As estatísticas não mentem: estamos perdendo a batalha contra o comprometimento de contas.
Apesar dos gastos mais de US $ 18.5 bilhões em produtos de segurança de identidade em 2024 — um aumento de 15% em relação ao ano anterior de acordo com o Gartner—a identidade continua sendo o ponto de entrada mais comum para invasores. É o vetor mais utilizado para comprometimento inicial, e a tendência tende a continuar. Só neste ano, houve mais de 800 milhões de novos conjuntos de credenciais roubadas foram comprometidos como resultado da explosão de infostealers.
Então, por que ainda estamos lutando?
A resposta curta é que segurança de identidade não evoluiu com a rapidez necessária. Ao contrário de outras áreas da segurança cibernética, a identidade continua presa ao pensamento tradicional. Tradicionalmente, tem sido considerada uma função de conformidade e capacitação de negócios, em vez de uma função de segurança de linha de frente. Como resultado, a maioria das organizações depende de ferramentas fragmentadas, implementações complexas e controles reativos que não conseguem acompanhar as ameaças modernas.
O comprometimento de contas não é uma anomalia, mas uma consequência inevitável de um modelo desatualizado.
Ainda estamos operando no que só pode ser chamado de Segurança de identidade v1. Esta é uma abordagem de primeira geração que carece da agilidade, integração e foco necessários para combater as ameaças atuais. A estratégia é aplicar controles em camadas Acima de ambientes já expostos, muitas vezes por meio de projetos que podem levar muitos anos para serem concluídos. Mas os invasores não esperam — e nós também não deveríamos.
Um sintoma claro dessa falta de controle são as conversas desconfortáveis que muitos líderes de segurança enfrentam: Qual é o nosso risco residual? O que isso significa em termos de negócios? Quando estaremos feito? Essas perguntas são difíceis de responder quando você não está totalmente no controle e precisa reagir constantemente às mudanças no ambiente abaixo de você.
Imagine um estado onde você pode definir e aplicar claramente controles de identidade fundamentais: cada administrador é obrigado a se autenticar com MFA, contas de serviço são restritos ao seu comportamento usual e aprovado, e todo o acesso é negado por padrão, a menos que explicitamente permitido. Esses controles não são aspiracionais: são implementáveis, executáveis e, principalmente, mensuráveis. Sua eficácia se reflete nas ameaças que são bloqueadas ou contidas antes que possam se agravar, estabelecendo uma linha direta entre o controle e a redução de riscos.
O que é necessário é uma mudança tanto na mentalidade quanto na tecnologia. Segurança de Identidade v2 coloca a prevenção de comprometimento no centro. É proativo, universal e desenvolvido para gerenciar riscos de identidade sem atrapalhar os negócios. Como resultado, a identidade não é tratada como algo secundário, mas sim como um ponto de controle.
Há uma necessidade urgente dessa mudança. Uma tempestade perfeita está se formando em torno de suposições ultrapassadas sobre o papel da identidade na segurança, da falta de ferramentas modernas que forneçam controle em tempo real e da crescente complexidade em ambientes de nuvem, SaaS e híbridos. Juntas, essas forças exigem uma nova abordagem, que nos permite controlar agora, em todos os lugares importantes, e fazer ajustes mais tarde.
Não podemos esperar. O custo da inação está claramente escrito em relatórios de violação e credenciais roubadas estão se acumulando a cada dia.
Por que a identidade é diferente e por que isso importa
A identidade se diferencia de outras áreas de segurança. Ao contrário da maioria dos domínios de segurança, a identidade é fundamentalmente sobre pessoas. Mesmo identidades não humanas, contas de serviço, APIs e identidades de máquina refletem, em última análise, decisões humanas tomadas por desenvolvedores, administradores ou proprietários de plataformas.
As identidades são únicas, pois estão intimamente ligadas às atividades cotidianas de uma organização. Elas afetam a maneira como as pessoas acessam ferramentas, colaboram e realizam tarefas — e, principalmente, como se sentem ao fazê-lo.
A identidade tem sido historicamente financiada por dois motivos:
1. Como podemos integrar rapidamente novos participantes e garantir autenticação perfeita para todos?
2. Como podemos atender aos requisitos de conformidade e evitar violações dispendiosas?
Agora, surgiu um terceiro e fundamentalmente diferente impulsionador: como podemos nos defender contra ameaças baseadas em identidade? Exige novas habilidades e uma nova mentalidade que nem sempre podem estar alinhadas com os objetivos tradicionais de eficiência ou conformidade.
Em muitos casos, a eficiência está associada a um aumento de risco, e o excesso de acesso é uma consequência comum. O escopo da conformidade é restrito e profundo, enquanto a segurança exige visibilidade e controle amplos e em tempo real. Devido a essas prioridades conflitantes, as equipes de identidade precisam evoluir para equipes de segurança de identidade com um novo mandato e ferramentas dedicadas.
Na maioria das áreas de segurança, essa evolução já está bem estabelecida: equipes de rede, endpoints e nuvem trabalham em conjunto com suas contrapartes especializadas em segurança, apoiadas por ferramentas específicas. Mas, na identidade, esse modelo muitas vezes está ausente. Equipes que gerenciam sistemas como Active Directory, Entre, ou Octa raramente contam com equipes de segurança dedicadas, que por sua vez contam com tecnologia especializada. Muitas vezes, não possuem as ferramentas necessárias para adotar uma abordagem que realmente priorize a segurança.
Para enfrentar as ameaças de hoje, isso precisa mudar.
Por que as ferramentas de segurança de identidade atuais não são suficientes
Como a segurança de identidade não evoluiu organizacionalmente, a tecnologia também ficou para trás, especialmente quando comparada a outras disciplinas de segurança.
Tomemos como exemplo a segurança de rede. Ferramentas modernas não oferecem apenas visibilidade; elas servem como um plano de controle universal que impõe proteções em todo o ambiente. As equipes de segurança podem definir e aplicar proativamente políticas de segurança para controlar riscos e responder em tempo real a ameaças. Esses controles são aplicados de forma consistente, garantindo que nenhuma parte da rede opere fora da estrutura de segurança da organização.
A identidade não teve a mesma evolução.
As ferramentas de segurança de identidade atuais se enquadram em uma das três categorias:
- Ferramentas que tratam a identidade como um conjunto de vulnerabilidades a serem corrigidas (por exemplo, senhas fracas, privilégios excessivos, contas órfãs)
- Ferramentas que isolam contas de risco (por exemplo, cofre via PAM)
- Ferramentas que tentam detectar ameaças baseadas em identidade e responder (por exemplo, ITDR)
As soluções são fragmentadas, concentrando-se apenas em plataformas de nuvem, SaaS ou identidade nativa, e frequentemente são implementadas em silos. Como resultado, invasores podem explorar essas lacunas facilmente.
Mais grave ainda, essas ferramentas não capacitam as equipes de segurança de identidade a assumir o controle dos riscos. Elas mantêm as equipes reativas, forçando-as a perseguir ameaças, remediar após o ocorrido e aplicar controles em camadas em resposta ao que já aconteceu.
Nos ambientes mais complexos de hoje, esse modelo simplesmente não funciona. Tratar a identidade como uma lista de itens pendentes a serem corrigidos significa que a exposição persiste até que tudo esteja perfeitamente corrigido, algo que nenhuma organização pode alcançar de forma realista.
É possível reduzir a exposição bloqueando contas de alto risco; no entanto, esse processo costuma ser difícil, prejudica a experiência do usuário e não escala bem. Essa abordagem exige perfeição: visibilidade perfeita, execução perfeita e cobertura completa em todos os sistemas críticos. Nenhuma empresa pode afirmar honestamente que conseguiu isso.
Resolver problemas de comprometimento de contas exige mais do que uma simples colcha de retalhos. Requer um novo tipo de tecnologia de segurança de identidade — uma que dê às equipes controle real, feche lacunas proativamente e coloque você no comando.
Como assumimos o controle?
A autenticação hoje não é projetada tendo a segurança como objetivo principal. Ao projetar redes, a segurança é prioridade. Firewalls, segmentação e controles são criados para limitar o raio de ação e conter ameaças. Você não aceitaria uma rede sem controles de segurança integrados. No entanto, a autenticação normalmente é projetada para garantir o tempo de atividade e a disponibilidade. A prioridade é operacional: os usuários conseguirão fazer login quando necessário? Os sistemas permanecerão ativos e funcionando para dar suporte aos negócios? Essa mentalidade reflete o legado da identidade como um facilitador de negócios, não um controle de segurança.
Mas por que a autenticação não é construída com segurança em primeiro lugar?
Por que não começamos de uma posição de negando por padrão e Aplicar controles de segurança para impor padrões de segurança alinhados com nosso apetite ao risco? Como resultado, o raio de ação será reduzido e o risco de comprometimento da conta será reduzido.
Imagine se estas fossem as políticas padrão:
- Exigir MFA for todos os acesso a infraestrutura sensível
- Negar qualquer conexão que não seja originária de fontes confiáveis
- Bloquear autenticação usando protocolos legados ou inseguros
Quando abordamos a identidade com essa mentalidade, o jogo muda. Os riscos de segurança tornam-se menos urgentes porque o ambiente é controlado pelo design. Agora é mais fácil explicar os riscos aos executivos, não porque os problemas desapareceram, mas porque assumimos o controle de como a identidade é protegida.
Isso dá a você o espaço e tempo que você precisa modernizar seu cenário de identidade mantendo o controle do risco em cada etapa do caminho—seja adotando credenciais efêmeras, caminhando em direção ao privilégio zero ou repensando como o acesso é concedido.