Além das senhas: por que confiar na higiene das senhas não é suficiente

Início » Blog » Além das senhas: por que confiar na higiene das senhas não é suficiente

Vamos discutir senhas e segurança de identidade. Ao inserir uma senha que só você conhece, você está, em teoria, “provando” a um sistema que você é quem afirma ser. Eles têm sido amplamente utilizados no mundo de TI/TO há muito tempo – possivelmente por muito tempo.  

Para tornar as senhas um pouco mais seguras, algumas organizações têm uma política relativa à complexidade e frequência das alterações de senha. É por isso que existem soluções que se concentram na detecção de problemas de higiene de senhas ou alertas semelhantes. 

Quais são os diferentes problemas de higiene de senhas? 

A higiene de senhas refere-se à prática de criar, gerenciar e proteger senhas. Consiste em diretrizes e melhores práticas destinadas a reduzir o risco de acesso não autorizado ou credenciais comprometidas. A seguir estão alguns problemas comuns de higiene de senha: 

  1. Senhas fracas: O uso de senhas simples e fáceis de adivinhar; por exemplo, “123456” ou “senha”. Essas senhas são fáceis de decifrar porque são curtas e não possuem a complexidade de misturar letras, números e caracteres especiais.  
  1. Senhas duplicadas ou compartilhadas: Usar a mesma senha em vários sistemas/contas aumenta o risco se um sistema/conta for comprometido. 
  1. Senhas antigas: a não atualização regular das senhas pode permitir que um invasor tenha tempo suficiente para adivinhar a senha ou levar a uma exposição prolongada se uma senha for comprometida.  
      

Detectar a higiene de senhas incorretas é a abordagem correta? 

Sim e não. Em teoria, os alertas são uma coisa boa, mas as organizações não devem concentrar-se apenas na detecção e na reação aos alertas. Ter mais alertas para revisar todos os dias nem sempre é valioso, e a detecção retrospectiva por si só pode ser um pouco tarde demais, pois o invasor pode já ter tirado vantagem deles.  

Além disso, mesmo com uma ótima higiene de senhas, agentes mal-intencionados ainda podem obter credenciais sem o seu conhecimento. Mesmo uma senha forte que não tenha sido compartilhada nem encontrada na dark web pode ser comprometida por meio de phishing ou ferramentas como o Mimikatz.  

Suponha que as senhas serão comprometidas e adote uma abordagem diferente para proteger identidades – uma que priorize a proteção. A chave é garantir que mesmo que um invasor tenha obtido credenciais válidas, ele não será capaz de usá-las para atividades maliciosas, como realizar movimento lateral. Resumindo, não se concentre apenas na detecção – concentre-se na proteção. 

A proteção é melhor

investimentos segurança de identidade A estratégia deve ser construída com foco na proteção de suas identidades, em vez de simplesmente adicionar mais alertas. 

Para contas humanas, isso pode ser forte MFA e controles de acesso condicional, mesmo para interfaces consideradas “desprotegidas”, como ferramentas CLI ou compartilhamentos de arquivos. Portanto, mesmo que um invasor tente usar credenciais comprometidas com essas interfaces, ele enfrentará outra camada de segurança.  

Não se esqueça das Identidades Não Humanas (NHI)  

INSS e Active Directory contas de serviço também devem ser protegidas. A sua atividade é geralmente automatizada e baseada na comunicação máquina a máquina. É comum para identidades não humanas ter privilégios elevados ou até mesmo acesso administrativo dependendo dos requisitos de cada fornecedor. Em escala, isso pode ser muito. Contas de serviço comprometidas podem ser usadas para realizar diversas atividades maliciosas, como executar movimentação lateral com a finalidade de implantar ransomware

Algumas organizações estão tentando maneiras diferentes de contas de serviço seguras, suas senhas e suas atividades na rede. Mesmo assim, um invasor pode ganhar conta de serviço credenciais usando outros métodos ou ferramentas. 

Como você pode proteger contas de serviço?

As organizações devem implementar métodos de proteção proativos baseados em controles de segurança adaptados para contas de serviço em grande escala. 

Ao escolher uma solução para gerenciamento e proteção de contas de serviço, os seguintes recursos devem ser considerados:  

  • Visibilidade total – Você poderá mapear todas as suas contas de serviço com base no comportamento real delas na rede. Isso permitirá que os administradores os identifiquem automaticamente – mesmo aqueles que você não sabia que existiam – e fornecerão visibilidade completa de seus padrões de comportamento.  
  • Análise de comportamento- Você deve ser capaz de analisar suas dependências e suas repetições autenticação atividades dentro do domínio, bem como sincronizar com seu CMDB para enriquecer o conhecimento.  
  • Proteção proativa- Mais importante ainda, você deve ser capaz de criar políticas para colocar uma “cerca virtual” em torno de suas contas de serviço em grande escala, de modo que mesmo uma conta de serviço comprometida não consiga se mover lateralmente dentro da rede. É importante permitir que ele faça apenas o que é suposto fazer para sua funcionalidade. Por exemplo, uma conta de serviço de banco de dados só deve ser usada para autenticação nos servidores de aplicativos de banco de dados.

Da detecção à proteção: aprimorando a segurança da identidade 

Uma estratégia de segurança de identidade com proteção como foco principal é a abordagem recomendada para garantir a segurança dos seus usuários e contas de serviço contra atores mal-intencionados. A implementação de MFA forte (como métodos de correspondência de números ou resistentes a phishing, como FIDO2) para que contas humanas acessem até mesmo interfaces tradicionalmente “desprotegidas” aumentará significativamente a segurança. Para contas de serviço, as técnicas de isolamento virtual oferecem proteção robusta em escala, controlando e monitorando rigorosamente as atividades máquina a máquina. 

O resultado final é que você deve se concentrar mais em controles de segurança de proteção e não apenas em alertas de detecção retrospectivos. Para saber como Silverfort pode ajudá-lo a se concentrar na proteção e atender às suas necessidades de segurança de identidade. Solicite uma demonstração aqui: https://www.silverfort.com/request-a-demo/ 

Pare as ameaças à identidade agora