O roubo de identidade é uma ameaça crescente no atual panorama digital. Os agentes das ameaças têm percebido que atualmente é mais efetivo, mais rápido e mais barato roubar credenciais e acessar logins do que tentar penetrar em controles técnicos.
Depois de roubar os detalhes de acesso de apenas um funcionário, eles movem lateralmente, roubando ainda mais credenciais, aumentando os privilégios, comprometendo servidores e endpoints e baixando dados organizacionais confidenciais – tornando ainda mais fácil para um invasor transformar uma identidade comprometida em um incidente de ransomware ou violação de dados em toda a organização.
As identidades privilegiadas representam as chaves do reino que os invasores exploram para roubar as joias da coroa. Infelizmente, devido à dificuldade de detectar esses ataques, a maioria das organizações não está ciente desse risco.
As equipes de segurança precisam considerar suas ferramentas de detecção, para identificar usuários comprometidos e movimentos laterais entre ambientes, antes que os danos sejam causados.
O e-mail continua sendo o principal ponto de entrada
Os agentes de ameaças entendem que as pessoas têm acesso aos dados mais importantes de uma organização, e que a maioria pode ser enganada de forma relativamente fácil, levando-as a tomar uma atitude que poderia colocar em risco a segurança de sua organização. E a maioria desses ataques começa com um simples e-mail.
Os ataques baseados em e-mail continuam dominando o cenário de ameaças em todo o mundo e no Brasil. O relatório 2023 State of the Phish, da Proofpoint, revelou que quase oito em cada dez organizações brasileiras sofreram pelo menos um ataque bem-sucedido de phishing baseado em e-mails, em 2022, sendo que 23% sofreram perdas financeiras diretas. Entre as organizações brasileiras que foram vítimas de phishing bem-sucedido, 24% resultaram em roubo de credenciais e/ou comprometimento de contas em que os funcionários expõem suas credenciais de forma inadvertida, dando aos agentes de ameaças acesso a dados confidenciais e a suas contas comerciais.
Muitos dos ataques atuais dependem dessas identidades comprometidas, incluindo o ransomware. Os dados da Proofpoint mostram que 58% das organizações brasileiras sofreram uma tentativa desse tipo de ataque baseado em e-mail no ano passado, sendo que quase metade sofreu uma infecção bem-sucedida. Além disso, 44% das organizações brasileiras informaram que tiveram perda de dados devido à ação de um insider em 2022.
É evidente que a segurança de e-mail é fundamental. Por meio de uma combinação técnica de regras de gateway de e-mail, análise avançada de ameaças, autenticação de e-mail e visibilidade dos aplicativos em nuvem, as organizações podem bloquear a maioria dos ataques direcionados antes que eles cheguem aos funcionários.
No entanto, devemos considerar toda a cadeia de ataque como parte de uma estratégia eficaz de proteção contra ameaças, abrangendo as ameaças que os colaboradores e suas identidades enfrentam continuamente.
Rompendo a cadeia de ataques
Os atacantes continuarão a usar a mesma técnica: visar os funcionários com um e-mail, na tentativa de se estabelecer em uma organização e se mover lateralmente, causando o máximo de danos possível. Eles dependem dessa técnica porque, em termos simples, ela funciona e continuará funcionando, a menos que as organizações considerem como podem romper os elos da cadeia de ataque.
Quando analisamos as oportunidades para as organizações romperem a cadeia de ataque, a primeira etapa é impedir o comprometimento inicial. É nesse ponto que uma estratégia robusta de segurança de e-mail é fundamental. Desde ataques de BEC (Business Email Compromise), aquisição de contas na nuvem ou criminosos cibernéticos que usam terceiros confiáveis para comprometer a organização por meio de seus fornecedores, um e-mail inicial pode levar ao comprometimento.
Após o comprometimento inicial, eles têm acesso ao domínio, o que lhes dá acesso a contas de e-mail e a capacidade de cometer fraudes.
É preocupante o fato de que as contas comprometidas muitas vezes podem não ser detectadas, não deixando nenhum indicador de comprometimento ou evidência de malware. E, apesar da implementação do gerenciamento de contas privilegiadas (PAM) e da autenticação multifatorial (MFA), esses ataques ainda estão aumentando. Se não forem detectados, as organizações enfrentarão um problema ainda maior: o escalonamento de privilégios e o movimento lateral dentro das redes.
Para combater isso, as organizações precisam implementar tecnologia para identificar e responder a usuários comprometidos e remover o que os invasores precisam para concluir seu crime: acesso a contas privilegiadas. Uma abordagem Identy Threat Detection and Response (ITDR) – ou Abordagem de Detecção e Respostas a Ameaças de Identidade – ajudará as organizações a remediarem os riscos de identidade privilegiada e a entender as possíveis ramificações do comprometimento, como o acesso a dados críticos e à propriedade intelectual.
Ao implementar esses controles técnicos robustos, as organizações podem evitar o roubo e o comprometimento inicial da identidade. Entretanto, como em todas as ameaças, uma combinação de pessoas, processos e tecnologia é crucial.
A segurança é uma responsabilidade compartilhada. Devemos capacitar as pessoas, em todos os níveis de nossas organizações, para que compreendam a segurança e os comportamentos de risco que podem levar a violações. Os programas de treinamento e conscientização são cruciais, mas um único formato não serve para todos. Certifique-se de que seu programa seja da perspectiva do usuário – torne-o relevante para o trabalho e a vida pessoal deles.
As organizações no Brasil se destacam nesse aspecto – de acordo com o mesmo relatório da Proofpoint (State of Pish 2023), 71% das organizações brasileiras treinam todos os seus funcionários em tópicos de segurança, percentual superior em comparação aos demais 14 países do estudo. Além disso, quase metade (46%) das organizações brasileiras treina seus funcionários sobre ameaças específicas que sua organização está enfrentando.
Mais de 99% das ameaças cibernéticas exigem interação humana para serem bem-sucedidas. E da mesma forma que seu pessoal é tão vital para um ataque, ele precisa ser uma parte vital de sua defesa.
Os criminosos cibernéticos passam dia e noite tentando penetrar em suas redes, sistemas e dados. O mínimo que podemos fazer é tornar esse processo um pouco mais difícil.
Marcelo Bezerra, Gerente Sênior de Engenharia de Vendas da Proofpoint para América Latina.