestão de identidade e acesso ou IAM) é um dos que mais crescem, oferecendo ferramentas que prometem uma administração mais refinada de credenciais internas (a despeito da frequente confusão de soluções CIAM, que focam na experiência de autenticação e proteção da identidade do consumidor final).
O uso da arquitetura zero trust também cumpre um papel importante para frear esse tipo de ataque. Um ambiente constantemente monitorado que utiliza machine learning é capaz de realizar análises comportamentais e identificar caso um ator malicioso esteja utilizando uma credencial legítima para um ataque de movimentação lateral, por exemplo. Nesse caso, o acesso é imediatamente bloqueado até que o dono da credencial prove o contrário.
Gerenciando privilégios no endpoint
Uma inovação que vem se tornando cada vez mais popular e ostentando um excelente desempenho para frear ataques é o conceito de Endpoint Privilege Management (Gestão de Privilégios de Endpoint ou EPM). Estamos falando de soluções que dão uma visibilidade maior aos executivos de TI em relação aos níveis de privilégio das identidades dos colaboradores, ao mesmo tempo em que protegem senhas (dentro e fora dos cofres).
Lembra que citamos métodos mais sofisticados de roubo de credenciais? Vejamos, por exemplo, a vulnerabilidade SeriousSAM, divulgada em 2021 e que causou um frenesi na comunidade global de cibersegurança. Através dela, um ataque era capaz de obter hashes de senhas gerando uma cópia do Windows Security Account Manager (SAM), um arquivo da biblioteca de registros do sistema que armazena credenciais locais e remotas.
Outro perigo avançado é o sequestro de cookies, que nem sempre são limpos do navegador do colaborador comum. Com tais arquivos em mãos, é possível transpor controles de autenticação multifator ou single sign-on (SSO), comprometendo plataformas web que podem conter dados críticos, como Slack, Jira, Trello e assim por diante.
A maioria dos EPMs consegue, com base em políticas definidas pela própria equipe de TI, barrar tais tipos de ataques, protegendo tanto cofres locais quanto remotos contra investidas mais sofisticadas. Também são usadas “iscas de credenciais” em pontos-chaves na cadeia de ataque baseada em roubo de credenciais, o que agiliza a identificação de uma possível invasão e, consequentemente, a investigação de um golpe em andamento.
Tempos difíceis, controles mais rígidos
Em suma, para responder ao crescente número de ameaças à identidade, é crucial implementar não apenas controles mais rígidos de acesso, mas também uma administração mais apurada de privilégios. Entre em contato com a Agility e saiba como podemos lhe auxiliar nessa missão: https://somosagility.com.br/fale-conosco/