A maioria das empresas, 90%, experimentou pelo menos uma tentativa de intrusão e violação relacionada à identidade nos últimos doze meses.
Embora 99% das empresas planejem investir mais em segurança, apenas 52% implementaram totalmente a autenticação multifator (MFA) e apenas 41% aderem ao princípio do menor privilégio na gestão de acesso.
Os adversários, incluindo estados-nação, atacantes financiados pelo estado e gangues de cibercrime, continuam a aprimorar suas técnicas usando IA generativa, aprendizado de máquina (ML) e um crescente arsenal de IA para lançar ataques de identidade cada vez mais sofisticados. Deepfakes, engenharia social orquestrada, ataques de identidade baseados em IA, fraudes sintéticas, ataques living-off-the-land (LOTL) e muitas outras tecnologias e táticas sinalizam que as equipes de segurança estão em perigo de perder a guerra contra a IA adversária.
“A identidade continua a ser uma das áreas mais complicadas da segurança – em termos básicos: você precisa de autorização (authZ: o direito de acessar) e autenticação (authN: o meio de acessar). Na segurança da computação, trabalhamos arduamente para unir authZ e authN”, disse Merritt Baer, CISO da Reco.ai, em uma recente entrevista ao VentureBeat.
“O que precisamos fazer é garantir que usamos a IA nativamente para defesas, porque você não pode sair e combater esses ataques de armamento de IA dos adversários em uma escala humana. Você tem que fazer isso em uma escala de máquina”, disse Jeetu Patel, vice-presidente executivo e diretor de produtos da Cisco, em uma entrevista ao VentureBeat no início deste ano.
O fato é que as identidades continuam sob cerco, e os esforços contínuos dos adversários para melhorar as técnicas baseadas em IA visando a segurança fraca da identidade são ameaças em rápido crescimento. O relatório recente da Identity Defined Security Alliance (IDSA), Tendências de 2024 na Segurança de Identidades Digitais, reflete o quão vulneráveis as identidades estão e quão rapidamente os adversários estão criando novas estratégias de ataque para explorá-las.
O cerco às identidades é real – e crescente.
“Nuvem, identidade e ferramentas de gerenciamento remoto e credenciais legítimas são onde os adversários têm se movido porque é muito difícil operar sem restrições no endpoint. Por que tentar contornar e lidar com uma plataforma sofisticada como a CrowdStrike no endpoint quando você pode fazer login como um usuário administrador?” disse Elia Zaitsev, CTO da CrowdStrike, ao VentureBeat durante uma recente entrevista.
A esmagadora maioria das empresas, 90%, experimentou pelo menos uma tentativa de intrusão e violação relacionada à identidade nos últimos doze meses. A IDSA também descobriu que 84% das empresas sofreram um impacto direto nos negócios este ano, um aumento em relação a 68% em 2023.
“O futuro não será televisionado; será contextual. É raro que um ator malicioso esteja queimando uma exploração de 0-day (nova) para obter acesso – por que usar algo especial quando você pode usar a porta da frente? Eles quase sempre estão trabalhando com credenciais válidas”, diz Baer.
“80% dos ataques que vemos têm um elemento baseado em identidade na técnica que o adversário usa; é um elemento chave”, disse Michael Sentonas, presidente da CrowdStrike, ao público na Fal.Con 2024 este ano. Sentonas continuou, dizendo: “Grupos sofisticados como Scattered Spider, como Cozy Bear, nos mostram como os adversários exploram a identidade. Eles usam spray de senha, usam phishing e usam estruturas MTM. Eles roubam credenciais legítimas e registram seus próprios dispositivos.”
Por que os ataques baseados em identidade estão proliferando
Os ataques baseados em identidade estão aumentando este ano, com um aumento de 160% nas tentativas de coletar credenciais via APIs de metadados de instâncias de nuvem e um aumento de 583% nos ataques de Kerberoasting, de acordo com o Relatório de Caça às Ameaças de 2023 da CrowdStrike.
Os ataques totais às identidades enfatizam a necessidade de uma estratégia de segurança adaptativa e centrada na identidade que reduza riscos e vá além das abordagens legadas baseadas em perímetro:
A expansão descontrolada de identidades humanas e de máquinas está rapidamente ampliando as superfícies de ameaça. A IDSA descobriu que 81% dos líderes de TI e segurança dizem que o número de identidades de suas organizações dobrou na última década, multiplicando ainda mais o número de superfícies de ataque potenciais. Mais da metade dos executivos entrevistados, 57%, considera gerenciar a expansão de identidades um foco principal para 2025, e 93% estão tomando medidas para controlá-la. Com as identidades de máquinas continuando a aumentar, as equipes de segurança precisam ter uma estratégia em vigor para gerenciá-las também. A organização típica tem 45 vezes mais identidades de máquinas do que humanas, e muitas organizações não sabem exatamente quantas têm. O que torna o gerenciamento de identidades de máquinas desafiador é considerar as diversas necessidades das equipes de DevOps, cibersegurança, TI, IAM e CIO.
A crescente incidência de ataques impulsionados por IA adversária lançados com técnicas de phishing baseadas em deepfake e impersonação. Deepfakes exemplificam a vanguarda dos ataques de IA adversária, alcançando um aumento de 3.000% no ano passado. Prevê-se que os incidentes de deepfake aumentem de 50% a 60% em 2024, com 140.000-150.000 casos globalmente previstos para este ano. A IA adversária está criando novos vetores de ataque que ninguém vê chegando e criando um novo cenário de ameaças mais complexo e nuançado que prioriza ataques impulsionados por identidade. A pesquisa mais recente da Ivanti descobriu que 30% das empresas não têm planos em vigor sobre como identificar e defender contra ataques de IA adversária, e 74% das empresas pesquisadas já veem evidências de ameaças impulsionadas por IA. Da maioria dos CISOs, CIOs e líderes de TI que participaram do estudo, 60% dizem que têm medo de que suas empresas não estejam preparadas para defender contra ameaças e ataques impulsionados por IA.
Mais direcionamento ativo de plataformas de identidade começando com o Microsoft Active Directory (AD). Todo adversário sabe que quanto mais rápido puderem assumir o controle do AD, mais rápido controlarão uma empresa inteira. Desde conceder a si mesmos direitos de administrador até excluir todas as outras contas de administrador para se isolar durante um ataque, os adversários sabem que bloquear o AD bloqueia um negócio. Uma vez que o AD está sob controle, os adversários se movem lateralmente pela rede e instalam ransomware, exfiltram dados valiosos e já foram conhecidos por reprogramar contas ACH. Pagamentos de saída vão para contas fantasmas que os atacantes controlam.
A dependência excessiva da autenticação de fator único para trabalhadores remotos e híbridos e a não aplicação da autenticação multifator ao nível do aplicativo em toda a empresa. Pesquisas recentes sobre tendências de autenticação descobrem que 73% dos usuários reutilizam senhas em várias contas, e o compartilhamento de senhas é desenfreado nas empresas hoje. Adicione a isso o fato de que as credenciais de contas privilegiadas para trabalhadores remotos não são monitoradas e as condições são criadas para o uso indevido de contas privilegiadas, a causa de 74% das intrusões baseadas em identidade este ano.
O Telesign Trust Index mostra que, quando se trata de acertar a higiene cibernética, há motivos válidos para preocupação. Seu estudo descobriu que 99% das intrusões digitais bem-sucedidas começam quando as contas têm a autenticação multifator (MFA) desligada. “O surgimento da IA no último ano trouxe a importância da confiança no mundo digital para o primeiro plano”, disse Christophe Van de Weyer, CEO da Telesign, ao VentureBeat durante uma recente entrevista. “À medida que a IA continua a avançar e se tornar mais acessível, é crucial que priorizemos a confiança e a segurança para proteger a integridade dos dados pessoais e institucionais. Na Telesign, estamos comprometidos em aproveitar as tecnologias de IA e ML para combater fraudes digitais, garantindo um ambiente digital mais seguro e confiável para todos.”
Um plano de MFA bem executado exigirá que o usuário apresente uma combinação de algo que sabe, algo que possui ou alguma forma de um fator biométrico. Uma das principais razões pelas quais tantos clientes da Snowflake foram violados é que a MFA não estava habilitada por padrão. A CISA fornece uma folha de dados útil sobre a MFA que define os detalhes de por que é importante e como funciona.
O ransomware está sendo iniciado com mais frequência usando credenciais roubadas, alimentando um boom de ransomware como serviço. O VentureBeat continua a ver ataques de ransomware crescendo a uma taxa exponencial em empresas de saúde e manufatura, à medida que os adversários sabem que interromper seus serviços leva a múltiplos maiores de pagamento de ransomware. O Relatório de Tendências de Ameaças Cibernéticas de 2024 da Deloitte descobriu que 44,7% de todas as violações envolvem credenciais roubadas como vetor de ataque inicial. Ataques de ransomware baseados em credenciais são notórios por criar caos operacional e, consequentemente, perdas financeiras significativas. Ataques de ransomware como serviço (RaaS) continuam a aumentar, à medida que os adversários estão ativamente phishing empresas-alvo para obter suas credenciais de acesso privilegiado.
Passos práticos que os líderes de segurança podem tomar agora para pequenas equipes
As equipes de segurança e os líderes que as apoiam precisam começar com a suposição de que suas empresas já foram violadas ou estão prestes a ser. Esse é um primeiro passo essencial para começar a defender identidades e a superfície de ataque que os adversários visam para chegar até elas.
“Comecei uma empresa porque isso é um ponto de dor. É realmente difícil gerenciar permissões de acesso em escala. E você não pode se dar ao luxo de errar com usuários de alto privilégio (executivos) que, a propósito, são as mesmas pessoas que ‘precisam de acesso ao e-mail imediatamente!’ em uma viagem de negócios em um país estrangeiro”, diz Kevin Jackson, CEO da Level 6 Communications.
Os seguintes são passos práticos que qualquer líder de segurança pode tomar para proteger identidades em seus negócios:
Auditar e revogar quaisquer privilégios de acesso para ex-funcionários, contratados e administradores. As equipes de segurança precisam se acostumar a auditar regularmente todos os privilégios de acesso, especialmente os dos administradores, para ver se ainda são válidos e se a pessoa ainda está na empresa. É a melhor memória muscular para qualquer equipe de segurança se acostumar a fortalecer, pois está provado que impede violações. Vá à caça de contas e credenciais zumbis regularmente e considere como a genAI pode ser usada para criar scripts para automatizar esse processo. Ataques internos são um pesadelo para as equipes de segurança e os CISOs que as lideram.
Adicione a isso o fato de que 92% dos líderes de segurança dizem que ataques internos são tão complexos ou mais desafiadores de identificar do que ataques externos, e a necessidade de controlar os privilégios de acesso se torna clara. Quase todos os provedores de IAM têm ferramentas de detecção de anomalias automatizadas que podem ajudar a impor uma limpeza completa de identidade e privilégios de acesso. O VentureBeat soube que aproximadamente 60% das empresas estão pagando por esse recurso em suas suítes de cibersegurança e não estão usando.
Faça da MFA o padrão sem exceções e considere como personas de usuários e funções com acesso a direitos administrativos e dados sensíveis também podem ter biometria e autenticação sem senha adicionadas. As equipes de segurança precisarão contar com seus fornecedores para acertar isso, já que a situação na Snowflake e agora os logins da Okta com nomes de usuário de 52 caracteres permitiram o acesso à sessão de login sem fornecer uma senha.
A Gartner projeta que até o próximo ano, 50% da força de trabalho usará autenticação sem senha. Os principais provedores de autenticação sem senha incluem Microsoft Azure Active Directory (Azure AD), OneLogin Workforce Identity, Thales SafeNet Trusted Access e Windows Hello for Business. Destes, o Zero Sign-On (ZSO) da Ivanti está integrado em sua plataforma UEM, combina autenticação sem senha com protocolos FIDO2 e suporta biometria, incluindo o Face ID da Apple como um fator de autenticação secundário.
Acertar o provisionamento just-in-time (JIT) como parte central da concessão de acesso de menor privilégio. O provisionamento Just-in-Time (JIT) é um elemento chave das arquiteturas de zero trust, projetado para reduzir riscos de acesso limitando permissões de recursos a durações e funções específicas. Ao configurar sessões JIT com base em função, carga de trabalho e classificação de dados, as organizações podem controlar e proteger ainda mais ativos sensíveis.
O Ivanti Neurons for App Control recentemente lançado complementa as medidas de segurança JIT, fortalecendo a segurança do endpoint por meio do controle de aplicativos. A solução bloqueia aplicativos não autorizados verificando a propriedade do arquivo e aplicando gerenciamento de privilégios granular, ajudando a prevenir malware e ataques de dia zero.
Prevenir que adversários e potenciais ameaças internas assumam funções de máquina na AWS configurando seu IAM para acesso de menor privilégio. O VentureBeat soube que ataques cibernéticos em instâncias da AWS estão aumentando, e atacantes estão assumindo as identidades de funções de máquina. Certifique-se de evitar misturar funções humanas e de máquina em DevOps, engenharia, produção e contratados da AWS.
Se as atribuições de função tiverem erros, um funcionário ou contratado desonesto pode e já roubou dados confidenciais de uma instância da AWS sem que ninguém soubesse. Audite transações e imponha acesso de menor privilégio para prevenir esse tipo de intrusão. Existem opções configuráveis no AWS Identity and Access Management para garantir esse nível de proteção.
Previsão do futuro da gestão de identidade em 2025
Toda equipe de segurança precisa assumir que uma violação impulsionada por identidade ocorreu ou está prestes a ocorrer se quiser estar pronta para os desafios de 2025. Impor acesso de menor privilégio, um componente central do zero trust, e uma estratégia comprovada para fechar uma violação precisa ser uma prioridade. Impor o provisionamento JIT também é fundamental.
Mais equipes de segurança e seus líderes precisam responsabilizar os fornecedores e exigir que suas plataformas e aplicativos suportem MFA e técnicas avançadas de autenticação.
Não há desculpa para enviar um projeto de cibersegurança em 2025 sem MFA instalada e habilitada por padrão. Plataformas complexas de banco de dados em nuvem como a Snowflake apontam por que isso deve ser o novo normal. A supervisão mais recente da Okta permitindo que nomes de usuário de 52 caracteres contornem a necessidade de uma senha apenas mostra que essas empresas precisam trabalhar mais e mais diligentemente para conectar sua engenharia, qualidade e equipes de red-teaming internamente para que não coloquem clientes e seus negócios em risco.