Por que gerenciar acessos privilegiados evita ataques cibernéticos

As consequências de um ataque cibernético custam caro. De acordo com o Nono Estudo Anual de Custo de Crimes Cibernéticos da Accenture, o impacto financeiro médio de uma invasão passou de US$ 1,4 milhão para US$ 13 milhões por ataque. E considerando o retrospecto de 2020, esse número continuará aumentando. Por isso é preciso se proteger com inteligência.

E gerenciar acessos privilegiados evita ataques cibernéticos.

Manter a continuidade de negócios e a resiliência diante desse cenário de ameaças dinâmicas começa com a compreensão da mentalidade de um atacante. As motivações variam, mas o ciclo de ataques permanece muito parecido em todos os casos.

Os criminosos irão usar, primeiro, meios comuns, como phishing ou exploração de uma vulnerabilidade de software conhecida, para ganhar uma posição em uma rede corporativa. Em um segundo momento, eles irão explorar contas privilegiadas, que são aquelas com amplo, e poderoso, acesso administrativo.

O interessante é que, se não houver acesso privilegiado, a grande maioria dos ataques não prossegue além de estágios iniciais.

A transformação rápida dos negócios, liderada por investimentos em tecnologias digitais, expandiu contas privilegiadas para ambientes de nuvem e híbridos. Com isso, há ainda mais potenciais pontos de acesso.

Hoje, processos de negócios críticos, aplicativos e instâncias de nuvem, por exemplo, têm contas privilegiadas associadas para segurança.

Assim, obter acesso privilegiado é uma prioridade para os atacantes.

Garantir o gerenciamento de acesso privilegiado ajuda a reduzir a superfície de ataque, quebrando o conjunto de ferramentas do atacante e restringindo a propagação de uma invasão. Limitar o movimento lateral força os atacantes a usar táticas mais complexas. Essas táticas são mais fáceis de identificar e, assim, as organizações podem ser alertadas e conseguem impedir a progressão do ataque antes que o negócio seja dramaticamente impactado.

Assim, separamos duas estratégias que priorizam o gerenciamento de acesso privilegiado para armar as empresas na defesa contra eles.

Pare a escalada do privilégio

As marcas de software e de aplicativos que as empresas confiam podem estar cheias de configurações erradas e vulnerabilidades, ainda mais se atualizações básicas e patches não estão sendo aplicados de forma consistente. Hoje, sabemos que 60% das violações de dados envolvem vulnerabilidades não reparadas.

Só que para o atacante, a vulnerabilidade em si representa só uma porta aberta para ganhar essa posição inicial. O ponto crítico é como eles usam essa posição inicial para escalar privilégios e facilitar o movimento lateral em redes cada vez mais distribuídas e descentralizadas.

A escalada de privilégios é o elo mais crítico da cadeia de ataque. Um invasor consegue realizar várias etapas, incluindo a persistência da rede, a construção de backdoors adicionais e, finalmente, o acesso a ativos críticos.

Um programa moderno de gerenciamento de acesso privilegiado reforça o princípio do menor privilégio. O que quer dizer que ele ajuda a garantir que os usuários tenham apenas o acesso necessário para executar suas funções, e nada mais. Isso faz com que haja limitações nas permissões especiais, reduzindo ainda mais a superfície geral de ataque.

Prevenção de aquisições de contas

Os ataques de aquisição de contas (ATO – “Account Takeover”) são sofisticados, direcionados e projetados para dar ao invasor o máximo de controle possível sobre um ambiente, para que ele roube e explore credenciais legítimas do usuário.

Os atacantes priorizam credenciais privilegiadas, especialmente para contas com acesso “sempre ativo”. Essas contas poderosas permitem que os invasores se movam através de uma rede e alcancem por exemplo um serviço de diretório como o Active Directory, de onde a movimentação lateral se torna automática.

Soluções de gerenciamento de acesso privilegiado que incluem controles de acesso just-in-time, podem reduzir drasticamente a superfície de ataque, protegendo as credenciais de autenticação que estão espalhadas por ambientes. Uma abordagem just-in-time ajuda a fornecer os níveis apropriados de acesso aos recursos certos para o tempo certo, eliminando as contas sempre ativas, que os atacantes cobiçam. Isso torna a vida do atacante muito mais difícil, impedindo a escalada de privilégios e restringindo severamente o movimento lateral.

Por Leonardo Camata