Cerca de 80% dos ataques cibernéticos se aproveitam de brechas nos repositórios de identidades de acesso para comprometer credenciais legítimas e acessar informações críticas. Os dados são da CrowdStrike e mostram que, dessa forma, criminosos muitas vezes roubam dados, sequestram informações ou praticam outros tipos de crimes baseados no tráfego de dados.
A relevância desta quantidade de ataques se soma ao grande desconhecimento sobre o assunto, motivado por fatores complexos e que atingem parte de empresas e funcionários. O motivador mais importante é o salto no número de pessoas trabalhando remotamente em função da pandemia de covid-19. A situação emergencial pode ter levado as empresas a tomar decisões rápidas, não ter treinado adequadamente seus funcionários ou mesmo não se atentado aos riscos reais a que estavam expostas.
Campanhas de ransomware operadas por cibercriminosos são muito comuns. Nesses ataques, eles usam credenciais válidas para mapear o ambiente comprometido, roubar dados e, em seguida, sequestrá-los, exigindo pagamento. O Brasil é o quarto maior alvo de ataques ransomware no mundo. Levantamentos de mercado apontam milhões de tentativas por dia neste sentido.
Isso acontece porque os ataques avançados utilizam técnicas, como o movimento lateral, para fugir rapidamente da detecção. O invasor usa o acesso a partir de uma identidade comprometida para conseguir se conectar a contas legítimas e se esconder da detecção.
Obstáculos
A chave para enfrentar esses desafios é o conhecimento sobre como funcionam e quais são os riscos dos ataques via vetor de identidade. As empresas podem começar a entender os riscos reais do principal repositório de identidades hoje, o Active Directory. Além disso, uma estratégia para mitigar o problema é entender quais são os comportamentos “normais” de cada identidade, para que seja possível identificar os desvios de comportamento, caso um adversário tome posse de uma dessas identidades.
Além de conhecer os riscos, as empresas podem passar a avaliar de maneira criteriosa os acessos que cada identidade tem e gerenciar esse fluxo de maneira estratégica.
