As empresas sempre enfrentaram o risco de uma violação de dados, mas hoje a ameaça se expandiu em muitas magnitudes, em parte devido ao boom das ferramentas de inteligência artificial generativa. A Gartner descobriu recentemente que o número de aplicativos SaaS usados por funcionário dobrou desde 2019, e uma boa parte desses aplicativos são ferramentas de IA que os funcionários estão usando sem supervisão de TI.
Aplicativos não gerenciados não são protegidos por controles como autenticação única (SSO) ou autenticação multifatorial (MFA), portanto, não há visibilidade sobre se esses aplicativos, que potencialmente contêm dados sensíveis, estão sendo acessados com credenciais seguras, ou que tipo de dados ou propriedade intelectual está sendo vazada para a internet, graças ao ChatGPT, Gemini e outras ferramentas.
“A explosão de aplicativos SaaS na nuvem criou muitas áreas cinzentas para a TI”, diz Fred Rivain, CTO da Dashlane. “A eficácia da segurança de credenciais e senhas tem sido amplamente dependente da participação do usuário, mas hoje isso não é suficiente. Não basta ter apenas o gerenciador de senhas clássico, ou apenas MFA ou SSO. Você precisa de tudo isso, além de melhorar sua higiene de credenciais em toda a organização.”
Os desafios do SSO, MFA e a segurança das credenciais
Claro, os líderes de TI podem controlar o que conhecem – todos os seus sistemas críticos – e podem implantar SSO e MFA por cima. Mas o desafio hoje não é apenas o shadow IT, mas o enorme número de ferramentas que não são compatíveis com SSO. Também existe o que os profissionais de segurança chamam de “imposto SSO”, ou as taxas que os fornecedores cobram para adicionar integração SSO. Identificar as ferramentas que precisam ser protegidas e adicionar integração SSO se torna uma operação cara, tanto em tempo quanto em dinheiro.
Muitas empresas optam por não arcar com esses custos – compreensível quando as empresas enfrentam uma média de 53 credenciais que não são cobertas automaticamente pelo SSO (e a probabilidade é alta de que muitas dessas senhas sejam duplicadas), e fazer um inventário de aplicativos em toda a organização é uma grande tarefa, exigindo a aprovação do C-suite. Enquanto isso, pequenas e médias empresas estão completamente excluídas porque simplesmente não têm os recursos para pagar pela integração SSO.
Empresas de todos os tamanhos geralmente recorrem a senhas manuais individuais, já que o custo inicial de adoção é muito menor. Infelizmente, também existem custos administrativos ocultos significativos – além de profundas implicações para a postura de segurança, porque cada uma dessas credenciais é um ponto de risco, e muitos desses riscos não são visíveis.
“É por isso que incentivar os funcionários a usar um gerenciador de credenciais para gerar uma senha única e complexa para esses sistemas é crítico”, diz Rivain. “Isso os ajuda a desenvolver os hábitos e as melhores práticas de autenticação adequados. A esperança é que os funcionários também estejam adicionando essa proteção aos aplicativos não autorizados que estão usando, o que é pelo menos melhor do que a alternativa.”
No entanto, os funcionários costumam usar e compartilhar suas credenciais, tanto as senhas fortes geradas quanto as fracas ou comprometidas que eles mesmos criam. Fazer com que eles entendam o risco e fiquem cientes das tentativas de phishing é frequentemente uma batalha difícil.
Adicionando chaves de acesso como uma camada de segurança
As chaves de acesso podem adicionar outro nível de segurança e ajudar a mitigar os riscos de credenciais em algumas áreas da organização, diz Rivain. Elas são uma forma de autenticação sem senha desenvolvida pela FIDO Alliance e apoiada por grandes empresas de tecnologia. As chaves de acesso são sempre únicas e fortes, e não requerem o armazenamento de informações privadas em servidores. Um usuário é solicitado a provar sua identidade ao fazer login em um site ou aplicativo. Eles podem usar identificação biométrica, como impressão digital ou reconhecimento facial, para confirmar sua identidade, ou, inversamente, podem atender a um desafio de um gerenciador de credenciais. Uma vez que o usuário é confirmado, ele é logado automaticamente, sem necessidade de senha.
As chaves de acesso são muito mais seguras do que qualquer senha, são resistentes a phishing e não podem ser roubadas ou adivinhadas. Do ponto de vista da responsabilidade, uma vez que expor dados de clientes pode colocar uma organização em grandes problemas legais, pedir aos funcionários que usem chaves de acesso onde for possível melhora significativamente a segurança. Os líderes de TI podem explicitamente incentivar as equipes a usar chaves de acesso sempre que estiverem disponíveis nas ferramentas que estão usando – por exemplo, o grupo de marketing pode mudar para chaves de acesso para a maioria das plataformas de mídia social.
No entanto, as chaves de acesso como uma solução empresarial ainda não estão prontas para o uso geral, diz Rivain. Elas não estão disponíveis para todas as ferramentas ou plataformas, por um lado. Além disso, ainda é uma tecnologia nascente, com algumas preocupações de acessibilidade, como uma experiência do usuário um tanto clunky no Chrome e na Apple, bem como questões em torno da atestação adequada das origens das chaves de acesso, recuperação difícil de conta se uma chave de acesso for perdida e nenhum controle sobre onde a chave de acesso é armazenada.
“Claro, os administradores de TI querem esse controle. Eles querem saber onde estão armazenando as chaves do reino”, diz Rivain. “Existem muitos casos de uso para a empresa que ainda não estão resolvidos em torno das chaves de acesso. Essa é parte do trabalho da FIDO Alliance que vai levar tempo também.”
À medida que mais consumidores adotam chaves de acesso, que são suportadas por muitos sites maiores, aplicativos e empresas de tecnologia, as chaves de acesso se tornarão uma parte maior da conversa sobre segurança empresarial. Rivain prevê que veremos soluções totalmente sem senha para a empresa no futuro, mas a situação ainda está se desenrolando.
“Elas não são perfeitas, mas também são uma maneira de colocar barreiras em torno dos funcionários para que não possam expor acidentalmente uma senha, e eles vão usar a tecnologia porque é mais conveniente e segura”, diz ele. “É por isso que é importante que a indústria continue trabalhando nisso e continue promovendo. Vai ser uma jornada de adoção muito longa, mas é melhor do que o que tínhamos antes.”
Onde isso deixa a segurança empresarial? Credenciais não seguras, como senhas, continuam a representar uma ameaça persistente e em evolução para as organizações, mesmo com outras proteções em vigor. As empresas precisam de uma nova abordagem para segurança e credenciais.
Mudando o jogo da segurança das credenciais
À medida que o número e a sofisticação dos ataques continuam a aumentar, junto com o número de aplicativos invisíveis e não autorizados que os funcionários estão usando, mesmo a melhor estratégia de segurança em camadas não é infalível.
“Precisamos encontrar uma nova abordagem, uma que garanta que mesmo os funcionários que não pensam muito sobre segurança ainda estejam protegidos, e precisamos passar para uma proteção ativa, em vez de defesa passiva”, explica Rivain. “Isso significa ir além da gestão tradicional de senhas para fornecer segurança de credenciais para cada funcionário em contexto e em tempo real.”
Para esse fim, a Dashlane integrou capacidades de detecção, inteligência e resposta em ferramentas que oferecem máxima visibilidade sobre riscos de credenciais.
A ferramenta de Risco de Credenciais da Dashlane monitora continuamente os dados de credenciais em toda a empresa para detectar riscos em tempo real. Quando um funcionário insere uma credencial fraca, reutilizada ou comprometida, ou está prestes a inserir suas informações em um site suspeito, a ferramenta automaticamente envia um alerta para a TI. Os Dashlane Nudges automatizam a resposta ao risco de credenciais, enviando mensagens automatizadas e personalizadas aos funcionários, alertando-os sobre o risco e solicitando que atualizem suas credenciais.
Com métodos de login de aplicativos continuamente escaneados, a TI ganha uma visibilidade muito maior sobre o risco de credenciais em todas as ferramentas e sistemas que os funcionários usam, autorizados e não autorizados. Enquanto isso, os funcionários são incentivados a desenvolver bons hábitos de segurança ao longo do seu dia.
“Há muito potencial nessa nova abordagem”, acrescenta ele. “Estamos tentando abordar o problema das credenciais e a segurança em toda a organização de uma nova maneira, adicionando mais uma camada crucial de proteção a uma estratégia de segurança robusta.