Cópias de segurança vs. violações: Ferramentas de recuperação da Entra ID para erros do dia a dia e intrusões maliciosas

A recuperação da Entra ID — e a resiliência da identidade em geral — centra-se em dois tipos de eventos: a recuperação após acidentes e a recuperação após violações de segurança.

Para compreender estes eventos e as ferramentas necessárias para resolver os problemas que eles causam, temos de analisar como o panorama das ameaças à identidade mudou nos últimos 15 anos.

Erros do dia a dia: um caminho pavimentado com boas intenções

Por volta de 2014, começámos a observar uma nova tendência nos problemas relacionados com a identidade na nuvem. Estes problemas não se deviam a interrupções de serviço ou à má qualidade dos serviços na nuvem da Microsoft, mas sim a erros cometidos pelos administradores no Azure AD (agora Entra ID).

Alguns exemplos de incidentes reais:

• Um administrador autorizado apaga acidentalmente vários grupos de segurança que controlam o acesso a uma base de dados essencial para a empresa. Isto provoca uma interrupção de dois dias, enquanto a equipa se esforça por recriar manualmente os grupos e as respetivas associações a partir da memória.
• Um administrador júnior é encarregado de realizar uma «limpeza de aplicações obsoletas», numa tentativa bem-intencionada de reduzir os riscos de segurança para a empresa. O administrador apaga inadvertidamente milhares de aplicações essenciais para o negócio, que não estavam de forma alguma obsoletas, provocando uma interrupção de 28 dias e uma grande iniciativa para restabelecer o funcionamento normal.
• Um administrador bem-intencionado «disponibilizou» licenças do Office 365 ao remover as suas atribuições aos utilizadores legítimos. Este simples problema interrompeu a atividade empresarial de centenas de utilizadores durante mais de um dia.

Estas histórias de configurações erradas e eliminações acidentais não eram novidade. Problemas semelhantes eram comuns no Active Directory há mais de uma década. Os efeitos cumulativos são impressionantes: tantas unidades organizacionais (OUs) e os seus conteúdos eliminados e restaurados!

Mas perceber as falhas de configuração na identidade na nuvem — isso foi uma novidade . Como proteger os utilizadores contra os seus próprios erros se as identidades estão alojadas na nuvem?

O modelo de responsabilidade partilhada do SaaS faz com que isto seja um problema seu.

Na qualidade de cliente que utiliza o serviço na nuvem, é o único responsável pela integridade dos dados do repositório de identidades. Para muitas organizações empresariais, esta responsabilidade traduz-se numa necessidade clara de resiliência das identidades face a erros inofensivos, mas com impacto significativo.

Intrusões maliciosas: os autores das ameaças não invadem os sistemas… eles iniciam sessão

Entretanto, surgiu outra tendência: os autores de ameaças estavam a fazer tudo o que podiam para obter acesso aos recursos na nuvem. A abordagem mais fácil consistia em iniciar sessão, e não em invadir o sistema. Por isso, tornou-se essencial configurar a autenticação multifator (através de algo que se possui/sabe/é) e outros controlos de segurança.

Rapidamente se tornou evidente que a engenharia social e outras técnicas permitiriam aos autores das ameaças obter acesso de qualquer forma, apesar de todos os esforços. E nos casos que envolvessem um colaborador mal-intencionado, os intrusos já estariam «dentro da empresa» com acesso. Os controlos de segurança não os iriam impedir de entrar; eram, na verdade, administradores legítimos.

Os exemplos destas histórias de «aceder, não invadir» são inúmeros e notáveis. Os mais conhecidos são os ataques que tiveram início com a violação de redes sociais, como o ciberataque ao MGM Grand, e as técnicas em constante evolução utilizadas por agentes maliciosos, como o Storm 0501. Assisti a tudo isto em tempo real enquanto responsável pelos serviços de identidade na nuvem e, posteriormente, como gestor de produto na Microsoft. Ajudava regularmente as organizações a resolver cenários semelhantes e reunia-me com elas para obter feedback sobre quais eram os pontos críticos.

Evolução da proteção e recuperação do Entra ID

Ficou claro para a nossa equipa na Microsoft que dois tipos de incidentes de alto nível necessitavam de capacidades mais robustas: a recuperação após acidentes e a recuperação após alterações e eliminações maliciosas.

Precisávamos de abordar os cenários de acidente de forma nativa. A estratégia que definimos consistiu em reforçar a resiliência da identidade na nuvem contra alterações e eliminações acidentais através de:

• Funcionalidades alargadas de eliminação temporária
• Revertida alteração nativa

Abordámos os cenários de alteração e eliminação maliciosas reforçando a segurança, em vez de a resiliência. Esta abordagem integrou-se na iniciativa orientada para a segurança «Zero Trust», no âmbito da qual funcionalidades como o Acesso Condicional foram reforçadas e alargadas. A restauração rápida da postura de segurança durante ou após uma intrusão não constituía a prioridade.

Voltemos ao presente. Os incidentes relacionados com a identidade na nuvem continuam a ocorrer e a proteção contra esses incidentes continua a ser importante. Ao mesmo tempo, os incidentes maliciosos têm aumentado em frequência e gravidade.  

O facto de o cenário em que «o malfeitor consegue iniciar sessão» ocorrer com maior frequência significa que a funcionalidade de recuperação após incidentes, por si só, não é suficiente.

As organizações necessitam de ferramentas concebidas para recuperar a postura de segurança do Entra ID e das aplicações de linha de negócio, mesmo perante a ação de agentes maliciosos. É necessária uma resiliência de identidade centrada na segurança, incluindo:

• A capacidade de restabelecer a postura de segurança de forma rápida e abrangente
• Uma análise detalhada do estado anterior
• Retenção prolongada das cópias de segurança (para que a disponibilidade das cópias de segurança exceda o tempo durante o qual os agentes maliciosos permanecem indetetados no inquilino)
• Imutabilidade para os cópias de segurança, para que estejam disponíveis quando necessário
• Criptografia robusta do conteúdo para proteger os dados

Ferramentas para proteger e recuperar o Entra ID em caso de acidentes e intrusões

Para a Entra ID, os desafios de recuperação abrangem duas áreas muito distintas: a postura de segurança e a recuperação avançada, por um lado, e as alterações ou eliminações acidentais do dia-a-dia, por outro.

O Semperis Disaster Recovery for Entra Tenant (DRET) responde à primeira necessidade, fornecendo capacidades de recuperação centradas na segurança e orientadas por cenários. Esta solução oferece mais do que apenas uma reversão a um ponto específico no tempo. O DRET consegue reconstruir objetos e políticas complexos e interdependentes (por exemplo, Acesso Condicional, Gestão de Identidades Privilegiadas (PIM), gestão de dispositivos Intune e outros controlos críticos) de forma a preservar a postura de segurança pretendida e a apoiar a investigação de alterações maliciosas ou de alto risco. O DRET também satisfaz a necessidade de priorizar a restauração orientada pela segurança e por cenários, permitindo que os decisores saibam o que deve ser restaurado e em que ordem— um aspeto crítico da recuperação de incidentes de segurança.

O Microsoft Entra Backup and Recovery complementa estas capacidades, concentrando-se em problemas simples e frequentes, como a eliminação acidental ou a simples configuração incorreta de utilizadores, grupos e objetos essenciais do diretório. Esta solução aplica-se em situações em que os comportamentos de backup e os fluxos de restauração nativos são suficientes e económicos.

As organizações necessitam tanto do DRET como do Microsoft Entra Backup and Recovery, uma vez que os ambientes modernos do Entra ID enfrentam riscos simultâneos. É necessário poder corrigir rapidamente erros inofensivos cometidos por administradores e operadores, que devem ser reparados com celeridade. Além disso, é necessário ter a capacidade de travar ataques direcionados ou sistémicos, que exigem funcionalidades avançadas de recuperação, comparação e orquestração para restabelecer com segurança o inquilino a um estado conhecido como seguro — sem reintroduzir as mesmas vulnerabilidades que um atacante explorou.

Saiba mais: Comparação entre o Semperis Disaster Recovery for Entra Tenant e o Microsoft Entra Backup and Recovery

Prepare-se antecipadamente tanto para acidentes como para atividades maliciosas com ferramentas concebidas especificamente para o efeito: o Microsoft Entra Backup and Restore e o Semperis Disaster Recovery for Entra Tenant.

Crie a sua estratégia de resiliência de identidade, contando com as melhores ferramentas de recuperação de Entra ID do setor. Quando consegue resolver rapidamente os incidentes, estes passam a ser meras distrações, em vez de situações que exigem a atualização do currículo e se arrastam por vários dias.

Ler mais

• Fortalecimento da recuperação de identidade e resiliência da segurança de identidade da Entra
• 4 razões para aumentar a capacidade de recuperação dos recursos da Entra ID
• Recuperação de desastres Entra ID