Tal como o impacto dos ciberataques não se limita ao departamento de TI, o papel do CISO expandiu-se para além da equipa de segurança. Com as organizações e os analistas a reconhecerem agora que a identidade é o novo perímetro de segurança, a supervisão de uma estratégia de segurança abrangente que coloque a identidade em primeiro lugar tornou-se uma responsabilidade essencial do CISO. O que é que os CISO precisam de saber sobre a Detecção e Resposta a Ameaças de Identidade (ITDR)? Aqui, os nossos especialistas fornecem cinco passos importantes para os líderes de segurança com visão de futuro.
1. Concentrar-se na segurança que privilegia a identidade para reforçar a resiliência operacional
Simon Hodgkinson, antigo CISO da bp e consultor estratégico da Semperis, afirma que a resiliência operacional deve ser uma prioridade para os líderes de segurança e de negócios. E permitir a resiliência total envolve muito mais do que ter um plano genérico de recuperação de desastres.
"A recuperação de desastres é bastante restrita na sua definição e, normalmente, é vista num período de tempo reduzido", afirma Hodgkinson. "A resiliência operacional é muito mais abrangente, incluindo aspectos como o tipo de governação implementado, a forma como se gere a gestão do risco operacional, os planos de continuidade da actividade e a gestão do risco cibernético, da informação e de fornecedores terceiros.... A resiliência deve ser integrada em tudo".
Este nível de resiliência depende de uma forte segurança para a sua infra-estrutura de identidade. Para mais de 90 por cento das organizações, isso significa o Active Directory (AD) e o Azure AD. Afinal de contas, se o AD não estiver a funcionar, nada está. Como afirma Hodgkinson, "o Active Directory está no centro da sua capacidade de operar e fornecer resultados comerciais e tem de fazer parte da sua estratégia de resiliência operacional em vez de ser tratado como uma ilha."
- O que fazer: Faça da segurança do AD híbrido um componente essencial do seu plano de resiliência operacional.
- Para ler: Resiliência operacional: Mais do que a recuperação de desastres
2. Criar uma estratégia global de ITDR
"A Gartner chamou muita atenção no final do ano passado para as soluções de deteção e resposta a ameaças de identidade (ITDR)", diz o tecnólogo principal da Semperis, Sean Deuby. "Há muitas formas de reforçar as suas defesas, mas o passo mais produtivo que as organizações podem dar este ano é dar prioridade à segurança centrada na identidade."
Essa estratégia deve incluir procedimentos, processos e responsabilidades específicos para proteger a sua infra-estrutura de identidade híbrida durante todo o ciclo de vida do ataque ao AD: antes, durante e depois de um ataque. Deve incluir um plano para cópia de segurança e recuperação específicas do AD e monitorização regular para identificar vulnerabilidades relacionadas com a identidade. E deve identificar as interdependências entre os seus sistemas de identidade e a tecnologia operacional (OT).
- O que fazer: Criar uma estratégia de ITDR que abranja todas as fases do ciclo de vida do ataque AD.
- Para ler: Como criar uma estratégia sólida de ITDR
3. Obter uma visão realista da superfície de ataque à sua identidade
"A maioria dos ataques envolve a identidade e, independentemente do seu ponto de acesso inicial, os agentes de ameaças passam normalmente pelo AD para ganhar terreno no seu ambiente", explica Deuby. "Por isso, um bom ponto de partida é avaliar e reduzir a superfície de ataque do AD."
Este passo necessário não precisa de ser difícil nem dispendioso. Ferramentas poderosas como o Purple Knightque o ajuda a detectar lacunas e vulnerabilidades que muitas vezes já existem há anos, e Forest Druidque o ajuda a identificar os seus activos de identidade mais importantes e os caminhos de acesso aos mesmos, estão disponíveis gratuitamente. Não é necessária qualquer instalação ou permissão especial, e as ferramentas fornecem uma imagem clara das potenciais vulnerabilidades - e indicadores de que os atacantes podem já ter violado o seu perímetro de identidade. Também obtém orientações práticas para colmatar as lacunas existentes.
- Para fazer: Descarregue e execute Purple Knight e Forest Druid para obter um instantâneo da sua superfície de ataque AD.
- Para assistir: Proteja os seus activos de identidade com Purple Knight e Forest Druid
4. Automatizar a protecção da identidade para uma resposta mais rápida
A Forbes recomenda que os CISO se concentrem em soluções para automatizar a prevenção de ameaças. "A automação e uma abordagem API-first podem ajudar a simplificar os processos, reduzir o risco de erro humano e melhorar a eficiência das equipas de cibersegurança", observa a Forbes. "Isto inclui a utilização da automatização em tarefas como a gestão de vulnerabilidades, a resposta a incidentes e as verificações de conformidade."
A automatização pode reduzir a carga de trabalho dos recursos, bem como reduzir os erros humanos e acelerar a resposta a incidentes. E quando se trata de proteger os seus activos de identidade de nível 0, a velocidade é essencial.
Durante o infame ataque Maersk NotPetya, por exemplo, o ransomware espalhou-se pela rede a uma velocidade recorde. "No momento em que o vimos, o nosso centro de dados já tinha desaparecido", disse Craig William, Director de Divulgação da divisão Talos da Cisco, à Wired.
É por isso que as soluções ITDR especializadas permitem a reversão automatizada das alterações no AD. A Semperis Directory Services Protector (DSP ) automatiza a correcção e permite a criação de gatilhos e alertas personalizados, para que as organizações possam responder às ciberameaças o mais rapidamente possível.
Automatizar a recuperação do AD é outro recurso vital. A recuperação manual pode levar dias ou até semanas, em comparação com menos de uma hora com o Semperis Active Directory Forest Recovery (ADFR ) .
- Para fazer: Solicitar uma demonstração de DSP ou ADFR.
- Para ler: Automatizar a detecção e a resposta
5. Preparar-se para o pior
"Suspeito que veremos um crescimento contínuo do cibercrime, em todas as frentes, não apenas em 2023, mas nos próximos anos", alerta Deuby. "De acordo com o Statista Cybersecurity Outlook, o custo global do crime cibernético deve aumentar nos próximos cinco anos, passando de US $ 8,44 trilhões em 2022 para US $ 23,84 trilhões em 2027, com uma média de crescimento anual de 21% a 36%. Esta tendência traz uma mensagem clara: Continuar a trabalhar nos princípios básicos de segurança e fechar os caminhos de ataque mais comuns".
Os especialistas em segurança gostam de dizer que os ciberataques são uma questão de "quando, não de se". Os CISO devem preparar-se para esse "quando", tendo uma cópia de segurança específica do AD e um plano de recuperação detalhado do AD - e testando ambos regularmente. Os backups tradicionais incluem o AD e o sistema operacional, que pode incluir malware. O malware pode esconder-se no seu ambiente durante semanas ou meses, corrompendo as cópias de segurança para que a recuperação reinfecte os seus sistemas. E a última coisa de que precisa é descobrir falhas no seu plano de cópia de segurança ou de recuperação durante um ciberataque activo.
- O que fazer: Desenvolver um plano de backup e recuperação específico para o AD e testar regularmente ambos.
- Para ler: Por que recuperar o Active Directory de um ataque cibernético é um componente essencial do ITDR
Saiba mais
Muitas das maiores organizações do mundo confiam nos especialistas em segurança de identidade da Semperis para ajudá-las a proteger e recuperar suas infraestruturas do Active Directory e do Azure AD. Reconhecida pela Semperis como uma fornecedora especializada em soluções ITDR, as soluções e serviços da Semperis se concentram na proteção de identidade híbrida durante todo o ciclo de vida do ataque ao AD - antes, durante e depois de um ataque.