Nas últimas semanas, várias grandes marcas de varejo do Reino Unido, incluindo M&S, Harrods e o Co-operative Group, sofreram ataques cibernéticos significativos que interromperam as operações comerciais. Alega-se que esses incidentes foram orquestrados pela Grupo de ransomware DragonForce.
Como ex-chefe de IAM Em um grande varejista, participei da resposta a invasores que priorizam a identidade e tenho profunda empatia pelas equipes que trabalham incansavelmente para responder e se recuperar. Embora a abrangência total dessas violações ainda esteja sendo revelada, os primeiros sinais apontam para um agente de ameaça que prioriza a identidade. A DragonForce é conhecida por explorar vulnerabilidades de identidade e, em seguida, se movimentar lateralmente por meio de credenciais comprometidasA metodologia deles destaca algo que temos dito há anos: a identidade é o novo campo de batalha. Esses agressores miram em quem você é, e não no que você tem.
Embora não seja possível consertar tudo em um dia, descrevi algumas etapas que, com base na minha experiência, as equipes de identidade e segurança podem seguir agora para chegar mais perto de onde desejam estar.
Compreendendo o invasor: uma abordagem que prioriza a identidade
Então, quem são esses invasores e como eles operam? O DragonForce usa TTPs semelhantes aos do Scattered Spider e é conhecido por usar e-mails de phishing, explorar vulnerabilidades conhecidas e usar credenciais roubadas para obter acesso inicial às redes das vítimas.
O manual deles começa com o elo mais vulnerável de qualquer cadeia de segurança: os humanos. Eles são mestres em engenharia social, elaborando campanhas de phishing convincentes, executando trocas de SIM para sequestrar números de telefone e lançando "fadiga MFA"ataques em que bombardeiam usuários com solicitações de autenticação até que alguém simplesmente ceda e aprove uma. Eles gostam particularmente de mirar em funcionários do help desk, manipulando-os para redefinir senhas e fornecer aquele primeiro ponto de apoio crucial.
Uma vez lá dentro, eles se movem metodicamente. Procuram contas protegidas apenas por nome de usuário e senha, usando-as para navegar pelas redes. Contas de serviço — identidades não humanas que mantêm os sistemas funcionando, mas muitas vezes passam despercebidas — são frequentemente visadas, oferecendo acesso privilegiado com monitoramento mínimo. A partir daí, é uma questão de aumentar seus privilégios e se posicionar para implantar ransomware onde dói mais. O que torna essa abordagem tão devastadora no varejo não é apenas a sofisticação; é que ela explora pontos cegos particularmente comuns em ambientes de varejo.
O complexo cenário de identidade do varejo
Se você trabalha com segurança no varejo, já está enfrentando desafios únicos que o tornam Proteção de identidade especialmente difícil.
Você gerencia dezenas, centenas ou milhares de locais, além de negócios on-line, que precisam de controles de segurança consistentes, apesar das diferentes condições locais e restrições operacionais.
Sua infraestrutura é um híbrido complexo de sistemas locais e ambientes de nuvem mais recentes, todos os quais precisam de proteção. Seus sistemas críticos podem estar em operação há muitos anos, projetados antes dos sistemas modernos. segurança de identidade foi até mesmo uma consideração.
Suas operações provavelmente dependem de inúmeros fornecedores e prestadores de serviços terceirizados, cada um exigindo acesso específico aos seus sistemas. Enquanto isso, você está habilitando os profissionais da linha de frente com contas corporativas para maior eficiência e segurança nos negócios, mas, ao fazer isso, está acidentalmente aumentando seus ataque de identidade Aparecem várias vezes. Ao mesmo tempo, você lida com uma força de trabalho que cresce rapidamente com as demandas sazonais, tornando a governança de identidade um alvo em constante mudança.
Estas realidades significam uma grande superfície de ataque para agentes de ameaças baseadas em identidade explorarem.
As contas de administrador muitas vezes carecem de supervisão e proteção adequadas. Identidades não humanas, de Active Directory contas de serviço para cargas de trabalho em nuvem, frequentemente operam com amplo acesso e monitoramento mínimo. MFA A implementação costuma ser inconsistente, especialmente para sistemas de back-end. E a natureza interconectada dos ambientes de varejo cria inúmeros caminhos para que invasores se movam entre os sistemas após obterem acesso inicial.
Construindo defesas de identidade específicas para o varejo
As recentes violações de dados no varejo podem servir de catalisador para que as equipes de identidade e segurança revisitem e acelerem iniciativas importantes — especialmente aquelas que já enfrentaram resistência por parte de equipes focadas em eficiência operacional. Momentos como esses podem ajudar a alinhar prioridades em toda a organização. Se eu estivesse no lugar delas, aqui está o que eu focaria agora:
1. Proteja os pontos de acesso iniciais
- Aplicar MFA abrangente: Verifique se todos os pontos de acesso externos aos sistemas estão protegidos com MFA, incluindo VPNs, aplicativos SaaS e outros sistemas voltados para a Internet.
- Implementar MFA resistente a phishing: Mude para a correspondência de números no mínimo (lembre-se de remover também os fatores não resistentes a phishing) e considere autenticadores FIDO2 “não resistentes a phishing” (como Yubikeys) para alvos principais, como equipes de TI e segurança.
- Processos seguros de redefinição de senha: Reforce os procedimentos do helpdesk com rigorosos Verificação de Identidade protocolos. Considere implementar temporariamente redefinições presenciais para suas contas mais críticas.
- Proteja a gestão do MFA: Garanta que os segundos fatores só possam ser adicionados ou alterados com a verificação de identidade apropriada, não apenas com nome de usuário e senha.
2. Prevenir movimento lateral após comprometimento
- Ampliar a cobertura do MFA internamente: O MFA deve estender-se para além do perímetro, para os sistemas internos e para o acesso à infraestrutura, especialmente Active Directory ambientes que são alvos principais de agentes de ameaças e grupos de ransomware. Proteger o RDP por si só não é suficiente — isso deve estar presente em todos os protocolos (o PowerShell, por exemplo, é o preferido pelos invasores).
- Proteja identidades não humanas (NHIs): Implemente controles rigorosos em contas de serviço, limitando onde elas podem ser usadas e alertando sobre quaisquer padrões de atividade incomuns que possam indicar comprometimento.
- Contém protocolos legados vulneráveis: Restringir legado autenticação protocolos como NTLMv1 para os aplicativos que realmente os exigem.
- Executar segmentação de identidade: Crie limites de segurança entre diferentes partes do ambiente de varejo para conter violações; por exemplo, proibindo a autenticação do servidor em seus sites de varejo.
3. Monitore ameaças à identidade
- Implantar detecção e resposta a ameaças de identidade: Implemento ITDR para identificar comportamentos anômalos, como tentativas de movimento lateral, e equipar seu SOC para responder.
- Foco na atividade da conta de serviço: Crie linhas de base detalhadas do comportamento normal da conta de serviço e alerte sobre desvios.
- Monitore conta privilegiada uso: Rastreie a atividade da conta de administrador com atenção especial ao uso entre camadas, onde contas com privilégios altos acessam ambientes de segurança mais baixa.
Proteção no mundo real em ação
Este não é apenas um conselho teórico; ele se baseia em batalhas reais contra as mesmas ameaças que atingem os varejistas atualmente.
Considere o caso de um Silverfort cliente que enfrentou um movimento lateral Ataque semelhante ao que a M&S está enfrentando agora. Os invasores já haviam comprometido duas contas de administrador e uma conta de serviço, o que normalmente é uma receita para o desastre. Mas, como eles tinham implementou MFA em todos os sistemas internos e proteção automatizada de conta de serviço, eles detectaram e bloquearam o ataque em seus estágios iniciais, evitando o que poderia ter sido um dano catastrófico às suas operações. Você pode ler o estudo de caso completo aqui.
Ou considere outra organização, uma fabricante líder, que impediu o movimento lateral durante um ataque sofisticado à cadeia de suprimentos. Agentes estatais-nação comprometeram a rede de uma fábrica e tentavam invadir o ambiente de domínio da empresa por meio dos laptops dos funcionários. Ao implementar políticas que detectavam e bloqueavam tentativas de autenticação incomuns, especialmente aquelas que usavam protocolos vulneráveis como NTLM, sua equipe de segurança interrompeu o ataque antes que ele pudesse se estabelecer. Este estudo de caso detalhado está disponível aqui.
Proteja hoje, construa para o amanhã
Embora essas ações imediatas ajudem a conter riscos de identidade rapidamente, há outras proteções a serem consideradas que são investimentos de longo prazo.
Gerenciamento de postura de segurança de identidade (ISPM) pode descobrir e lidar proativamente com vulnerabilidades de identidade antes que invasores as encontrem. Crie um verdadeiro "ciclo fechado" de segurança de identidade, onde os processos de configuração e recuperação de contas exigem uma verificação rigorosa em cada etapa.
Considere automatizar seu ciclo de vida de identidade, com atenção especial às identidades de pessoas não relacionadas a funcionários e não humanas, frequentemente negligenciadas. Reduza a dependência de contas locais que ignoram os controles de identidade centralizados e inicie a jornada rumo a privilégios de acesso zero, onde o acesso é fornecido na hora certa e na medida certa, reduzindo drasticamente a superfície de ataque explorada por DragonForce, Scattered Spider e grupos similares.
Para suas identidades não humanas, considere migrar para credenciais efêmeras em vez de credenciais estáticas e de alto risco, como senhas de contas de serviço de longa duração, segredos, chaves de API e chaves SSH. Isso elimina um dos riscos mais comuns em ambientes de varejo: credenciais de contas de serviço comprometidas, que fornecem acesso persistente aos invasores.
Cuidado com a lacuna de identidade
As abordagens tradicionais para proteger identidades simplesmente não são suficientes contra os invasores atuais focados em identidade, nos quais cada conta e autenticação representa um risco.
Para varejistas, onde a disponibilidade do sistema impacta diretamente os resultados financeiros e a confiança do cliente é primordial, obter a segurança de identidade correta — contendo o risco de comprometimento de conta, movimentação lateral e, por fim, ransomware — é essencial.
Ao entender como grupos como o DragonForce operam e implementar medidas abrangentes de segurança de identidade, você pode reduzir significativamente seu perfil de risco.
Como vimos em exemplos do mundo real, implementar corretamente a segurança de identidade pode ser a diferença entre continuar fazendo negócios normalmente e uma violação que gere manchetes. Baixe nosso e-book, Roleta de varejo: enfrentando e superando desafios de segurança de identidade.