Pensa que já sabe tudo sobre segurança da identidade? Pense de novo

De acordo com o Cost of a Data Breach Report 2022 da IBM, as credenciais comprometidas são responsáveis por quase um quinto (19%) das violações de dados, com um custo médio compreendido entre 4,4 e 9,4 milhões de dólares. Além disso, o 2022 Data Breach Investigations Report da Verizon revela que os principais tipos de dados comprometidos num ataque de phishing são credenciais e dados pessoais. 

Historicamente, a segurança da identidade tem sido uma questão secundária. As prioridades tradicionais centram-se em torno do fortalecimento do perímetro da rede, numa abordagem do tipo "castelo com fosso".

Este tipo de abordagem era adequado quando os recursos da empresa existiam apenas em redes empresariais. No entanto, num mundo impulsionado por ambientes de TI transformados e orientados para a nuvem, a segurança da identidade tornou-se uma consideração muito mais séria. De facto, muitos recursos estão agora localizados na nuvem, com as empresas a tirar partido de aplicações baseadas na Web, servidores na nuvem, sistemas de armazenamento de ficheiros digitais e muito mais. Infelizmente, neste mundo em que tudo está ligado, as estratégias do tipo "castelo com fosso" já não são suficientes. 

Estratégias de segurança da identidade e o "triângulo da identidade"

Felizmente, as empresas estão a começar a despertar para as ameaças à segurança da identidade reconhecendo a necessidade de se adaptarem, de evoluírem e de modernizarem as práticas de segurança.

Por exemplo, a Gartner estima que, até 2025, mais de 40% das organizações utilizarão as análises e os conhecimentos das soluções de Identity Governance and Administration (IGA) para reduzir os riscos de segurança nos domínios de Identity and Access Management (IAM). Além disso, esta consultora prevê que 7 em cada 10 novas implementações de gestão, governação, administração de acesso e acesso privilegiado serão plataformas IAM convergentes.

Este facto tem particular interesse, uma vez que as estratégias de segurança da identidade se centram normalmente em torno de um triângulo de soluções de Identity Governance and Administration (IGA), Privileged Access Management (PAM) e Single Sign-On (SSO) ou autenticação multifatorial (MFA).

Basta uma pequena brecha para afundar um navio

Normalmente, as organizações que têm cobertura para estas três bases fundamentais acreditam que desenvolveram uma estratégia de segurança da identidade sólida, segura e robusta. Contudo, isto nem sempre é assim.

Na verdade, quase toda a segurança da identidade está ligada ao Microsoft Active Directory (AD): o principal armazenamento de identidade utilizado pela maioria das empresas em todo o mundo. Situado no centro do triângulo de identidade, o AD fornece os alicerces da confiança na identidade. Se o AD não for seguro, também não o serão os outros três lados do triângulo. 

É importante referir que o AD é uma ferramenta antiga, criada há 20 anos, que tinha como prioridade a conveniência e a eficiência operacional. Por conseguinte, o AD não está equipado para combater os sofisticados ciberataques dos dias de hoje. Foi concebido para proporcionar uma forma simples de gerir e monitorizar um grande número de utilizadores, permitindo-lhes o acesso aos recursos como e quando necessário. Este legado faz do AD um alvo incrivelmente atraente para quem ataca.

De facto, o AD é muitas vezes ignorado nos programas de segurança, constituindo por isso uma enorme vulnerabilidade latente, pronta a ser manipulada pelos autores de ameaças.

Neste contexto, o maior problema é a simples falta de consciencialização, particularmente nos últimos anos. Nem mesmo as organizações que mudam para a nuvem escapam às vulnerabilidades do AD. Nove em cada dez vezes, o Azure Active Directory (Azure AD) extrai permissões do AD que se encontra nas instalações, que a maioria das organizações continua a utilizar como a sua principal fonte de verdade. Os atacantes podem e têm utilizado o AD para atingir o Azure AD, e vice-versa.

Quatro passos para melhor proteger o AD

Neste sentido, o AD é frequentemente um ângulo morto nas estratégias de segurança das organizações.

Estas apercebem-se de que a identidade está sob ameaça, mas não compreendem de que forma é que essa ameaça está ligada ao AD. Consequentemente, muitas acham que a proteção de segurança da identidade de que dispõe é boa quando, na realidade, existe uma grande lacuna.

A implementação de soluções para aplicar estratégias de segurança cruciais, como zero-trust, torna-se um esforço quase inútil se o autor de uma ameaça que tenha violado o AD puder iniciar sessão no dispositivo que pretende comprometer.

Com todas as identidades ligadas ao AD, é imperativo melhorar a ciber-resiliência e a visibilidade. Seguem-se quatro passos simples que as empresas devem implementar para proteger melhor o respetivo AD:

1. Análise. Em primeiro lugar, as organizações devem esforçar-se por compreender a postura de segurança do seu AD e verificar se existem indicadores de exposição ou comprometimento. Felizmente, existem ferramentas comunitárias que podem ajudar a concretizar esta tarefa, oferecem uma perspetiva do nível de maturidade da segurança do AD através de conhecimentos chave, tais como configurações incorretas que podem expor o AD a atacantes e indícios de que os autores de ameaças podem já ter comprometido o ambiente;
2. Cópias de segurança. Em seguida, as empresas precisam de estabelecer processos testáveis de cópia de segurança do AD. Muitas vezes, as cópias de segurança do AD são efetuadas diariamente ou semanalmente, uma estratégia que tem dois problemas principais. Em primeiro lugar, podem ocorrer dezenas de milhares de alterações numa rede todos os dias; essas alterações podem perder-se caso a segurança tiver sido comprometida. Em segundo lugar, as empresas raramente testam os seus processos de cópia de segurança e, por isso, não conseguem iniciá-los em momentos críticos. Para piorar a situação, a recuperação a partir de cópias de segurança do estado do sistema ou bare-metal pode reintroduzir uma infeção por malware. Para resolver estes problemas, as empresas devem fazer cópias de segurança em tempo real, específicas do AD, que permitam recuperações limpas. Esse tipo de cópias de segurança permite uma recuperação rápida e sem descontinuidades que pode ser testada e posta em prática;
3. Monitorização. Depois de estabelecidas as análises e as cópias de segurança, as organizações podem tomar medidas para melhorar a saúde do AD. A monitorização das configurações do AD ao longo do tempo pode ajudar-nos a compreender a forma como os níveis de exposição e de risco se vão alterando. As principais alterações estão a permitir que a postura de segurança da organização se mantenha num estado bom e conhecido? A monitorização e a revisão contínuas podem ajudar a responder a estas questões e a manter uma postura de segurança sólida;
4. Testes. Uma chamada de atenção: Não efetue testes de segurança no seu AD de produção em operação. Da mesma forma que não se realizam testes com uma aplicação de produção em operação no momento do lançamento, também as organizações devem estabelecer ambientes de AD em espelho separados para realizar testes, de modo a evitar períodos de inatividade indevidos.

Estes passos são cada vez mais vitais. A segurança do AD é um aspeto crucial de qualquer estratégia de proteção da identidade. Quando modernizar o seu parque informático, deve começar sempre pelo AD. Pode não ser novo nem ser essa a última tendência, mas o AD é uma aplicação fundamental essencial. Se o AD não funcionar, nada funcionará.