A violação de Okta – Lições que só os invasores podem ensinar

“Não há professor senão o inimigo. Ninguém além do inimigo lhe dirá o que o inimigo irá fazer. Ninguém, exceto o inimigo, jamais lhe ensinará como destruir e conquistar. Somente o inimigo mostra onde você é fraco. Somente o inimigo mostra onde ele é forte. E as regras do jogo são o que você pode fazer com ele e o que você pode impedi-lo de fazer com você.”
(Jogo de Ender, Cartão Orson Scott)

Embora o recentemente divulgado ataque a Okta parecia ser limitado em escopo e impacto, mas fornece informações importantes sobre o papel crítico que o uso de credenciais comprometidas desempenhou nesta violação. Colocar essa violação no contexto geral do cenário de ameaças atual revela que as identidades dos usuários se tornaram um dos principais alvos superfície de ataque. Como essa mudança no manual dos atores de ameaças deve impactar nossa arquitetura e práticas de segurança para que possamos vencer ataques que empregam contas de usuário como seus principais vetores de ataque? Neste artigo, exploramos as principais lições que os atores da ameaça Lapsus$ nos ensinaram nesta violação e como podemos usar essas lições para aumentar a resiliência dos nossos ambientes às ameaças de identidade.

Uma breve recapitulação da violação do Okta

Os invasores do grupo de ataque Lapsus$ conseguiram comprometer um endpoint de um engenheiro de suporte terceirizado via RDP. Após o comprometimento do endpoint, os invasores desabilitaram o agente de proteção de endpoint e baixaram várias ferramentas, como ProcessHacker e Mimikatz. Eles então usaram essas ferramentas no endpoint comprometido para obter credenciais para a conta O365, associada a uma empresa que o provedor de serviços terceirizado adquiriu em agosto de 2021. Assim que esse acesso foi obtido, os invasores criaram uma nova conta e configuraram uma regra para encaminhar todos mail para esta conta, impactando potencialmente 366 clientes Okta.

Principais conclusões para as partes interessadas em segurança:

Lição nº 1: os invasores atacam seus pontos fracos

Então, o que o inimigo nos ensinou através desta violação? Acreditamos… muito. Em primeiro lugar, fomos lembrados (nada de novo) de que a cadeia é tão forte quanto o seu elo mais fraco e que os atacantes inicialmente visam esses elos fracos para, em última análise, acederem ao que está por detrás dos mais fortes. Com base no fluxo de ataque que descrevemos, vejamos os elos mais fracos Atores de ameaças Lapsus$ almejaram lançar seu ataque:

Fraqueza nº 1: adição de novos ambientes de fusões e aquisições

Nada de novo aqui, mas ainda assim um lembrete útil. Fusões e aquisições são parte integrante do ciclo de vida dos negócios. Dito isto, não há uma maneira fácil de absorver um ambiente de TI ativo em outro. Embora não existam soluções fáceis aqui, as equipes de segurança deveriam seguir o manual dos invasores e dedicar maior atenção a essas novas partes de suas redes, uma vez que são as que têm maior probabilidade de serem alvo.

Fraqueza nº 2: Cadeia de suprimentos e acesso de terceiros

O ambiente de TI empresarial moderno é um ecossistema, não uma entidade independente. Isso significa que, por design, as pessoas estão se conectando ao seu ambiente a partir de máquinas que você não gerencia com práticas de segurança que podem não estar alinhadas com as suas, enquanto você permanece responsável por uma violação que ocorre por causa delas. No final das contas, o único aspecto do ecossistema da cadeia de suprimentos que você pode controlar é a política de acesso e os requisitos que terceiros devem cumprir para serem confiáveis.

Fraqueza nº 3: os recursos da nuvem em um ambiente híbrido estão expostos a ataques originados de máquinas locais

No final das contas, mesmo que você seja nativo da nuvem e tenha sido transformado digitalmente, haverá recursos não-web fazendo interface com seu ambiente ou fazendo parte dele. O exemplo mais intuitivo são as estações de trabalho que seus funcionários usam para se conectar a aplicativos SaaS e cargas de trabalho em nuvem. Se tal estação de trabalho for comprometida, os invasores poderão facilmente obter as credenciais armazenadas e avançar sua presença, não apenas para máquinas adicionais no local, mas também para aplicativos SaaS e cargas de trabalho na nuvem.

O exame dessas fraquezas revela que elas não são da magnitude de uma vulnerabilidade não corrigida ou de uma política mal configurada. Eles não podem ser simplesmente eliminados com o clique de um botão e não são resultado de qualquer negligência de segurança. Em vez disso, são inerentes à infra-estrutura de qualquer ambiente de TI.

Lição nº 2: Credenciais comprometidas foram a espinha dorsal do ataque

Embora cada uma das duas primeiras fraquezas abra o ambiente a vários tipos de ataques, a terceira fraqueza – exposição dos recursos da nuvem a ataques originados no ambiente local – intensifica radicalmente o seu impacto. Credenciais comprometidas desempenhou um papel duplo neste ataque. Primeiro, no acesso inicial à máquina comprometida e, segundo, no acesso ao O365. Então, é o ataque baseado em identidade vetor que entrelaçou as três fraquezas em um ataque extremamente eficaz que coloca em risco recursos que parecem estar sob alta proteção.

Lição nº 3: uma superfície de ataque de identidade só pode ser protegida quando unificada

Disperso Proteção de identidade cria pontos cegos. Se o acesso remoto via RDP for protegido pelo provedor de VPN, o login SaaS por CASB e a conexão interna entre máquinas locais por invasores EDR irão contorná-los um por um. A melhor alternativa é monitorar e proteger centralmente todas as tentativas de autenticação e acesso, de modo que um risco detectado no login de um usuário em um recurso permita a restrição do acesso desse usuário a todos os outros recursos também.

Cada parte interessada na segurança pode extrair desta análise uma verdade simples: no ambiente empresarial atual, a identidade é a principal superfície de ataque. E as nossas arquiteturas de segurança devem ajustar-se, responder e tornar-se nativas a esta visão se quisermos obter vantagem na batalha contra os ciberataques.

Parando o inimigo

A violação do Okta destaca uma tendência que tem aumentado lentamente nos últimos anos. Os invasores preferem lançar ataques baseados em identidade, usando credenciais comprometidas para acessar recursos direcionados. E fazem isso porque esse vetor de ataque é o menos protegido no ambiente empresarial atual. A resposta da nossa parte deve ser reconhecer que a identidade é uma superfície crítica de ataque e protegê-la adequadamente – com prevenção, detecção e resposta em tempo real a ameaças de identidade no local e na nuvem, isso se aplica igualmente à conexão RDP com estações de trabalho remotas, login na web para um aplicativo SaaS e acesso de linha de comando a um servidor local.

Sobre Silverfort

Silverfort foi pioneira no primeiro Proteção contra ameaças de identidade plataforma desenvolvida especificamente para prevenção, detecção e resposta em tempo real a ataques baseados em identidade que utilizam credenciais comprometidas para acessar recursos direcionados. Silverfort evita esses ataques por meio de monitoramento contínuo, análise de risco e aplicação em tempo real de Confiança zero políticas de acesso em cada usuário, sistema e ambiente no local e na nuvem.

Saiba mais sobre Silverfort proteção contra ameaças de identidade.