Cerca de 80% dos ataques cibernéticos se aproveitam de brechas nos repositórios de identidades de acesso para comprometer credenciais legítimas e acessar informações críticas. Dessa forma, criminosos muitas vezes roubam dados, sequestram informações ou praticam outros tipos de crimes baseados no tráfego de dados.
A relevância desta quantidade de ataques se soma ao grande desconhecimento sobre o assunto, motivado por fatores complexos e que atingem parte de empresas e funcionários. O motivador mais importante é o salto no número de pessoas trabalhando remotamente em função da pandemia.
A situação emergencial pode ter levado as empresas a tomar decisões rápidas, não ter treinado adequadamente seus funcionários ou mesmo não se atentado aos riscos reais a que estavam expostas.
“Acredito que exista um desconhecimento sobre os riscos reais que as identidades ou o repositório Active Directory pode conter e isso acaba levando executivos a não priorizar este componente”, afirma Jeferson Propheta, country manager da CrowdStrike Brasil.
Campanhas de ransomware operadas por humanos são muito comuns. Nesses ataques, os criminosos usam credenciais válidas para mapear o ambiente comprometido, roubar dados e, em seguida, sequestrá-los, exigindo pagamento. O Brasil é o quarto maior alvo de ataques ransomware no mundo. Levantamentos de mercado apontam milhões de tentativas por dia neste sentido.
“A proteção contra esses ataques se dá por detecção de ameaças e prevenção em tempo real de ataques baseados na identidade, combinando o poder da inteligência artificial (IA) avançada, análise comportamental e acesso condicional baseado no risco”, afirma Propheta.
A realidade é que as consequências de um ataque baseado em identidade só são percebidas pelas empresas após um incidente de segurança significativo ou um assessoramento por equipe especializada em simular ataques avançados. Ou seja, os sistemas podem estar gestando um ataque de grande porte ou mesmo servindo de ponte para outros crimes, sem que isso seja percebido por um monitoramento comum.
Isso acontece porque os ataques avançados utilizam técnicas, como o movimento lateral, para fugir rapidamente da detecção. O invasor usa o acesso a partir de uma identidade comprometida para conseguir se conectar a contas legítimas e se esconder da detecção.
. Obstáculos – A chave para enfrentar esses desafios é o conhecimento sobre como funcionam e quais são os riscos dos ataques via vetor de identidade. As empresas podem começar a entender os riscos reais do principal repositório de identidades hoje, o Active Directory.
Além disso, uma estratégia para mitigar o problema é entender quais são os comportamentos “normais” de cada identidade, para que seja possível identificar os desvios de comportamento, caso um adversário tome posse de uma dessas identidades.
Além de conhecer os riscos, as empresas podem passar a avaliar de maneira criteriosa os acessos que cada identidade tem e gerenciar esse fluxo de maneira estratégica. “O grande desafio são os acessos excessivos que muitos usuários recebem, muitas vezes de forma inapropriada, devido a uma configuração inadequada do Active Directory”, explica o executivo.
“É muito comum observar isso no dia a dia e em diferentes tipos de organizações. E isso é algo que os adversários sabem que acontece e, como parte de um ataque cibernético, eles buscam por estes usuários mais vulneráveis para completar suas atividades maliciosas”, afirma Propheta. – Fonte e outras informações: (https://www.crowdstrike.com.br/).