A identidade é agora uma prioridade máxima para os tomadores de decisões de segurança. A necessidade de superar TTPs maliciosos, como acesso a credenciais, escalonamento de privilégios e movimento lateral, nunca foi tão urgente. Quando mais de 80% das violações envolvem o uso de credenciais comprometidas e os ataques de ransomware derrubam até mesmo as maiores organizações, o preço de negligenciar segurança de identidade é inacessível.
Este estado de coisas levou ao surgimento de uma categoria de produtos desenvolvida especificamente para a proteção da superfície de ataque de identidade: ITDR - Detecção e Resposta a Ameaças à Identidade (ITDR). No entanto, a introdução de uma nova categoria inevitavelmente acarreta um período de confusão para os compradores, durante o qual as equipes de segurança de identidade devem descobrir quais ITDR capacidades são obrigatórias e são “boas de ter”.
Este artigo auxilia as organizações nessa jornada, fornecendo os cinco principais critérios de avaliação para avaliar o quão bem uma ITDR a solução pode cumprir o que promete.
Critérios de avaliação nº 1: A amplitude e profundidade da cobertura
O processo de ataque de identidade a superfície é extremamente heterogênea e compreende múltiplos componentes. Podemos classificá-los nos seguintes grupos:
Recursos
O ambiente local inclui estações de trabalho e servidores, infraestrutura de TI, bancos de dados e aplicativos legados. Algumas máquinas virtuais são gerenciadas em servidores de data center, enquanto as máquinas virtuais IaaS residem na nuvem pública. A eles se juntam o SaaS corporativo e aplicativos da web para armazenamento, e-mail e outros fins.
Protocolos e métodos de acesso
Active Directory usa protocolos como NTLM, Kerberose LDAP para gerenciar o acesso a servidores, estações de trabalho e outros recursos locais. Esse acesso é realizado de diversas formas – linha de comando, RDP e ferramentas dedicadas de acesso remoto (Teamviewer e outras semelhantes). O acesso remoto VPN geralmente é feito por meio de um RADIUS, enquanto os servidores de federação e os IdPs em nuvem empregam SAML, OpenID e OAuthor para acessar aplicativos SaaS por meio dos navegadores da web dos usuários.
Além disso, existem vários tipos de usuários: padrão, privilegiados, humanos e não humanos. Alguns são mais fáceis de detectar e monitorar, enquanto outros são mais desafiadores. Um exemplo proeminente são as Identidades Não-Humanas (NHI), como contas de serviço in Active Directory ambientes extremamente difíceis de localizar e mapear.
Uma solução ITDR deve ser capaz de aplicar seus recursos a todos os usuários, recursos e métodos de acesso no ambiente híbrido.
Por que isso Importa?
Para proteger verdadeiramente um superfície de ataque você deve proteger tudo isso sem pontos cegos. Proteger apenas uma parte dele simplesmente deixa o caminho livre para os adversários mirarem na parte desprotegida. É por isso que, por exemplo, o movimento lateral e a propagação de ransomware são realizados principalmente por meio de acesso à linha de comando (como PsExec, PowerShell e ferramentas WMI) em vez de RDP. Embora este último seja geralmente protegido com MFA, o primeiro não suporta isso. Proteger um único método de acesso a um servidor não é proteção suficiente quando existem outros pontos de acesso não seguros.
Critérios de avaliação nº 2: O mais próximo possível do tempo real
As soluções ITDR analisam autenticações de usuários e tentativas de acesso para divulgar ameaças potenciais. A análise em tempo real fornece ao ITDR visibilidade de cada autenticação desde as fases de iniciação e verificação até à conclusão e acesso reais. A alternativa é analisar o log de autenticação após a tentativa de acesso ser aprovada ou negada.
Por que isso Importa?
O objetivo do ITDR é detectar suspeitas de atividades maliciosas. Quanto mais próxima esta análise estiver do evento de autenticação em tempo real, maiores serão as chances de detectar acesso malicioso antes que ele se transforme em uma ameaça real. Além disso, existem várias anomalias que podem ser detectadas apenas durante a autenticação propriamente dita; isso seria um ponto cego para soluções ITDR que dependem de análise retroativa de logs.
Critérios de avaliação nº 3: Mecanismo de detecção multicamadas
A detecção de atividades maliciosas depende da detecção de anomalias que se desviam do comportamento legítimo padrão. No entanto, este não é um jogo de soma zero e, embora algumas anomalias estejam claramente associadas a atividades maliciosas, a maioria pode ocorrer por outros motivos não relacionados. Usar um mecanismo de risco capaz de detectar diferentes tipos de anomalias pode aumentar a precisão e reduzir o risco de falsos positivos. As anomalias que um ITDR normalmente deve procurar incluem:
Anomalias de protocolo
Estas anomalias resultam de técnicas de ataque que exploram fraquezas nos protocolos de autenticação para obter acesso malicioso – passar o ticket, passar o hash, etc. Estas são chamadas anomalias de protocolo porque envolvem uma alteração do processo de autenticação.
Anomalias de comportamento
Essas anomalias ocorrem como resultado da atividade de movimento lateral. O movimento lateral é, por natureza, uma atividade oportunista na qual o adversário salta de máquina em máquina em busca de quaisquer usuários armazenados e máquinas que possam ajudá-lo a atingir seu alvo. Por exemplo, um invasor que acessasse a máquina do paciente zero a usaria como ponto de partida para acessar outras pessoas, uma por uma, procurando credenciais de administrador armazenadas ou o nome do computador de um servidor crítico. Esse tipo de pesquisa e movimentação varia muito do acesso padrão de usuários legítimos.
Anomalias do usuário
Cada usuário tem sua própria linha de base de acesso a recursos. Isso é especialmente verdadeiro para identidades não humanas como contas de serviço do AD, mas se aplica à maioria dos usuários humanos também. Excluindo helpdesk e administradores de TI que precisam de acesso a várias máquinas para solução de problemas, a maioria dos usuários tem um conjunto definido de recursos que acessam em sua rotina de trabalho. Uma vez que um adversário compromete uma conta de usuário para executar movimento lateral, há uma grande chance de que ele tente acessar recursos que esse usuário nunca acessou antes.
Por que isso Importa?
Embora cada anomalia por si só implique uma percentagem de falsos positivos, a intersecção entre eles é significativamente mais fiável. Aqui está um exemplo:
O usuário Bob acessa um recurso que nunca havia acessado antes. Isso significa que Bob está comprometido? Não necessariamente. Esses tipos de anomalias ingênuas também ocorrem nas atividades legítimas de cada usuário. Vamos agora supor que a autenticação que Bob realizou para acessar este recurso usou um algoritmo de criptografia mais fraco do que o esperado. Embora suspeito, isso também não é necessariamente malicioso. Porém, se ambas as anomalias ocorrerem na mesma tentativa de acesso, a probabilidade de ser maliciosa aumenta significativamente.
Critérios de avaliação nº 4: Capacidade de acionar controles de segurança de identidade em tempo real
A segurança da identidade é realizada com controles dedicados para evitar acessos maliciosos, como bloqueio de acesso, MFA e acesso just-in-time. O papel central do ITDR é descobrir se uma tentativa de acesso é maliciosa. No entanto, é essencial que o ITDR também tenha as integrações necessárias para acionar controlos de segurança de identidade em tempo real. Os mais críticos são MFA e bloqueio de acesso.
Por que isso Importa?
Os alertas exigem triagem e investigações manuais e, como regra geral, resolver todos eles está além da capacidade da equipe de SecOps. Um ITDR capaz de usar seus sinais de detecção para acionar MFA e bloquear o acesso pode fornecer proteção automatizada em tempo real e bloquear atividades maliciosas, em vez de apenas alertar sua presença.
Critérios de avaliação nº 5: Integração perfeita com a pilha de segurança
Embora o ITDR seja responsável pelo aspecto de identidade dos ataques cibernéticos, esta é apenas uma parte – embora significativa – de toda a história da proteção contra ameaças. Para oferecer proteção abrangente, uma solução ITDR deve ser capaz de trocar dados e sinais de risco com outros componentes-chave da pilha de segurança. Por exemplo, o EDR/XDR deve ser capaz de fornecer ao ITDR dados sobre processos e arquivos suspeitos, e ao firewall ou ZTNA sobre portas abertas e origem/destino do tráfego. Além disso, o ITDR deve ser capaz de compartilhar dados com a solução SIEM para adicionar sinais de segurança de identidade ao contexto completo da atividade de rede e arquivo, bem como ocorrer em fluxos de trabalho SOAR automatizados.
Por que isso Importa?
Aumenta a precisão
Cada solução de segurança tem um tipo de atividade que pode monitorar e analisar e outras para as quais é cega. Por exemplo, da mesma forma que as soluções de proteção de endpoint são cegas para o processo de autenticação, o ITDR é cego para a execução de processos e arquivos. A interseção das duas perspectivas aumenta a precisão e a eficiência.
Melhor operabilidade
As equipes de SecOps empregam uma infinidade de ferramentas de segurança. No entanto, normalmente existe um componente – SIEM ou XDR – que funciona como a interface principal a partir da qual os alertas são gerenciados. O ITDR deve ser capaz de se adaptar perfeitamente aos fluxos de trabalho dessa interface para agregar seu valor de segurança.
O ITDR é um fator chave na redução da probabilidade e do impacto das ameaças à identidade
O objetivo do ITDR é reduzir a probabilidade e o impacto de um ataque bem-sucedido relacionado à identidade. Os critérios discutidos neste artigo são apontados com base na sua contribuição para esta causa.
Você já selecionou algumas soluções ITDR? Use esses critérios para fazer perguntas difíceis. As respostas permitirão que você saiba se a solução que você está procurando pode reduzir o risco de sua identidade e fornecer a resiliência que você procura.