“Sem dados, você é apenas alguém com uma opinião.”
É uma versão moderna do princípio atemporal de Peter Drucker: você não pode gerenciar o que não mede. Se você não tem a visibilidade necessária para entender o seu problema, como poderá resolvê-lo? Você sequer sabe qual é o problema de verdade?
Este é o dilema que os profissionais de cibersegurança enfrentam hoje. Ao longo do último ano, o setor finalmente reconheceu que segurança de identidade Não é apenas importante — é fundamental para a cibersegurança. No entanto, a maioria das organizações ainda carece de visibilidade real ou de dados significativos para quantificar sua exposição. Quando eu era CIO de uma grande consultoria, eu e minha equipe nos encontramos exatamente nessa situação alguns anos atrás.
A lacuna de visibilidade na proteção da identidade
Minha equipe de TI era altamente orientada por dados. Tínhamos relatórios robustos em todas as operações — gerenciamento de programas, gerenciamento de serviços, disponibilidade e muito mais. Os relatórios de segurança cibernética eram igualmente maduros em áreas como proteção de perímetro e gerenciamento de vulnerabilidades.
Mas, quando se tratava da camada de identidade, os relatórios eram escassos. Minha pergunta fundamental, "quão expostos estamos?", permaneceu sem resposta. Essa falta de informações foi simplesmente aceita como "o melhor que podemos fazer".
Acreditávamos que nossas fortes defesas de perímetro, apoiadas por equipes qualificadas, um SOC global, sistemas SIEM e ITDR, nos manteve seguros. Essa crença evaporou no momento em que a Equipe Vermelha chegou.
O chamado para despertar
Para quem não está familiarizado, uma Equipe Vermelha — definida pelo NIST como “um grupo de pessoas autorizadas a emular o ataque de um potencial adversário” — testa até que ponto um invasor consegue penetrar suas defesas, idealmente sem disparar nenhum alarme. O objetivo final é obter acesso administrativo a todo o seu domínio.
No nosso caso, o ponto de entrada da Equipe Vermelha foi um ataque de phishing habilmente elaborado. Apesar dos treinamentos internos regulares de phishing, uma pequena porcentagem de usuários ainda clicou — e isso foi o suficiente.
O que se seguiu foi ainda mais alarmante. Apesar de nossas defesas de última geração, a Equipe Vermelha operou sem ser detectada por semanas. Nenhum alerta chegou ao SOC, perdido no tsunami de dados do SIEM. O exercício só terminou quando eles decidiram parar. A essa altura, eles já haviam obtido acesso ao domínio por meio de uma vulnerabilidade há muito esquecida. conta privilegiada.
A dura realidade
Tínhamos acabado de concluir um programa de aprimoramento cibernético de cinco anos e milhões de dólares com ferramentas de ponta. Mesmo assim, um adversário habilidoso conseguiu invadir nosso sistema — porque não conseguimos impedir o uso indevido de credenciais.
Desde então, tenho visto a mesma história se repetir em diversas organizações, independentemente de sua sofisticação. Se você acha que está imune a essa ameaça, mas não consegue provar isso com dados, está apostando na esperança — e esperança não é uma estratégia.
O que aprendemos
- Proteção de identidade é fundamental.
As defesas de perímetro são essenciais, mas o que acontece depois de uma violação é o que realmente importa. Quebrar uma janela é ruim; perder todos os seus bens valiosos é pior. Em todos os ataques, o uso indevido de credenciais privilegiadas é a chave para essa perda. - Quantifique seu risco.
Opiniões sobre a postura de segurança não bastam. Fundamente-as com dados. Encomende um exercício de Red Team que teste não apenas o perímetro da sua rede, mas também as suas defesas internas de identidade. Quantificar o risco aumenta as suas chances de mitigá-lo. - Visibilidade é tudo.
Muitos repositórios de identidades evoluíram ao longo de décadas, muitas vezes ocultando riscos legados. É fundamental que você consiga identificar contas de alto risco em todos os sistemas a partir de um único painel de controle. Sem isso, sua equipe estará trabalhando às cegas. - Cubra o básico.
Você pode acreditar que tem tudo MFA cobertura, mas é provável que você não a tenha. Sistemas legados, compartilhamentos de arquivos e ferramentas de linha de comando geralmente não oferecem suporte à autenticação multifator (MFA) e se tornam pontos de entrada fáceis. Da mesma forma, o isolamento de áreas (ringfencing) identidades não humanas para que possam ser usados apenas onde são destinados, o que é vital.
"O uso indevido de contas privilegiadas — humanas ou não — está no cerne da maioria dos ataques bem-sucedidos."
Um momento luminoso
O ponto de virada ocorreu logo após o nosso exercício da Equipe Vermelha, quando descobri o Silverfort plataforma. Foi uma revelação tanto para mim quanto para meu CISO.
Nossa prova de conceito confirmou isso: embora a equipe vermelha ainda conseguisse obter acesso inicial, não foi capaz de se movimentar lateralmente nem causar danos. Mais importante ainda, finalmente tínhamos a visibilidade dos nossos repositórios de identidades que nos faltava há anos — um enorme avanço na redução do risco cibernético.
eBook
Prevenção do movimento lateral em Active Directory
- Por que as defesas tradicionais não conseguem impedir movimento lateral
- Como superar o movimento lateral com uma estratégia que prioriza a identidade
- Os recursos essenciais para uma defesa eficaz
Você não pode proteger o que não pode ver.
A lição da minha experiência — e de inúmeras outras desde então — é clara: você não pode proteger o que não consegue ver. A identidade se tornou o novo campo de batalha da cibersegurança, e ainda assim continua sendo o domínio menos mensurado e mais incompreendido. Sem quantificar o risco de identidade, sua organização está efetivamente navegando às cegas, baseando-se em suposições e opiniões em vez de evidências.
Testes em situações reais, visibilidade contínua e dados acionáveis são o que diferenciam as organizações que pensam estar seguras daquelas que realmente o são. A capacidade de ver, medir e entender como as identidades são usadas — e mal utilizadas — em todo o seu ambiente transforma a segurança de reativa para proativa.
Ao quantificar o risco de identidade, você não apenas expõe as vulnerabilidades, como também capacita sua equipe a tomar decisões informadas, priorizar com eficácia e eliminar as brechas exploradas pelos invasores. Em cibersegurança, essa é a diferença entre torcer para que tudo dê certo e defender com confiança o que é mais importante.