O diretor de segurança de identidades da Microsoft, Alex Weinert, fez um alerta ao mercado em seu blog para o risco de ataques sofisticados como o Solorigate (que atingiu o site de downloads da SolarWinds): segundo ele, a adoção dos princípios de zero trust ajudará muito as organizações a evitar que isso aconteça outra vez, especialmente nas dimensões do que ocorreu agora (estima-se que a contaminação tenha atingido pelo menos 18 mil organizações).
Weinert pondera que o ataque foi sofisticado, mas ao mesmo tempo comum: “O ator demonstrou sofisticação na amplitude das táticas usadas para penetrar, expandir e persistir na infraestrutura afetada, mas muitas das táticas, técnicas e procedimentos (TTPs) eram individualmente comuns”, detalhou.
Veja isso
Segurança com zero trust num enfoque multidimensional
Executivos optam por zero trust ao migrar cargas para nuvem
Segundo ele, “as empresas que operam com a mentalidade zero trust em todo o ambiente são mais resilientes, consistentes e responsivas a novos ataques – e com o Solorigate não é diferente. À medida em que as ameaças aumentam em sofisticação, o zero trust é mais importante do que nunca, mas lacunas na aplicação dos princípios – como dispositivos desprotegidos, senhas fracas e lacunas na cobertura de autenticação multifator (MFA) podem ser exploradas”.
Um exame da forma pela qual os invasores comprometeram ambientes de identidade com o Solorigate mostrou, disse Weinert, três vetores principais: contas de usuário comprometidas, contas de fornecedor comprometidas e software de fornecedor comprometido. “Em cada um desses casos, podemos ver claramente onde o invasor explorou as lacunas na verificação explícita” (o que significa, segundo ele, examinar todos os aspectos de pedidos de acesso, e não assumir confiança com base em garantias fracas).
“Nosso princípio final”, acrescenta, “é presumir violação, construindo nossos processos e sistemas assumindo que uma violação já aconteceu ou acontecerá em breve. Isso significa usar mecanismos de segurança redundantes, coletar telemetria do sistema, usá-la para detectar anomalias e, sempre que possível, conectar esse insight à automação para permitir que você previna, responda e corrija em tempo quase real”.