As ameaças relacionadas com a identidade do utilizador estão a aumentar, exigindo que as organizações expandam os seus orçamentos de cibersegurança para se concentrarem em soluções de Deteção e Resposta a Ameaças de Identidade (ITDR). Com as ameaças relacionadas com a identidade a serem um tema tão quente, a equipa da Semperis quis dar a sua opinião sobre a forma como a sua equipa de segurança pode evitar ataques à identidade.
Se está à procura de soluções de segurança de identidade para proteger o seu Active Directory (o sistema de identidade mais comum), este guia é para si. Aqui, abordaremos o que é ITDR e como encontrar a melhor solução ITDR para proteger a sua organização contra ameaças cibernéticas.
Leitura relacionada
O que é o ITDR?
A Gartner criou a categoria Identity Threat Detection and Response (ITDR) para descrever soluções que protegem sistemas de identidade como o Active Directory (AD) e o Entra ID (anteriormente Azure AD), que fornecem autenticação e acesso a aplicações e serviços.
Em resposta ao número crescente de agentes de ameaças à identidade digital, o ITDR foi incluído no Hype Cycle for Endpoint Security da Gartner como uma tecnologia emergente que funciona para proteger a infraestrutura de identidade contra potenciais ameaças. A Gartner também observou que os agentes de ameaças à identidade estão agora a utilizar principalmente a utilização indevida de credenciais para obter acesso privilegiado aos sistemas de informação de uma organização e manipular os seus sistemas de gestão de identidade e acesso (IAM).
O que é uma solução ITDR?
As soluções ITDR melhoram as suas operações de segurança, concentrando-se na própria infraestrutura de identidade, em vez de nos utilizadores geridos por essa infraestrutura. De acordo com a Gartner, as soluções ITDR devem proteger e defender com capacidades específicas de proteção da identidade, incluindo a avaliação da postura de segurança do ambiente AD, a gestão do percurso de ataque, a pontuação e a priorização dos riscos, a monitorização em tempo real dos indicadores de compromisso (IOC), a aprendizagem automática (ML) ou a análise para detetar comportamentos ou eventos anormais e a correção automatizada e a resposta a incidentes.
Dado que muitos ataques relacionados com a identidade conseguem comprometer o AD, uma solução de recuperação de desastres de ransomware testada e específica para o AD deve ser incluída como parte do planeamento de resposta a incidentes.
Qual é a diferença entre EDR e ITDR?
As soluções de detecção e resposta de pontos finais (EDR) recolhem, analisam e respondem a informações relacionadas com ameaças sobre pontos finais - dispositivos físicos (computadores de secretária, máquinas virtuais, dispositivos móveis) que se ligam a uma rede informática e trocam informações com ela. As soluções alargadas de detecção e resposta de pontos terminais (XDR) integram a protecção de pontos terminais, servidores, aplicações na nuvem, correio electrónico e outras tecnologias. As soluções XDR combinam prevenção, detecção, investigação e resposta numa visão holística para combater os ciberataques.
Enquanto as soluções EDR e XDR se centram na camada exterior do sistema de informação de uma organização, as soluções ITDR centram-se no próprio sistema de identidade, que autentica os utilizadores e concede permissões a serviços e aplicações.
Uma vez que os cibercriminosos estão constantemente a criar novos métodos de ataque, uma estratégia de cibersegurança que proteja tanto os terminais como a sua base de identidade principal, evitando pontos únicos de falha, é a melhor defesa contra as ameaças actuais.
Porque é que o ITDR é importante?
As soluções ITDR protegem a infraestrutura de identidade, que é um vetor de ataque primário na maioria dos ataques cibernéticos atuais. E como o Active Directory (AD) é o principal repositório de identidades para 90% das organizações em todo o mundo, é o principal alvo dos cibercriminosos. Como o AD é difícil de proteger e, normalmente, tem configurações incorrectas herdadas, é regularmente comprometido em incidentes cibernéticos, incluindo a violação da SolarWinds e o ataque ao Colonial Pipeline. De facto, a Mandiant informou que o AD está envolvido em 9 de cada 10 ataques que investiga.
Qual é a melhor solução ITDR?
As organizações que procuram uma solução ITDR capaz deparam-se com um número crescente de decisões. Com base nos resultados do nosso inquérito e nas conversas com os clientes, sabemos que as organizações estão preocupadas com os desafios da protecção de ambientes de identidade híbrida durante todo o ciclo de vida do ataque: antes, durante e depois de um incidente de cibersegurança.
Inquirimos os líderes de TI e de segurança de mais de 50 empresas e organizações para saber como eles estão avaliando as soluções especializadas de ITDR. Os recursos mais importantes das soluções de ITDR que eles relataram são:
- Avaliação da postura de segurança e monitorização em tempo real. O AD é vulnerável devido a configurações incorrectas herdadas que se acumulam ao longo do tempo e devido a ameaças constantemente emergentes de grupos de ransomware-as-a-service (RaaS), como o LockBit e o Vice. Examinar o ambiente híbrido do AD em busca de indicadores de exposição (IOEs) e comprometimento (IOCs) e fechar as lacunas de segurança é a primeira etapa de uma estratégia de defesa do sistema de identidade em camadas. A monitorização em tempo real ajuda as organizações a evitarem desvios de configuração, assinalando os indicadores de segurança à medida que surgem.
- Backup e recuperação de florestas de AD rápidos e sem malware. Embora o ideal seja evitar ataques, a capacidade de recuperação de um desastre cibernético relacionado ao AD é fundamental para o gerenciamento de riscos. De acordo com um estudo da Enterprise Management Associates (EMA), 50% das organizações sofreram um ataque ao AD nos últimos 1-2 anos. Mais de 40% desses ataques foram bem-sucedidos. Sem um plano testado para recuperar rapidamente o AD - que também evite a reintrodução de malware - as organizações correm o risco de pagar um resgate ou de sofrer semanas de inactividade comercial enquanto recuperam o sistema de identidade.
- Correcção automática das ameaças detectadas. Muitas vezes, o malware varre os sistemas mais rapidamente do que os humanos podem intervir. A correcção automática de alterações maliciosas é essencial para parar os ataques e mitigar os danos. Uma solução abrangente de detecção e resposta a ameaças AD deve utilizar várias fontes de dados para detectar ataques avançados, como o DCShadow, que escapam às ferramentas tradicionais baseadas em registos e eventos, incluindo soluções de gestão de informações e eventos de segurança (SIEM).
Soluções ITDR para proteger o AD antes, durante e depois de um ataque
Para mais informações sobre como avaliar as soluções ITDR para proteger o seu sistema de identidade AD e Azure AD, consulte o relatório do inquérito "Evaluating Identity Threat Detection & Response Solutions", que responde às perguntas:
- Quantas organizações precisam de proteger um ambiente AD híbrido?
- Quais são as maiores preocupações das empresas relativamente às ameaças à identidade?
- Até que ponto as organizações estão confiantes na sua capacidade de prevenir ou recuperar de ciberataques que envolvam o AD ou o Azure AD?
- Que tipo de impacto teria para as empresas um ciberataque que destruísse o AD?
- Que capacidades de ITDR são mais importantes para os actuais líderes de TI e de segurança?
Principal conclusão: As organizações estão à procura de soluções que abordem as ameaças ao longo de todo o ciclo de vida de um ataque ao AD - antes, durante e depois de um ataque. As principais capacidades de ITDR que os líderes procuram incluem capacidades de prevenção, detecção, correcção e recuperação de um ataque a sistemas de identidade híbridos.
Descarregar o relatório do inquérito ITDR
Quer saber como é que outras organizações estão a responder a estas questões? Descarregue o nosso relatório do inquérito sobre Avaliação das soluções de deteção e resposta a ameaças de identidade (ITDR) para saber mais sobre a categoria emergente de ITDR e como pode começar a pensar na forma como as soluções ITDR especializadas o podem ajudar a proteger a sua infraestrutura de identidade.
Saiba mais sobre o ITDR
