A luta contra o roubo da identidade: o que é ITDR e como implementar essa inteligência na organização
Thiago N. Felippe*
Os cibercriminosos aproveitam o roubo de identidade para acessar enormes quantidades de informações pessoais e confidenciais. A estratégia é simples: obter acesso a uma conta privilegiada dentro de uma organização digital e usar esse privilégio para comprometer dados. Estudo do Gartner de 2022 indica que credenciais roubadas estão por trás de 61% de todos os vazamentos de dados ocorridos nos EUA. Uma pesquisa patrocinada pela Identity Defined Security Alliance (IDSA) revela que 99% dos entrevistados acreditavam que os vazamentos relacionados a identidades poderiam ter sido evitados se a empresa contasse com outra postura de segurança em relação a esse ativo.
Uma possível resposta a esse dilema é o conceito ITDR (Identity Threat Detection and Response – detecção e resposta a ameaças contra identidades). ITDR é uma estrutura de segurança cibernética projetada para detectar, investigar e responder a ameaças direcionadas às identidades de usuários dentro de uma organização. As soluções de ITDR são focadas na identificação de atividades suspeitas, tentativas de acesso não autorizado e possíveis violações de identidade, monitorando continuamente eventos e comportamentos relacionados a identidades. Em qualquer cenário de ataque, o tempo é essencial. Tirando proveito de análises avançadas, Machine Learning e análise comportamental, a inteligência ITDR pode alertar proativamente o CISO acerca de ameaças baseadas em identidades. Reduzindo o tempo médio de detecção (MTTD), é possível reduzir o tempo médio de resposta e evitar violações de dados e outros tipos de ataques capazes de interromper os negócios.
Phishing e roubo de identidade
Há uma relação entre o phishing e o roubo da identidade. A meta dos criminosos é, por meio de e-mails ou sites falsos, enganar os usuários e fazê-los fornecer informações confidenciais, como credenciais de login. Com a ajuda de IA, os golpes de phishing parecem muito autênticos, e os ataques de engenharia social se tornaram bastante elaborados. Os ataques de preenchimento de credenciais por meio de Bots também se tornaram muito comuns, com todos os milhões de credenciais comprometidas circulando pela dark web. Em comum entre todos esses ataques está o foco na exploração de identidades. O fato de vivermos na era dos acessos remotos torna o quadro ainda mais desafiador.
A diferença entre ITDR, EDR e MDR
Na jornada de compreensão do papel do ITDR na política de segurança digital da organização, é importante estabelecer a diferença entre este e outros modelos.
É o caso, por exemplo, da diferença entre ITDR e EDR (Endpoint Detection and Response). Embora eles se complementem no fornecimento de uma proteção abrangente de segurança cibernética, diferem em suas abordagens. O EDR tem foco nos endpoints, laptops, desktops e servidores, capturando dados específicos de endpoints para identificar e responder a ameaças focadas no dispositivo. Caso um agente de ameaça tente obter acesso a uma rede por meio de um dispositivo endpoint, é função de uma solução EDR detectar essa atividade e remediá-la e/ou alertar uma equipe de segurança.
Pode haver dúvidas, também, sobre a diferença entre ITDR e MDR. Tanto a Detecção e Resposta Gerenciada (MDR) quanto a Detecção e Resposta a Ameaças de Identidade (ITDR) focam a identificação e mitigação de ameaças cibernéticas, mas diferem em abrangência e abordagem. O MDR é um serviço gerenciado que monitora múltiplos endpoints, redes e ambientes de nuvem.
Há recursos essenciais para a eficácia da plataforma ITDR:
- Fortes controles preventivos e capacidades robustas de descoberta de identidades. A meta é identificar e catalogar todas as identidades, humanas e não humanas, em toda a rede da organização.
- Priorização de riscos que permita ao sistema avaliar e classificar vulnerabilidades e ameaças potenciais com base no seu impacto.
- Operação em tempo real, para detectar e prevenir tentativas de acesso malicioso antes que se tornem ameaças reais.
- Capacidades de remediação automatizadas, que permitam ao sistema tomar medidas imediatas para mitigar riscos sem necessitar de intervenção manual.
- Visibilidade abrangente e contínua, que forneça insights em tempo real acerca de atividades relacionadas a identidades e potenciais riscos em toda a rede.
- Outros serviços de ponta incluem detecção e resposta a ameaças, bem como governança de identidades, gerenciamento de acesso e relatórios de conformidade.
O desafio de proteger as identidades registradas no AD e no Azure AD
Qualquer organização que atualmente opere às cegas, sem visibilidade e insights sobre os ambientes AD e Azure AD, é altamente vulnerável a ataques. A abordagem ITDR protege essas infraestruturas de identidades. Por ser o armazém central de identidades para 90% das organizações do mundo todo, o Active Directory (AD) é um dos maiores alvos dos criminosos cibernéticos. Extensamente usado também no Brasil, o AD é, muitas vezes, um recurso com milhares de identidades legadas com vulnerabilidades nem sempre fáceis de se proteger.
Isso explica por que o AD é, rotineiramente, comprometido em incidentes cibernéticos, incluindo o ataque à Colonial Pipeline e a invasão à SolarWinds em 2021 e 2022. A consultoria Mandiant aponta que o AD está envolvido em 9 de cada 10 ataques investigados por ela em 2021. Sem as ferramentas certas, as vulnerabilidades do AD podem facilitar que os cibercriminosos movam-se lateralmente por toda a empresa, sem serem detectados e interrompidos.
As etapas do avanço em direção ao modelo ITDR
O processo de escolha e implementação de uma solução ITDR é algo complexo. O primeiro passo é realizar uma avaliação inicial para obter um panorama preciso de postura atual de segurança de identidades da organização. É recomendável organizar uma equipe de ITDR com os interessados envolvidos, para definir os objetivos de uma solução proposta.
Uma vez tomada uma decisão, o verdadeiro trabalho começa. É hora de desenvolver um roteiro de implementação que inclua programas piloto em escala reduzida para começar a trabalhar antes da implementação completa. Faz-se necessário, também, elaborar um programa de treinamento que atenda tanto a administradores quanto a usuários, para garantir que todos conheçam os benefícios que o ITDR trará às suas funções. Outro ponto chave é investir continuamente em treinamento, monitoramento e otimização de todos os processos de ITDR.
O ITDR se integra aos sistemas de segurança existentes, automatiza respostas, oferece suporte à conformidade e fornece investigação detalhada de incidentes. A meta é reduzir a superfície de ataque e aprimorar a postura geral de segurança cibernética. Quanto mais rapidamente o time de segurança souber das ações que poderiam colocar em risco as identidades da sua organização, mais fácil será bloquear possíveis eventos de risco. A inteligência trazida pela disciplina ITDR permite que o CISO frustre seus adversários antes que a violação aconteça.
*Thiago N. Felippe é CEO da Aiqon.