No cenário atual de ameaças, credenciais roubadas são uma das causas mais comuns de violações de dados. Um relatório recente descobriu que 61% de todas as violações envolvem o uso indevido de credenciais.Os atacantes usam táticas como phishing e "push-bombing" (envio rápido de notificações push de autenticação multifator) para enganar os usuários e obter acesso. Uma única senha comprometida ou um login aprovado acidentalmente pode permitir que um atacante se passe por um usuário legítimo e infiltre a rede de uma organização.
Quando eu era CISO em uma grande empresa, testemunhei em primeira mão como uma única senha roubada podia causar estragos. Nesse incidente, um invasor obteve as credenciais de um funcionário por meio de phishing e acessou silenciosamente sistemas sensíveis por semanas antes de ser detectado. A violação causou tempo de inatividade significativo e dores de cabeça com a conformidade. Depois de ajudar a conter os danos, trabalhei com a equipe de TI da empresa para fortalecer seus controles de identidade — implementando a autenticação multifator (MFA) para todos os usuários, reforçando as políticas de contas de administrador e implementando o monitoramento contínuo. Essa experiência reforçou a ideia de que práticas robustas de segurança de credenciais não são apenas boas práticas no papel, mas sim salvaguardas reais contra incidentes que esperamos nunca mais enfrentar.
Para se defenderem contra o uso indevido de credenciais, as organizações devem cultivar “hábitos saudáveis” em segurança de identidadeNeste blog, vou descrever cinco hábitos de segurança essenciais para ajudar a prevenir violações de credenciais e discutir como avaliar os recursos que dão suporte a cada hábito.
1. Implemente a autenticação multifator em todos os lugares.
Uma das defesas mais eficazes contra ataques de credenciais é Autenticação multifatorial (MFA)Senhas roubadas, por si só, muitas vezes não são suficientes para invadir uma conta se um segundo fator (como um prompt de aplicativo autenticador ou token) for necessário. Na verdade, A Microsoft observou que. 99.9% das contas comprometidas não tinham a autenticação multifator (MFA) ativada.A ausência de autenticação multifator (MFA) tem sido um fator comum em muitas violações de segurança de alto nível. credenciais comprometidas A combinação da ausência de MFA (autenticação multifator) com a violação de segurança foi um denominador comum em diversas grandes violações de segurança em 2024/25..
Habilitar a autenticação multifator (MFA) para todos os usuários (especialmente administradores) pode eliminar a grande maioria dos ataques oportunistas que dependem de senhas roubadas ou adivinhadas.
Apesar destes benefícios, Muitas contas ainda não possuem proteção MFA.Por quê? Muitas vezes, existe a ideia equivocada de que a autenticação multifator (MFA) adiciona muita fricção ou que "não vale a pena". Algumas equipes de TI enfrentam resistência dos usuários ou não têm apoio da diretoria e, portanto, não são incentivadas a impor a MFA universal. Em outros casos, as organizações simplesmente não estenderam a MFA a determinados sistemas ou aplicativos legados, deixando lacunas por acidente. A realidade é que, embora a MFA básica não seja infalível, ela impede a grande maioria dos ataques automatizados, tornando-se um hábito fundamental para a segurança de credenciais.
Dito isso, nem toda MFA é igual. Os atacantes exploram cada vez mais essa possibilidade. fadiga MFA bombardeando os usuários com notificações push repetidas (o chamado push-bombing). Dado que as pessoas recebem Em média, 60 a 80 notificações push para dispositivos móveis por dia.É fácil para um usuário cansado tocar acidentalmente em "Aprovar" em uma solicitação de login fraudulenta. Para evitar isso, as organizações devem implementar autenticação multifator (MFA) resistente a phishing (como chaves de segurança FIDO2 ou notificações push com correspondência de números) e orientar os usuários a nunca aprovarem solicitações de acesso inesperadas.
Também é essencial encontrar soluções que ajudem sua equipe a estender a proteção MFA a todos os recursos e protocolos em um ambiente.Isso inclui sistemas que não oferecem suporte nativo à autenticação multifator (MFA). Portanto, você deve impor a MFA não apenas em aplicativos web e em nuvem, mas também em sistemas legados locais (bancos de dados, servidores de arquivos, ferramentas de linha de comando etc.) que tradicionalmente não eram capazes de utilizar a MFA. Ao tornar a MFA (autenticação multifator) onipresente e difícil de contornar., você reduz drasticamente o risco de uma única senha roubada levar a uma violação de segurança.
2. Adote uma abordagem de Confiança Zero para a identidade.
Implementar uma mentalidade de "Confiança Zero" para a identidade é um hábito saudável que anda de mãos dadas com a Autenticação Multifatorial (MFA). Em um modelo de Confiança Zero, Nenhuma sessão de login ou de usuário é implicitamente confiável. – mesmo que o usuário esteja na rede interna ou já esteja autenticado. Cada tentativa de acesso é verificada continuamente com base no contexto (função do usuário, segurança do dispositivo, localização, horário etc.) antes de conceder o acesso. Isso é vital porque as empresas modernas dissolveram os perímetros; A identidade agora é a nova superfície de ataque em cibersegurança. Com usuários acessando sistemas de qualquer lugar e atacantes habilidosos em se misturar à atividade normal do usuário, é crucial “nunca confie, sempre verifique” cada uso de credencial.
Praticar esse hábito significa alavancar políticas de acesso condicional e monitoramento contínuo para todas as contas. Por exemplo, se um usuário fizer login repentinamente de um local incomum ou de um dispositivo não gerenciado, verificações ou restrições adicionais devem ser aplicadas. Muitas violações poderiam ser evitadas com esses controles contextuais. uma investigação descobriu que centenas de credenciais roubadas permaneceram úteis para os atacantes simplesmente porque os sistemas alvo não possuíam políticas de acesso baseadas em localização para bloquear logins de redes não confiáveis..
Plataformas modernas de segurança de identidade Monitorar continuamente cada autenticação e aplicar políticas baseadas em risco.Se uma tentativa de login se desviar do comportamento normal ou ocorrer em condições de alto risco, a abordagem adequada seria exigir autenticação adicional. autenticação (como a MFA) ou até mesmo bloquear a tentativa. Ao tratar todo acesso como não confiável até que se prove o contrário, as organizações podem conter e frustrar invasores que consigam obter credenciais válidas.
3. Proteja contas privilegiadas e de alto risco com cuidado redobrado.
Todas as contas de usuário são importantes e devem ser protegidas, mas contas privilegiadas (Administradores, contas de serviço, executivos, etc.) merecem atenção prioritária como um hábito de segurança saudável. Essas contas geralmente têm amplo acesso e, se comprometidas, podem causar sérios danos. Infelizmente, vejo muitos incidentes em que administradores ou outras contas com privilégios elevados ficaram subprotegidas. Em um exemplo recente, uma organização governamental foi invadida por meio da conta de um ex-administrador – a conta ainda possuía altos privilégios. e não tinha a MFA ativada.Da mesma forma, as consequências de uma violação de segurança na nuvem em 2024 (visando clientes da Snowflake) revelaram que algumas demonstrações e contas de serviço A falta de proteção SSO ou MFA tornou o dispositivo um alvo fácil para ataques. A lição é clara: Qualquer conta com acesso privilegiado deve ser fortemente protegida com múltiplas camadas de defesa..
Por hábito, as organizações devem impor Segurança de Acesso Privilegiado (PAS) rigorosa práticas. Isso inclui o uso de contas administrativas dedicadas (separadas das contas de uso diário). contas de usuário), exigindo MFA em todos os logins privilegiados, limitando onde e quando essas contas podem ser usadas e auditando continuamente sua atividade.
Na prática, isso significa garantir que as contas de nível administrativo sejam sempre submetidas à autenticação multifator (MFA) e verificações de políticas, mesmo ao acessar sistemas como bancos de dados ou servidores remotos que normalmente não exigem MFA. Você também pode implementar políticas adaptáveis (por exemplo, permitir o login de administradores de domínio apenas a partir de um servidor remoto reforçado ou somente em determinados horários).
Para contas privilegiadas não humanas (como contas de serviço que não podem usar autenticação multifator), existe o conceito de "cercas virtuais" – que basicamente restringem seu uso a sistemas e comportamentos esperados. Ao proteger contas privilegiadas e sensíveis dessa forma, você reduz significativamente as chances de um invasor com credenciais de administrador roubadas conseguir circular livremente em seu ambiente.
4. Mantenha uma rigorosa higiene das credenciais.
A higiene de credenciais refere-se a Manutenção regular de contas e senhas Eliminar as "vítimas fáceis" que os atacantes costumam explorar. Um estudo de caso que nos faz refletir Estudos realizados em 2024 mostraram por que esse hábito é tão importante: pesquisadores descobriram que 79.7% das contas usadas pelos atacantes haviam sido comprometidas anos antes e suas senhas nunca foram alteradas.Na verdade, centenas de credenciais roubadas já em 2020 ainda eram válidas em 2024 porque nunca foram rotacionadas ou desativadas. Credenciais negligenciadas — senhas antigas, logins compartilhados, contas inativas — são uma bomba-relógio. Implementar uma boa higiene de dados significa verificar regularmente a segurança das suas credenciais. senhas rotativas, aposentando ou atualizando qualquer credencial que se saiba estar exposta, e Desativar contas que não são mais necessárias..
Outro aspecto crucial da higiene das credenciais é a prontidão. desligamento de ex-funcionários. Contas de usuário desatualizadas que permanecem após alguém deixar a empresa representam uma porta de entrada fácil. Pesquisas constataram que aproximadamente Metade das empresas admite que as contas de ex-funcionários permanecem ativas após o desligamento.Às vezes, por semanas ou meses. Não é surpresa que um número significativo de organizações tenha sofrido violações de segurança devido a contas de ex-funcionários que não foram desativadas. Crie o hábito de desativar ou remover o acesso imediatamente quando um funcionário sair da empresa e faça auditorias rotineiras em busca de contas "fantasmas" em seu diretório.
Um método eficaz para auditar a higiene é garantir Visibilidade contínua de todas as contas (humanas e não humanas) e sua utilização.A capacidade de descobrir automaticamente contas em seu ambiente — incluindo contas de serviço e logins não utilizados — e sinalizar aquelas que estão inativas há muito tempo como "usuários obsoletos" ajuda a garantir que você tenha um inventário atualizado das identidades existentes. As equipes de segurança podem então revisar rapidamente e remover essas contas ou aplicar políticas para bloquear quaisquer tentativas de acesso usando-as.
Este tipo de inventário de identidade A limpeza é vital: ela fecha a porta para um dos caminhos mais fáceis que os invasores usam para se infiltrar em redes. Resumindo, manter as credenciais atualizadas, rigorosamente gerenciadas e limpas limitará drasticamente o que um invasor pode explorar, mesmo que ele consiga obter alguns segredos de login.
5. Monitorar e responder continuamente às ameaças à identidade.
Mesmo com medidas preventivas como MFA e boa higiene, as organizações devem operar sob a premissa de que as credenciais podem ser comprometidas. pode ainda acontecem. Portanto, uma postura de segurança "saudável" inclui detecção e resposta robustas com foco na identidade.
Ferramentas de segurança tradicionais, como XDRs, podem ter dificuldades em detectar um invasor usando credenciais legítimas – essas ações geralmente se misturam ao comportamento normal do usuário e passam despercebidas. É crucial, por hábito, Monitorar registros de autenticação e atividades do usuário em todos os sistemas, em busca de sinais de comportamento suspeito, e para reter esses registros por tempo suficiente para investigar incidentes. De fato, manter uma coleta centralizada de registros com uma política de retenção adequada é considerada um requisito básico de segurança para descobrir e analisar ataques a credenciais. Muitas violações que passaram despercebidas por meses (ou anos) poderiam ter sido identificadas muito antes se as organizações tivessem agregado trilhas de auditoria de login e alertado sobre anomalias.
Para tornar esse hábito viável, utilize ferramentas que ofereçam suporte. Visibilidade unificada e análises inteligentes sobre eventos de identidade. SilverfortA plataforma da [nome da empresa], por exemplo, funciona como um cérebro centralizado para monitorar todo o tráfego de autenticação em tempo real. Ela utiliza aprendizado de máquina e análise comportamental (UEBA) para detectar quando os padrões de acesso de um usuário se desviam da norma, o que pode indicar uma conta comprometida. Se a conta de um funcionário repentinamente tentar fazer login em locais estranhos ou acessar recursos incomuns, Silverfort irá sinalizar ou bloquear automaticamente essa atividade, impedindo que o invasor avance ainda mais. Além disso, SilverfortO console oferece às equipes de segurança uma visão em tempo real. inventário de identidade e feed de atividadesAssim, eles podem identificar e investigar rapidamente qualquer uso suspeito da conta.
Cultivar esse nível de conscientização – e ensaiar planos de resposta a incidentes para cenários de violação de credenciais – garante que, mesmo que uma camada de defesa falhe, você possa detectar e conter a ameaça prontamente, antes que ela se transforme em uma violação completa.
Colocando em prática os 5 hábitos essenciais
As violações de credenciais continuam sendo uma das principais ameaças cibernéticas, mas a adoção desses cinco hábitos de segurança pode fortalecer significativamente as defesas da sua organização.
Ao exigir MFA universalmente, trata-se cada tentativa de acesso com Confiança zeroAo proteger contas de alto impacto, manter seu repositório de identidades limpo e monitorar continuamente, você cria múltiplas camadas de proteção que os invasores precisam superar.
Nenhum desses hábitos é do tipo "configure e esqueça" – eles exigem diligência contínua e as ferramentas certas para apoiá-los.
É aqui que plataformas de segurança unificadas e focadas na identidade podem fazer toda a diferença.
Eles foram desenvolvidos especificamente para ajudar você a incorporar essas práticas de segurança saudáveis em seu ambiente: Implementar autenticação multifator (MFA) e acesso condicional em todos os lugares, proteger contas privilegiadas e legadas, identificar pontos cegos, como usuários inativos, e monitorar continuamente ameaças..
Com hábitos sólidos e recursos de segurança focados na identidade trabalhando em conjunto, as empresas podem reduzir drasticamente o risco de violações baseadas em credenciais e garantir que uma senha roubada nunca se traduza facilmente em um ataque bem-sucedido.
Para saber mais sobre como incorporar esses hábitos saudáveis à sua estratégia de cibersegurança, baixe nosso guia “Manual de Segurança de Identidade. "