Com a crescente ameaça de ciberataques, a gestão de identidades tornou-se uma questão crucial para organizações em todo o mundo. Trata-se do processo de gerenciar as informações de identificação dos usuários em uma rede, incluindo credenciais de acesso e permissões de sistema. A gestão efetiva de identidades é um componente-chave de qualquer estratégia de segurança cibernética, pois ajuda a proteger as informações de uma organização contra ameaças externas e internas.
Um conjunto de credenciais válidas de funcionários pode fornecer a um adversário tudo o que ele precisa para entrar em uma empresa, mover-se lateralmente, escalar privilégios e atingir seus objetivos — seja remover o acesso a contas, encerrar serviços, destruir dados ou excluir recursos.
Os ataques baseados em identidade são sutis, mas destrutivos, e as organizações devem estar em alerta máximo contra eles. O Relatório de Ameaças Globais de 2023 da CrowdStrike mostra que 80% dos ataques cibernéticos agora utilizam credenciais roubadas ou comprometidas. O documento destaca como os adversários dobraram o uso de credenciais roubadas enquanto continuam a implantar ataques com foco em identidade.
O crescente papel da identidade em ataques cibernéticos é um fator importante na mudança do malware. Ainda de acordo com o Relatório Global de Ameaças da CrowdStrike, a atividade livre de malware representou 71% de todas as detecções de ameaças em 2022 — acima dos 62% em 2021 — em parte devido ao abuso generalizado de credenciais válidas por parte dos adversários para acessar e persistir em ambientes de destino. Essa maior dependência de credenciais está ocorrendo à medida que os adversários se tornam mais rápidos: o tempo médio de interrupção do eCrime caiu para 84 minutos. E sem as ferramentas certas, leva 243 dias para as organizações detectarem uma violação de identidade.
Também apoiando o aumento de ataques baseados em identidade estão os agentes de acesso, os agentes de ameaças que adquirem acesso às organizações e fornecem ou vendem esse acesso a outros adversários. Os corretores de acesso fazem parte do ecossistema do crime cibernético há muito tempo, mas experimentaram um aumento na popularidade na medida em que os agentes de ameaças buscam acesso mais fácil e rápido aos ambientes-alvo. A popularidade de seus serviços disparou em 2022, com mais de 2.500 anúncios de acesso identificados — um salto de 112% em relação a 2021.
Embora os métodos de acesso usados por esses corretores tenham permanecido relativamente consistentes desde 2021, uma tática especialmente popular envolve o abuso de credenciais comprometidas adquiridas por meio de ladrões de informações ou compradas em lojas de log no submundo do crime.
As credenciais permitem que os adversários voem sob o radar e se movam rapidamente lateralmente pelo ambiente sem serem detectados. Os dados do Relatório da CrowdStrike mostram que os adversários estão contornando as soluções de segurança tradicionais, com 25% dos ataques originados de hosts não gerenciados, como laptops contratados, sistemas não autorizados, aplicativos e protocolos legados e partes da cadeia de suprimentos em que as organizações carecem de visibilidade e controle.
Uma vez que os ambientes corporativos se tornam mais complexos e sua superfície de ataque cresce, torna-se cada vez mais importante para as organizações proteger suas identidades para melhor defender sua infraestrutura, ativos e recursos.
Todos esses dados apenas reforçam que a gestão de identidades é parte essencial de qualquer estratégia de segurança cibernética. As organizações devem implementar soluções robustas e eficazes para proteger seus sistemas e dados contra ameaças externas e internas. Ao fazê-lo, elas podem garantir a conformidade regulatória e manter a confiança de seus clientes e parceiros.
A melhor maneira de se proteger contra essas ameaças sutis e perigosas é um sistema que reúne proteção de endpoint de classe mundial com proteção de identidade em tempo real a fim de garantir visibilidade em todas as etapas do caminho de ataque de um adversário – desde a exploração até a entrega de malware ou exfiltração de dados, passando por credenciais roubadas e identidades comprometidas.
*Por Jeferson Propheta, country manager da CrowdStrike Brasil.
