Cuidado com o vão! Quem é responsável pela proteção contra ameaças de identidade na sua organização?

As ameaças de identidade (ou seja, o uso de credenciais comprometidas para acesso malicioso a recursos direcionados) tornaram-se o elemento dominante do cenário atual de ameaças. Além disso, estas são as ameaças contra as quais as organizações consideram mais difícil proteger-se, com movimento lateral e a propagação de ransomware causando danos generalizados aparentemente diários. No entanto, na maioria das organizações existe de facto uma lacuna em termos de quem é realmente responsável pela prevenção destes ataques. E esta lacuna é uma das razões fundamentais pelas quais as organizações lutam para obter vantagem contra as ameaças de identidade.

Neste post, discutiremos essa lacuna examinando um exemplo de caso de uso, com o objetivo de levar todos os profissionais de segurança cibernética a refletirem sobre o quão presente está essa lacuna em suas organizações e como ela pode ser resolvida.

As equipes de identidade não são responsáveis ​​pela prevenção de ataques cibernéticos

Conheça Jack. Jack é um gerente de identidade e acesso (IAM) engenheiro em sua empresa. Parte da função de Jack é implementar a autenticação multifator (MFA) proteção no acesso de seus usuários. Sendo um profissional consumado, Jack avalia, compra e implanta um Solução MFA em todos os aplicativos SaaS e web de sua empresa, bem como para acesso VPN remoto ao ambiente local e acesso ao Protocolo de Área de Trabalho Remota (RDP) dentro dele.

Mas porque MFA para RDP implica a instalação de um agente em cada servidor do ambiente, é tomada a decisão de não implantar isso em um grupo específico de servidores mais antigos que suportam vários aplicativos críticos para os negócios. A preocupação aqui é que a carga adicional dos agentes MFA irá travar esses servidores, levando a um tempo de inatividade inaceitável. Portanto, o projeto é considerado bem-sucedido dadas essas considerações.

As equipes de segurança não são responsáveis ​​pela avaliação e implantação de produtos de proteção de identidade

Agora conheça Jill, que é gerente do Centro de Operações de Segurança (SOC) na equipe de segurança de sua empresa. Seu KPI é prevenir, detectar e responder a ataques cibernéticos. Jill está ciente de que ransomware os ataques que se espalham pelo ambiente empresarial são uma ameaça crítica. Os adversários conseguem essa propagação usando credenciais de usuário comprometidas para fazer login no maior número de máquinas possível. Para evitar isso, a equipe de Jill investe um esforço significativo na resposta a alertas e busca proativamente acessos anômalos de usuários que possam indicar que tal disseminação está ocorrendo.

No entanto, nem Jill nem ninguém da sua equipa estiveram envolvidos na avaliação, teste e implementação da solução MFA que está agora em vigor em todo o ambiente da sua empresa. Como o seu foco está diretamente nos ataques cibernéticos, a sua única reação é ficar feliz em saber que o projeto do MFA foi concluído com sucesso.

O resultado: ataques cibernéticos que incluem ameaças à identidade encontram pouca defesa

Um dia, o ransomware chega. Os adversários percebem que os servidores de aplicativos da organização são o melhor alvo para manter como reféns. Para obter controle desses servidores e criptografar os dados neles contidos, eles tentam fazer login via RDP usando as credenciais de um usuário comprometido. E como não há MFA nesses servidores, a tentativa foi bem-sucedida. Agora os adversários estão no controle total e podem impor suas demandas de ransomware à organização.

Vamos sair da nossa história e refletir sobre o que aconteceu aqui.

Lições aprendidas: quando ninguém é dono do risco, o risco é seu dono

Então, o que tornou essa violação possível, apesar de existirem equipes de identidade e segurança dedicadas e talentosas? A resposta está em como Jack e Jill percebem o papel que lhes foi atribuído em sua organização.

De sua parte, Jack não foi encarregado de impedir a propagação de ransomware, mas sim de implantar uma solução MFA. Da sua perspectiva, os servidores sem protecção MFA não eram vistos como um risco de segurança, mas sim como uma percentagem em falta na taxa de cobertura global de MFA do projecto. E uma taxa de cobertura de 90% é significativamente melhor do que a taxa anterior de 0%. Foram feitos os melhores esforços e, embora os resultados não tenham sido perfeitos, foram definitivamente bons o suficiente.

Jill, por outro lado, não participou de forma alguma no projeto do MFA. Ao contrário de um SIEM ou de um EDR, o MFA não é considerado um produto de segurança, mas sim um foco da equipa de identidade. Se Jill estivesse envolvida nas discussões de MFA, ela poderia ter descoberto que os servidores de aplicativos foram expostos e pressionada para atualizá-los, de modo que o projeto de MFA não fosse considerado concluído antes que esses servidores estivessem totalmente protegidos.

Então Jack é o culpado pela violação? Na verdade não, porque isso nunca fez parte de sua responsabilidade. Isso significa que Jill é a culpada pela cobertura parcial do MFA? Na verdade não, porque o MFA nunca fez parte da sua jurisdição.

E é exatamente desta lacuna de responsabilidade que estamos falando.

Poderia existir uma lacuna de responsabilidade em seu ambiente?

Esta história é um bom exemplo do estado de Proteção de identidade hoje. Como essa lacuna de responsabilidade se desenvolveu e por que ela é encontrada apenas na proteção de identidade (ao contrário da proteção de endpoint ou de rede) merece uma discussão separada. O mais importante é você perguntar se um cenário semelhante poderia ocorrer em seu ambiente.

Aqui estão algumas perguntas importantes que você deve fazer a si mesmo:

• Suas equipes de SecOps estão envolvidas na implementação de controles de proteção de identidade, como MFA e PAM?
• O seu CISO tem uma palavra a dizer no design e implementação da infraestrutura IAM?
• A sua equipe de identidade percebe que as soluções que avaliam e implantam são, na verdade, a última linha de defesa contra ataques que podem colocar toda a organização em risco?

E a pergunta mais importante: Existe uma única parte interessada na sua organização que tem a responsabilidade de prevenir ameaças à identidade, bem como a autoridade e o conhecimento para determinar as medidas de segurança que devem ser implementadas para conseguir isso? Isto não quer dizer que a protecção da identidade estará completa depois de resolvida a lacuna de responsabilização. Certamente, existem outros desafios a superar antes de chegar lá. Mas é um primeiro passo essencial a dar para tornar possível esta protecção. Em última análise, não importa se a pessoa responsável vem do lado da identidade ou das equipes de segurança. Contanto que haja um proprietário claro em sua organização, o marco inicial para obter vantagem sobre as ameaças de identidade será alcançado.