À primeira vista, Identity Threat Detection and Response (ITDR) e Identity Security Posture Management (ISPM) parecem dois nomes para a mesma coisa (porque uma coisa que clientes necessidade em cibersegurança é mais siglas). Embora compartilhem algumas semelhanças – como um olho aguçado para problemas – cada um desempenha um papel muito específico em segurança de identidade e resolvem problemas muito diferentes. Mas é exatamente por isso que eles se complementam tão bem. Neste artigo, vamos detalhar o que cada um faz, como eles trabalham juntos e por que você não pode se dar ao luxo de não saber essas diferenças.
ISPM: Reduzindo proativamente a superfície de ataque de identidade
A principal função do ISPM é aumentar a visibilidade de todo o seu infraestrutura de identidade, incluindo usuários, recursos e permissões, seja no local ou na nuvem. Enquanto ITDR foca na resposta em tempo real a ameaças contínuas, o ISPM garante que seu ambiente não esteja cheio de fraquezas exploráveis em primeiro lugar.
O ISPM avalia continuamente o estado do seu superfície de ataque de identidade para identificar fraquezas antes eles são alvos de um ataque real. Essas fraquezas podem incluir configurações incorretas, privilégios excessivos, práticas indevidas e infraestrutura legada insegura. Por exemplo, contas configuradas com delegação irrestrita são alvos ideais para escalonamento de privilégios – algo em que os invasores estão sempre interessados, pois permite que eles adquirir permissões de nível superior. O ISPM, no entanto, pode detectar tais configurações incorretas e alertar a equipe de identidade, dando a eles a oportunidade de corrigir – ou pelo menos mitigar – o problema antes que qualquer ataque seja lançado.
ITDR: Identificando ataques em andamento
O ITDR é uma solução de segurança desenvolvida especificamente para detectar e responder a TTPs (Táticas, Técnicas e Procedimentos) relacionados à identidade, conforme definido por MITER ATT & CK) visando acesso de credenciais, escalonamento de privilégios ou movimentação lateral. Por exemplo, os invasores costumam usar credenciais comprometidas para obter acesso inicial a um ambiente, mover-se lateralmente e espalhar ransomware. É ITDRs trabalho para detectar esse fluxo enquanto ele está em andamento e, crucialmente, pará-lo antes que muito dano seja feito. Pense em ITDR como um watchdog de identidade, observando de perto todas as autenticações e tentativas de acesso em tempo real para detectar presença e atividade maliciosa em potencial, como tentativas de acessar recursos confidenciais de locais não autorizados. Quando uma ameaça é detectada, o ITDR deve disparar uma resposta – como alertar a equipe de segurança ou, melhor ainda, bloquear as contas afetadas – e permitir uma investigação mais aprofundada.
ITDR e ISPM: Melhor juntos
ITDR e ISPM são dois lados da mesma moeda: mitigação e remediação. Como tal, funcionam melhor quando combinados. O ISPM monitorará e fortalecerá continuamente sua infraestrutura de identidade para reduzir sua superfície de ataque, enquanto o ITDR detectará e responderá a ameaças ativas.
Veja como eles funcionam juntos e por que você precisa de ambos:
| ITDR | ISPM |
| Detecção de comportamento anômalo: Todos os usuários devem ter um perfil comportamental individual e uma pontuação de risco, para que o ITDR possa identificar contas que podem ter sido comprometidas com base em desvios de seu comportamento normal. | Visibilidade e inventário: O ISPM fornece visibilidade sobre a organização ataque de identidade superfície, mantém um inventário detalhado de todos os usuários e disponibiliza esses dados para posterior exploração e investigação. |
| Detecção de TTPs: O ITDR pode detectar TTPs, incluindo Kerberasting, Pass-the-Hash, Pass-the-Ticket, Força Bruta, Escaneamento de Credenciais, Movimento Lateral e muito mais. | Análise de Risco e Remediação: O ISPM analisa, classifica e prioriza riscos e oferece recomendações para correção e melhoria de postura. |
| Investigação e Resposta: Quando um usuário exibe comportamento suspeito, o ITDR pode iniciar procedimentos de resposta automatizados, como bloquear o acesso do usuário ou colocar em quarentena usuários ou recursos comprometidos até que uma investigação seja concluída. Por exemplo, quando um endpoint é atacado, o ITDR pode determinar quem fez login e quais recursos foram usados. | Higiene de identidade: Ter ISPM dá a uma organização uma visão de 360 graus de como ela está se saindo quando se trata de segurança de identidade. O ISPM geralmente usa um sistema de pontuação para dizer às organizações onde elas estão; conforme os problemas são resolvidos, a pontuação do ISPM aumenta. |
Aplicando a teoria à prática: exemplos do mundo real
Isso não é apenas uma teoria. Infelizmente, há muitos exemplos do mundo real que ilustram por que você precisa de ITDR e ISPM.
Na violação do Snowflake de 2024, por exemplo, os invasores usaram credenciais comprometidas para obter acesso a dados críticos (você pode ler mais sobre essa violação aqui.) O ISPM poderia ter desempenhado um importante papel preventivo aqui. A investigação destacou uma grave ausência de MFA – uma fraqueza fundamental que poderia ter sido sinalizada pelo ISPM e mitigada pela aplicação de controles de acesso mais fortes antes de se tornar um problema. Se os invasores ainda tivessem conseguido obter acesso aos seus sistemas, o ITDR provavelmente teria detectado isso muito antes e dado às suas equipes de segurança uma vantagem inicial.
Da mesma forma, o Vulnerabilidade de autenticação imprópria do MOVEit 2023 levou ao desvio de autenticação e afetou inúmeras organizações, incluindo agências governamentais, usando a transferência de arquivos MOVEit. Embora o ITDR e o ISPM não necessariamente tenham interrompido o acesso inicial, eles poderiam ter detectado a atividade suspeita e reduzido significativamente seu impacto. Por exemplo, se os invasores tentassem se mover lateralmente ou interagir com sistemas ou dados fora do horário comercial ou de locais desconhecidos, o ITDR poderia ter detectado isso. Quanto ao ISPM, ele avalia continuamente o ambiente para identificar configurações incorretas e falhas como – como neste caso – deixar um aplicativo como o MOVEit acessível a usuários não autorizados sem controles adicionais.
Considerações Finais
O ITDR e o ISPM funcionam melhor como uma força unificada. O ISPM fortalece sua postura de segurança de identidade, tornando-o ciente de suas fraquezas de identidade antes de possíveis invasores, e o ITDR lhe dá a chance de lidar com ameaças de identidade à medida que se desdobram. Ao trabalharem juntos, eles não apenas abordam lacunas individuais – eles preenchem as peças que faltam para atingir uma abordagem unificada para a segurança de identidade.