Itay Nachum

Dizem por aí que os sistemas de identidade - e o Active Directory em particular - são os principais alvos de ataques cibernéticos. Como uma empresa que foi pioneira em soluções criadas especificamente para proteger e recuperar o Active Directory de ataques cibernéticos, ficamos felizes em ver várias empresas de pesquisa confirmarem recentemente a importância de soluções de segurança cibernética específicas para o AD. O Gartner não apenas nomeou a defesa do sistema de identidade como uma das principais tendências de 2022 em segurança cibernética, mas também criou uma categoria totalmente nova - Detecção e resposta a ameaças à identidade (ITDR) - e nomeou a Semperis como um exemplo de fornecedor de soluções ITDR.

Mas sabemos, pelo nosso trabalho na linha da frente a ajudar as organizações a prevenir, remediar e recuperar de desastres cibernéticos, que ter uma estratégia de segurança ITDR eficaz vai para além de verificar as caixas das empresas de investigação. Na recente Cimeira de Gestão de Identidades e Acessos da Gartner, em Las Vegas, inquirimos os participantes sobre os seus principais critérios de avaliação das soluções ITDR.

Principal conclusão: As organizações estão à procura de soluções ITDR que abranjam todo o ciclo de vida do ataque - antes, durante e depois de um ataque - e queofereçam protecção específica para o AD e o Azure AD. Como a Gartner e outras empresas de análise apontaram, as organizações precisam de soluções de segurança e recuperação específicas para o AD para proteger adequadamente seus ambientes híbridos de AD.

Como uma prévia do nosso próximo relatório completo sobre essas descobertas, aqui estão os principais recursos de ITDR que as organizações estão procurando para proteger e recuperar seus ambientes AD híbridos, bem como alguns comentários de Darren Mar-Elia, vice-presidente de produtos da Semperis. (Confira o vídeo abaixo para ver o resumo dos critérios de avaliação de ITDR que reunimos dos participantes do Gartner IAM Summit).

Leitura relacionada

Abaixo, apresentamos em pormenor as cinco principais conclusões do ITDR:

  1. Recuperação automatizada e sem malware de AD de várias florestas em uma hora ou menos
  2. Detecção de ataques que contornam o SIEM e outras ferramentas tradicionais
  3. Visibilidade dos ataques que passam do AD no local para o Azure AD
  4. Capacidade para descobrir configurações incorrectas e vulnerabilidades em ambientes AD antigos
  5. Correcção automática das ameaças detectadas

1. Recuperação automatizada de AD de várias florestas, sem malware, em uma hora ou menos

A componente "resposta" do ITDR é importante para as organizações que inquirimos, uma vez que a maioria dos líderes empresariais e as suas equipas de segurança e operações de TI reconhecem que nenhuma entidade pode eliminar a possibilidade de um ciberataque. Os inquiridos expressaram uma visão pessimista sobre a sua capacidade de recuperar o AD de um ciberataque: 77% das organizações indicaram que, na eventualidade de um ciberataque, sofreriam um impacto grave - o que significa que têm uma solução geral de recuperação de desastres, mas não têm suporte específico para o AD - ou um impacto catastrófico - o que significa que teriam de efectuar uma recuperação manual utilizando as suas cópias de segurança, o que exigiria dias ou semanas. A perda de receitas comerciais, os danos à reputação e, no caso das organizações de cuidados de saúde, a saúde e segurança dos doentes devido a uma recuperação prolongada podem ser um acontecimento devastador.

"As organizações podem fazer todas as coisas certas para evitar um ataque de ransomware, mas no final do dia, ainda é possível ser comprometido", disse Darren Mar-Elia, vice-presidente de produtos da Semperis. "E você precisa de uma solução que possa trazê-lo de volta a um estado bom conhecido o mais rápido possível."

2. Detecção de ataques que contornam o SIEM e outras ferramentas tradicionais

Reflectindo a consciência crescente de que os cibercriminosos estão constantemente a conceber novas tácticas, técnicas e procedimentos (TTP) para atacar os sistemas de identidade, os inquiridos citaram a incapacidade de detectar ataques que contornam as ferramentas de monitorização tradicionais como a principal preocupação geral na protecção do AD. Essa preocupação é justificada: Muitos ataques que conseguem explorar o AD contornam produtos baseados em registos ou eventos, como os sistemas de gestão de eventos de incidentes de segurança (SIEM). As organizações precisam de soluções que utilizem várias fontes de dados - incluindo o fluxo de replicação do AD - para detectar ataques avançados.

3. Visibilidade dos ataques que passam do AD no local para o Azure AD

À medida que mais organizações adotam ambientes de nuvem híbrida, a detecção de ataques que passam do AD local para o Azure AD - ou vice-versa, como no ataque da SolarWinds - surgiu como uma das principais preocupações de muitas organizações. Reforçando a previsão da Gartner de que apenas 3% das organizações migrarão completamente do Active Directory (AD) local para um serviço de identidade baseado na nuvem até 2025, 80% dos inquiridos no nosso inquérito afirmaram que utilizam o Active Directory local sincronizado com o Azure AD ou utilizam vários sistemas de identidade diferentes, incluindo o AD e/ou o Azure AD.

Mas a protecção desses sistemas AD híbridos é uma prioridade: Os inquiridos indicaram que a capacidade mais importante para evitar ataques nas suas organizações era a monitorização contínua das vulnerabilidades e configurações de risco do AD e do Azure AD. Apenas um terço dos inquiridos indicou estar "muito confiante" de que poderia evitar ou remediar um ataque ao AD local e apenas 27% indicou o mesmo nível de confiança relativamente ao Azure AD.

"Suspeito que, com o tempo, veremos mais ataques verticais que passam do AD local para o Azure AD e, na Semperis, estamos concentrados em fornecer visibilidade para esses caminhos de ataque híbridos", disse Mar-Elia.

4. Capacidade para detectar configurações incorrectas e vulnerabilidades em ambientes AD antigos

Não é surpreendente que os inquiridos classifiquem tão bem a importância da monitorização contínua das vulnerabilidades e configurações de risco do AD e do Azure AD. Dado o número de ataques que exploram as vulnerabilidades do AD numa base quase diária, as organizações estão compreensivelmente preocupadas em avaliar os seus ambientes quanto a vulnerabilidades que os possam deixar expostos a atacantes.

Os utilizadores da Purple KnightA ferramenta gratuita de avaliação da segurança do AD da Semperis, muitas vezes fica desanimada com a baixa pontuação inicial da postura de segurança. Mas saber onde se encontram as vulnerabilidades e aplicar as orientações de correcção dos especialistas dá aos utilizadores um roteiro para melhorar a segurança.

"OPurple Knight ajudou-nos a tomar medidas imediatas, como encerrar ou desactivar contas do Active Directory que não deveriam ter sido desactivadas", afirmou Keith Dreyer, CISO da Maple Reinders no Canadá. "E depois ajudou-nos a desenvolver um plano de manutenção a longo prazo."

5. Correcção automática das ameaças detectadas

Os ciberataques movem-se frequentemente à velocidade da luz assim que os atacantes lançam o malware, pelo que a remediação automática é fundamental para evitar que uma exploração conduza a privilégios elevados e a uma eventual tomada de controlo da rede. No famoso ataque NotPetya de 2017 ao gigante do transporte marítimo Maersk, toda a rede da empresa foi infectada em minutos.

Os inquiridos indicaram que a correcção automatizada de alterações maliciosas para impedir a rápida propagação de ataques era a capacidade de correcção mais importante, seguida do rastreio e correlação de alterações entre o AD no local e o Azure AD.

As soluções ITDR têm de proteger os sistemas de identidade híbrida antes, durante e depois de um ataque

A designação pela Gartner de uma categoria específica de soluções para abordar a defesa do sistema de identidade é um testemunho do aumento do Active Directory como um alvo principal para os cibercriminosos - explorado em 9 de cada 10 ciberataques. Com base nos resultados do nosso inquérito e nas conversas com os clientes, sabemos que as organizações estão preocupadas com os desafios da protecção de ambientes de identidade híbrida ao longo de todo o ciclo de vida do ataque. Ao avaliar as soluções ITDR, dê prioridade à prevenção, detecção, correcção automática e recuperação de ciberataques baseados no AD.

Subscreva o nosso blogue para saber mais sobre a categoria emergente de Detecção e Resposta a Ameaças de Identidade e como pode criar uma estratégia de defesa do sistema de identidade em camadas.

Mais recursos