O que a M&S e o Co-op Group têm em comum? Além de estarem entre os varejistas de rua mais conhecidos do Reino Unido, ambos foram recentemente vítimas de uma grande violação de ransomware. Ambos também foram alvos de ataques de vishing que extraíram senhas corporativas, fornecendo aos cibercriminosos um ponto de apoio essencial na rede.

Esses ataques relacionados à identidade custaram aos dois varejistas mais de £500 milhões (US$667 milhões), sem mencionar o incalculável prejuízo à reputação e o impacto sobre os clientes finais. A má notícia para as organizações que operam em vários setores verticais, incluindo provedores de infraestrutura crítica, é que essas violações são apenas a ponta do iceberg.

Por que a identidade é importante

Por que a identidade se tornou um vetor de ataque tão popular? Em parte, isso se deve à forma como as empresas trabalham atualmente. Houve uma época em que todos os recursos corporativos estavam localizados com segurança atrás de um perímetro de rede e as equipes de cibersegurança defendiam esse perímetro com uma estratégia de "castelo e casco". Mas o ambiente de TI de hoje é muito mais distribuído. A proliferação de servidores em nuvem, desktops locais, laptops que trabalham em casa e dispositivos móveis significa que as certezas de antigamente desapareceram.

A identidade é efetivamente o novo perímetro da rede, o que torna as credenciais uma mercadoria muito procurada. De acordo com a Verizon, a exploração de credenciais de acesso foi um fator em quase um quarto (22%) dos vazamentos de dados no ano passado. Infelizmente, elas estão em perigo de várias maneiras:

  • O malware Infostealer está atingindo proporções epidêmicas. Ele pode ser instalado nos dispositivos das vítimas por meio de phishing, aplicativos maliciosos, downloads drive-by, golpes de rede social e muito mais. Uma estimativa afirma que 75% (2,1 bilhões) das 3,2 bilhões de credenciais roubadas no ano passado foram obtidas por meio de infostealers.
  • Phishing, smishing e vishing continuam sendo uma maneira popular de obter credenciais, especialmente em ataques mais direcionados. Muitas vezes, os agentes de ameaças pesquisam o indivíduo que estão alvejando para melhorar suas taxas de sucesso. Acredita-se que a M&S e a Co-op tenham sofrido violações por meio de ataques de vishing em seu helpdesk de TI terceirizado.
  • Os vazamentos de dados que têm como alvo bancos de dados de senhas mantidos por organizações ou seus terceirizados podem ser outra fonte valiosa de credenciais para os cibercriminosos. Assim como os infostealers, esses dados acabam em fóruns de crimes cibernéticos para venda e uso posterior.
  • Os ataques de força bruta usam ferramentas automatizadas para testar grandes volumes de credenciais até que uma funcione. O preenchimento de credenciais usa listas de combinações de login (nome de usuário/senha) previamente violadas contra um grande número de contas. A pulverização de senhas faz o mesmo com uma pequena lista de senhas comuns. E os ataques de dicionário usam senhas comumente usadas, frases e senhas vazadas contra uma única conta.

Não é difícil encontrar exemplos de incidentes de segurança catastróficos decorrentes de ataques baseados em identidade. Além dos casos da M&S e do Co-op Group, há o caso da Colonial Pipeline, em que um provável ataque de força bruta permitiu que os agentes de ransomware comprometessem uma única senha em uma VPN legada, causando grande escassez de combustível na costa leste dos Estados Unidos. Além disso, a KNP, empresa de logística britânica, foi forçada à falência depois que os cibercriminosos simplesmente adivinharam a senha de um funcionário e criptografaram sistemas essenciais.

Visão geral das ameaças à identidade

Os riscos associados ao comprometimento de identidades são agravados por diversos fatores. Entre eles, destaca-se o princípio do privilégio mínimo, uma prática essencial de segurança que prevê a concessão apenas dos acessos estritamente necessários para que cada usuário desempenhe sua função, geralmente por um período limitado. Na prática, porém, essa diretriz é frequentemente aplicada de forma inadequada, resultando em contas com privilégios excessivos.

Como consequência, cibercriminosos que obtêm credenciais comprometidas conseguem avançar mais profundamente na organização, realizando movimentos laterais e alcançando sistemas sensíveis. Isso amplia significativamente o chamado raio de explosão de uma violação, aumentando o impacto operacional, financeiro e reputacional do incidente. O mesmo cenário também intensifica os riscos associados a ameaças internas, sejam elas mal-intencionadas ou decorrentes de negligência.

Outro desafio relevante é a dispersão de identidades. Quando a área de TI não gerencia de forma eficaz contas, credenciais e níveis de privilégio de usuários e máquinas, surgem inevitavelmente pontos cegos de segurança. Esse cenário amplia a superfície de ataque, facilita o sucesso de ataques de força bruta e aumenta a probabilidade da existência de contas com acessos excessivos. Além disso, o avanço dos agentes de IA e a expansão contínua da Internet das Coisas, IoT, tendem a multiplicar o número de identidades de máquinas, tornando ainda mais crítico o gerenciamento centralizado e consistente desses ativos.

Por fim, é fundamental considerar os riscos relacionados a parceiros e fornecedores. Isso inclui desde provedores de serviços gerenciados, MSPs, e terceiros com acesso aos sistemas corporativos até fornecedores de software. Quanto mais extensas e complexas forem as cadeias de suprimentos, tanto físicas quanto digitais, maior será o risco de comprometimento de identidades e de propagação de incidentes de segurança.

Como aumentar a segurança da identidade

Uma abordagem ponderada e em várias camadas da segurança de identidade pode ajudar a reduzir o risco de comprometimento grave. Considere o seguinte:

  • Adote o princípio do menor privilégio e revise/ajuste regularmente essas permissões. Isso minimizará o raio de ação dos ataques;
  • Aplique o privilégio mínimo com uma política de senhas fortes e exclusivas para todos os funcionários, armazenadas em um gerenciador de senhas;
  • Aumente a segurança da senha com autenticação multifator (MFA) para que, mesmo que um hacker obtenha uma credencial corporativa, ele não consiga acessar essa conta. Opte por aplicativos autenticadores ou abordagens baseadas em chaves de acesso em vez de códigos SMS, que podem ser facilmente interceptados;
  • Pratique um gerenciamento sólido do ciclo de vida da identidade, em que as contas são provisionadas e desprovisionadas automaticamente durante a integração e o desligamento dos funcionários. As varreduras regulares devem identificar e excluir contas inativas, que geralmente são sequestradas por agentes de ameaças;
  • Proteja as contas privilegiadas com uma abordagem de gerenciamento de contas privilegiadas (PAM) que inclua a rotação automática de credenciais e o acesso just-in-time;
  • Revisite o treinamento de segurança para todos os funcionários, do CEO para baixo, para garantir que eles saibam a importância da segurança de identidade e possam identificar as táticas de phishing mais recentes. Exercícios de simulação podem ajudar nesse último aspecto.

A maioria das dicas acima está alinhada a uma abordagem de Zero Trust em cibersegurança, baseada no princípio de “nunca confie, sempre verifique”. Isso significa que toda tentativa de acesso, seja de usuários ou de máquinas, deve ser continuamente autenticada, autorizada e validada, independentemente de ocorrer dentro ou fora da rede corporativa. Além disso, sistemas e redes são monitorados de forma contínua para identificar comportamentos suspeitos.

É nesse contexto que uma solução de Detecção e Resposta Gerenciada (MDR) agrega um valor significativo. Com o suporte de uma equipe de especialistas que atua 24 horas por dia, 7 dias por semana, ao longo de todo o ano, a organização passa a contar com monitoramento constante do ambiente, permitindo a identificação rápida de possíveis intrusões e uma resposta eficaz para sua contenção e mitigação. Em última análise, as melhores práticas de segurança de identidade começam com uma mentalidade orientada à prevenção em primeiro lugar, reduzindo riscos antes que eles se transformem em incidentes.