Os negócios cresceram em complexidade nos últimos anos. Trabalho remoto, ambientes cloud, novas tecnologias e outros fatores trouxeram novos desafios do ponto de vista da cibersegurança, dentre os quais se destaca a questão da proteção da identidade e do acesso.
A última edição do Data Breach Investigation Report (DBIR) da Verizon aponta que 74% dos vazamentos ocorridos no ano passado se devem a erros humanos que incluem uso incorreto de credenciais, e ataques de engenharia social – dentre estes últimos, 50% foram ataques direcionados, nos quais o atacantes cria um cenário específico para convencer a pessoa a entregar algo de interesse.
Ambientes em nuvem também representam um desafio. Neles estão envolvidos uma grande quantidade de aplicações, dispositivos de hardware e outros elementos que aumentam exponencialmente a superfície de ataque do negócio e tornam muito fácil a ocorrência de erros de configuração, incluindo de credenciamento e acesso, que podem levar a incidentes de segurança.
Segundo Gartner, até 2025 90% das organizações que possuírem falhas nos seus ambientes em nuvem irão compartilhar dados sensíveis de forma não intencional. E em 99% dos casos, estas falhas serão de responsabilidade dos clientes dos provedores de serviços cloud.
Neste cenário, é fundamental que as estratégias de segurança considerem a questão da identidade e do acesso como algo vital à segurança do negócio.
Dado o contexto, já em 2022, o Gartner introduziu no seu relatório de tendências para gerenciamento de riscos o conceito de Identity Threat Detection and Response, ou ITDR, descrito no documento como “uma coleção de ferramentas e melhores práticas para defender sistemas de identidade”.
Neste artigo iremos analisar este conceito e como ele pode vir a se tornar crucial nas estratégias de segurança dos próximos anos.
A questão da Identidade, do acesso e do seu gerenciamento
Antes de entrarmos na questão da proteção da identidade, é necessário compreender o seu conceito no contexto da tecnologia. Neste contexto, uma identidade é uma representação de uma entidade – seja uma pessoa, uma máquina ou um dispositivo -, a qual será usada em uma situação particular.
Uma identidade é composta de uma série de informações que incluem um identificador (que literalmente irá “identificar” a entidade), uma ou mais credenciais (usadas para comprovar a identidade – senhas, dados biométricos, tokens, etc) e os atributos (grosso modo, a “qualificação” da entidade).
Como vimos na introdução deste artigo, atualmente negócios de todos os tamanhos e setores precisam lidar com um grande número de identidades e com o acesso de cada uma destas identidades ao ambiente e aos recursos do negócio.
Para fazê-lo as empresas passaram a contar com (e depender de) uma série de outras tecnologias de controle: provedores de identidade, cofres de senha, ferramentas de gerenciamento de identidade e acesso (IAM), de controle de acessos privilegiados (PAM), entre outras.
No entanto, isso trouxe novos desafios.
Quanto maior a complexidade, maior a dificuldade de se obter visibilidade
Uma das grandes questões da segurança da informação no atual cenário de alta complexidade tecnológica é obter visibilidade. Ter mapeados os riscos ao negócio, a infraestrutura tecnológica, sistemas e infraestrutura – on premissas e na nuvem – além de conhecimento profundo dos assets e das “jóias da coroa” são essenciais para desenvolver políticas efetivas de segurança.
Da mesma forma, cada vez mais, proteger as identidades e o acesso ao ambiente também depende de visibilidade.
Sob esse aspecto, ao listar as tendências para o gerenciamento de riscos para o ano de 2023, o Gartner adotou o termo Identity Fabric (ou “malha de identidade”, em tradução livre) para descrever o que pode ser resumido como “um conjunto abrangente de serviços de identidade que fornece os recursos necessários para fornecer acesso contínuo e controlado para todos os serviços”;
Grosso modo, de acordo com esse conceito, quanto mais integradas forem as ferramentas, maior seu potencial de eficácia do ponto de vista da proteção do ambiente.
Segundo o Gartner, uma infraestrutura frágil é reflexo de elementos incompletos, mal-configurados ou vulneráveis e aponta que até 2027 85% dos novos ataques poderão ser evitados ao fortalecer a “malha de identidade”.
Tomemos dois exemplos de como pode se dar essa “fragilidade” apontada pelo Gartner.
Como dissemos anteriormente, uma das ferramentas mais usadas para o gerenciamento de identidades são os provedores de identidade (Active Directory, entre outros) onde são criadas as identidades, credenciais e senhas (que são salvas em um cofre de senhas ao qual o cofre conecta no processo de autenticação).
O processo de configuração de um provedor de identidade basicamente envolve o cadastramento de todas as entidades que terão acesso à estrutura. No entanto, mais uma vez, graças à complexidade do cenário atual, é preciso lidar com um gigantesco número de identidades e credenciais.
Considere-se que muitos usuários reutilizam suas senhas pessoais no ambiente de trabalho (e que em média cada usuário utiliza uma média de 30 aplicações e contas); considere-se ainda que 68% das identidades não-humanas ou bots possuem acesso a dados e ativos sensíveis (humanos dão 52%) e temos uma realidade na qual há uma possibilidade considerável de ocorrerem incidentes envolvendo acesso não-autorizado. Além disso:
- Atualmente, estima-se que 8 em cada 10 ataques são viabilizados pelo roubo de credenciais
- 25% dos ataques acontecem por conta de hosts não gerenciados – laptops de terceiros, sistemas legados, ou outras partes da cadeia de suprimentos de tecnologia
- Ataques de agentes internos afetam 34% dos negócios no mundo todo – trata-se de ataques cujo tráfego (que é interno) não está necessariamente no foco das políticas de segurança.
Entram em cena então as tecnologias Endpoint Detection and Response (EDRs), desenvolvidas para monitorar e coletar eventos nos endpoints para identificar ameaças; entre outras funções, EDRs são capazes detectar comportamentos anômalos nos endpoints com base em privilégios de acesso dos usuários. No entanto, caso um agente malicioso obtenha acesso a uma conta com privilégios elevados, os EDRs não serão capazes de identificar este comportamento suspeito.
A moral da história aqui é que uma tecnologia sozinha não é capaz de garantir a proteção das identidades ou dos acessos que elas realizam, nem oferecer visibilidade completa das operações que elas conduzem. A chave para aumentar esta visibilidade é a integração destas tecnologias entre si (de forma a se complementarem) e entre elas e a infraestrutura de segurança da organização
E é aqui é onde os conceitos de Identity Threat Detection and Response (ITDR) e “malha de identidade” se encontram.
O que é e como funciona o Identity Threat Detection and Response (ITDR)
Mais do que uma tecnologia ou um conjunto de tecnologias, ITDR é um conceito recente de segurança da informação que envolve procedimentos para identificar, reduzir e responder a potenciais incidentes envolvendo identidades – de contas comprometidas a senhas vazadas – que possam levar a vazamentos de informações.
A principal diferença entre ITDR e o EDR é o fato de que o ITDR monitora e analisa a atividade do usuário e logs de múltiplas ferramentas de gerenciamento (IAM, PAM), seja on premises, seja em ambientes cloud, multicloud, etc, aumentando exponencialmente a visibilidade, enquanto o EDR monitora e analisa os endpoints propriamente ditos.
É importantíssimo destacar que, nesse sentido, os EDRs continuam exercendo um papel fundamental nos processos de segurança, uma vez que eles coletam e analisam logs para identificar atividades potencialmente maliciosas nos equipamentos da organização.
Na verdade, ITDR e EDR podem ser considerados complementares. Enquanto EDRs são cruciais para identificar atividades suspeitas em um dispositivo, ITDRs permitem aos times de segurança entender e identificar como se deu o acesso a aquele asset.
Como vimos ao longo deste artigo, identidades são um dos perímetros mais visados por atacantes atualmente e esta é uma tendência que deve permanecer. Cada vez mais os ciberataques têm como alvo as soluções de IAM e PAM a fim de obter e escalar o acesso à estrutura do negócio a partir de credenciais privilegiadas.
Soluções ITDR aplicam o conceito de redução de privilégios (zero trust) não só às identidades e acessos de usuários, mas também de aplicações, dados em trânsito, dispositivos, etc, fortalecendo a infraestrutura.
A operação das soluções ITDR podem (e devem) ser integradas à infraestrutura de segurança da organização, recebendo e alimentando times de inteligência, de Resposta a Incidentes e SOCs com informações valiosas para o fortalecimento da segurança como um todo.
O que devo buscar ao contratar uma solução ITDR
- Visibilidade: soluções ITDR devem ser capazes de agregar informações de múltiplas fontes on premises e na nuvem fornecendo insumos de forma ágil para realizar análise de ameaças.
- Controle Proativo: fornecendo alertas de segurança com insumos para iniciar investigações, bloqueando acessos suspeitos e outras respostas automatizadas
- Controle baseado em riscos: soluções ITDR devem ser capazes de reduzir falsos positivos, priorizando os alertas de acordo com os riscos a ele associados e colaborando na classificação do nível de uma determinada ameaça.
Contar com o parceiro certo faz a diferença na proteção dos dados em qualquer ambiente
A Tempest Security Intelligence é uma empresa brasileira com atuação global. É a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais.
Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com mais de 600 colaboradores.
Ao longo de seus 23 anos, a Tempest ajudou a proteger mais de 600 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina.
Fontes:
Gestão de Identidade e de Acesso (IAM): saiba se você realmente entende esse conceito! – https://esr.rnp.br/
Gartner Identifies the Top Cybersecurity Trends for 2023 – www.gartner.com
Identity Threat Detection and Response Explained – securityboulevard.com
2023 Data Breach Investigations Report – www.verizon.com/
