Roubo da identidade: estratégia primordial dos criminosos digitais

Thiago N. Felippe*
05/02/2024

Na era da computação em nuvem e do acesso remoto pleno, a identidade é o perímetro definitivo. Ficou no passado o perímetro configurado localmente — por exemplo, a rede da sede de uma organização. Num mundo hiper distribuído, é a identidade do usuário que determina o alcance e a profundidade de acesso que o colaborador terá às aplicações e aos dados críticos da empresa. O novo perímetro necessita de proteção contra ataques cibernéticos. Atacantes têm como meta roubar a identidade do usuário para, de posse de direitos de acesso, realizar crimes cada vez mais rentáveis. Isso é feito por meio de credenciais vazadas, usuários com excesso de privilégios e falhas na visibilidade sobre a nuvem.

É possível afirmar que o comprometimento e o mau uso de identidades seja fundamental para quase todo ataque cibernético. Estudo do Gatner de 2022 indica que credenciais roubadas estão por trás de 61% de todos os vazamentos de dados ocorridos nos EUA. Há razões para isso: segundo o 2023 ForgeRock Identity Breach Report, os invasores miram as informações pessoais atreladas à identidade do usuário. Em 2022, 72% dos vazamentos nos EUA continham data de nascimento e número do Social Security (SSN), um aumento de 20% em relação a 2021. Esses dados, somados a outras credenciais vazadas, são usadas por bots maliciosos para tentar acesso a dados críticos — um tesouro que gera riqueza para os atacantes. O relatório sobre violações de identidades demonstra que o acesso não autorizado continua sendo o principal vetor de ataque, representando 49% de todos os vazamentos de dados.

Interdependência entre roubo de identidade e vazamentos de dados

Trata-se de um mal cada vez mais presente nas jornadas digitais das organizações. Uma pesquisa de 2022 patrocinda pela Identity Defined Security Alliance (IDSA) descobriu que 79% dos entrevistados tiveram um vazamento relacionado a identidades nos últimos dois anos, e que 99% dos entrevistados acreditavam que os vazamentos relacionados a identidades poderiam ter sido evitados se a empresa contasse com outra postura de segurança em relação a esse ativo.

É neste contexto que entra um novo conceito criado pelo Gartner: o ITDR (Identity Threat Detection and Response — detecção e resposta a ameaças contra identidades) descreve a disciplina de segurança que protege a infraestrutura de identidade. Trata-se de uma abordagem que abrange inteligência de ameaças, melhores práticas, uma base de conhecimento, ferramentas e processos para proteger sistemas de identidades. O ITDR funciona implementando mecanismos de detecção, investigando alterações de postura e atividades suspeitas, e respondendo a ataques para restaurar a integridade da infraestrutura de identidade. Essa disciplina pode ser implementada com auxílio de soluções ITDR que realizam essas ações de forma automatizada, em ambiente distribuído, na nuvem.

Microsoft Active Directory e Azure AD são repositórios de identidades 

Esse conceito foi apresentado há dois anos e, neste momento, está sendo muito utilizado para descrever uma disciplina e soluções que protegem sistemas de identidades como Active Directory (AD) e Azure AD, da Microsoft. Esses diretórios recebem os registros da identidade de cada usuário, liberando e bloqueando acessos de acordo com a posição da pessoa e o trabalho que tem de ser executado por esse profissional. O criminoso digital que conseguir acesso ao AD ou ao Azure AD – entre outros repositórios de identidades – poderá usar dados legítimos para realizar ações ilegítimas.

A abordagem ITDR protege, portanto, a infraestrutura de identidades. E, por ser o armazém central de identidades para 90% das organizações do mundo todo, o Active Directory (AD) é um dos maiores alvos dos criminosos cibernéticos (dado do Gartner). Extensamente usado também no Brasil, o AD é, muitas vezes, um recurso com milhares de identidades legadas com vulnerabilidades nem sempre fáceis de se proteger. Isso explica por que o AD é, rotineiramente, comprometido em incidentes cibernéticos, incluindo o ataque à Colonial Pipeline e a invasão à SolarWinds em 2021 e 2022. A consultoria Mandiant aponta que o AD está envolvido em 9 de cada 10 ataques investigados por ela em 2021.

Os agentes de ameaças podem usar o AD para aumentar seus privilégios de acesso, evadir-se de medidas defensivas e realizar técnicas de persistência, dentre outras táticas. O AD se tornou um alvo popular para os atacantes por ser tão essencial. Uma pesquisa recente revelou que 80% dos entrevistados usam um híbrido de AD e Azure AD, e 16% usam AD on-premises como seu armazém de dados primário. Somente 4% das organizações participantes da enquete não usam AD ou Azure AD. E 77% dos entrevistados indicaram que sofreriam um impacto severo ou catastrófico se o AD ficasse inoperante. 

Tudo isso faz com que o AD e o Azure AD sejam frentes de batalhas críticas em 2024. O CISO que examinar o valor que a disciplina ITDR adiciona a esse contexto talvez conquiste uma resiliência inédita em relação a esse ponto.

Etapas que antecedem o salto em direção à proteção da identidade

Esse tipo de resultado, porém, exige maturidade da empresa usuária. Detecção e resposta a ameaças a identidades se referem a proteger credenciais, privilégios, direitos, e os sistemas e as políticas que os gerenciam. A busca do alinhamento à disciplina ITDR depende de que algumas etapas tenham sido cumpridas antes de se dar o salto em direção às melhores práticas em ITDR. 

No braço “detecção” de ameaças à identidade do ITDR, políticas e procedimentos IAM (Identity Access Management) são críticos. É a plataforma IAM que exigirá, por exemplo, controles de acesso MFA, PAM e com base em perfis para liberar o acesso. A entrada em cena do ITDR pode potencializar a inteligência IAM detectando erros de configuração ou permissões excessivamente amplas em contas AD, tornando mais eficaz a aplicação de IAM. O ITDR também ajuda as organizações a revisar e atualizar firewalls, sistemas de detecção e prevenção de intrusões, e outros dispositivos. O ITDR pode, ainda, aumentar a precisão de ações antiphishing, antivírus, antimalware e outras aplicações de segurança. 

Outro ganho trazido pelo ITDR é o monitoramento contínuo de ameaças em busca de atividade suspeita nas contas dos usuários. Quem já contar com um SIEM (Security Information Event and Management) verá essa plataforma adicionar ao ITDR alertas de ações suspeitas que, com ajuda desta nova plataforma, serão inseridas numa visão de 360º que vai muito além do ambiente SIEM original. A partir daí, o ITDR poderá desencadear um processo para revogar automaticamente e de forma temporária credenciais até um ser humano estudar o alerta.

No braço “resposta” a tentativas de violações de identidade, o ITDR também mostra sua força. Organizações que buscam o alinhamento a essa disciplina e contam com a inteligência para mapear ameaças e automatizar respostas conseguem com facilidade colocar em ação um novo plano de resposta a incidentes focados no enfrentamento de atividades criminosas como ATO (Account Takeover). A visão trazida pelo ITDR colabora para que o plano de resposta a incidentes automatize ações para lidar com credenciais roubadas, apropriação de contas e aumento de privilégios.

Pessoas e processos

Como tudo o que diz respeito à cibersegurança, no entanto, é fundamental investir em processos e pessoas para que o ITDR mostre toda sua força. É necessário reinventar processos e construir bases de conhecimento que colem as políticas de segurança digital à sustentação do negócio. E, finamente, realizar ações de treinamento e conscientização dos colaboradores para que a proteção da identidade comece com a própria pessoa. 

Em 2024, a identidade do usuário é um dos ativos digitais mais valiosos para as empresas, e para os criminosos digitais. Avançar na proteção desse tesouro é crítico para a sustentação da economia digital do Brasil.

*Thiago N. Felippe é CEO da Aiqon.

Compartilhar: