0
0
No início de maio de 2021, a Colonial Pipeline, operadora do oleoduto que bombeia 45% do combustível da Costa Leste, anunciou que havia sido hackeada.
Em seu depoimento perante o Comitê do Senado de Segurança Interna e Assuntos Governamentais, o presidente e CEO da empresa, Joe Blount, disse aos legisladores que os hackers violaram sua rede por meio de uma conta VPN legada comprometida.
Este incidente fez com que quase todos os elementos de segurança deram errado:
- Credenciais comprometidas foram encontradas em uma lista de dados roubados
- A conta não estava protegida por autenticação multifatorial
- Os atacantes usaram um serviço legado (provavelmente não monitorado) para invadir
A conta comprometida provavelmente era um perfil de resquência que foi girado pela equipe de TI em uma data anterior e eles simplesmente perderam o controle, esquecendo de bloquear seu acesso à rede quando mudaram para um sistema diferente.
Seu erro destaca um problema comum: o acesso é concedido a identidades, mas os gerentes perdem visibilidade sobre essas autorizações e permanecem expostos. Os riscos dessa má gestão só estão aumentando à medida que essas contas sem usuário crescem em número, mas há esperança se sua organização for capaz de alguma higiene básica de segurança.
Fora da vista, fora da mente – mas ainda é um risco
De acordo com nossa pesquisa interna, 6% das contas de usuário dentro de uma organização estão inativas. Mas só porque eles não estão sendo usados não significa que eles não possam ser comprometidos. Se um invasor tiver acesso a uma dessas contas, especialmente se não for monitorado, ele poderá usar essas permissões para alcançar os ativos da organização.
Em alguns casos, essas contas podem ter pertencido a ex-funcionários que desde então deixaram a organização. Outros podem ter pertencido a pessoas que mudaram de papel e não estão mais usando essas identidades específicas.
Embora essas sejam questões que devem ser enfrentadas, as ferramentas de Governança e Administração de Identidade (IGA) fazem um bom trabalho ao abordá-las sob a estrutura Joiner, Mover, Leaver Lifecycle Management.
Essas ferramentas, no entanto, têm pontos cegos em áreas como grupos vazios mal gerenciados e identidades robóticas. Ambas as categorias têm permissões que podem ser usadas e abusadas.
Mesmo quando grupos vazios não são numerosos em uma organização, eles geralmente têm acesso a milhares de arquivos, fornecendo uma janela grande o suficiente para hackers roubarem dados ou causarem interrupções sem detecção.
A situação não melhora quando se trata das identidades robóticas. Estas são as contas de serviço que são usadas para executar todos os tipos de tarefas e, como tal, têm uma variedade de permissões — incluindo privilégios de administrador em alguns casos. A Forrester estimou que o número de identidades não humanas dobrou no último ano.
Como identificar, monitorar e remediar
O primeiro passo para assumir o controle sobre suas identidades e autorizações de ativos é saber o que você tem. Isso começa com a digitalização em todos os seus ambientes XaaS – ou seja, SaaS, IaaS e PaaS – e fazendo um inventário de quais identidades têm autorização para quais ativos.
Isso envolve ingerir os dados desses diferentes ambientes, normalizar os dados em um modelo viável e, em seguida, correlacioná-los com suas identidades do seu provedor de identidade (IDP), como Okta, Ping, Azure AD ou Google.
O objetivo aqui é entender a relação entre as identidades e os ativos, avaliando uma ampla gama de fatores, incluindo seu uso e se eles são do tamanho certo para atender às políticas/necessidades da organização.
Existem identidades com permissões para ativos que não são usados há pelo menos 60 dias? Este pode ser um bom momento para revogar essas autorizações. Mas esse é apenas um caso superficial. Depois de começar a analisar seus direitos em um nível mais profundo, você começará a descobrir que há mais permissões concedidas às suas identidades do que provavelmente desejará admitir. Isto é especialmente verdadeiro para permissões que não deveriam ter sido concedidas em primeiro lugar.
Uma vez que entendamos o que temos, precisamos descobrir como vamos: a) corrigir todos os direitos desalinhados que se acumularam ao longo dos anos e b) criar um plano para fazê-lo corretamente a partir de agora.
À medida que você monitora, corrija autorizações arriscadas à medida que elas aparecerem. Se você se deparar com um grupo vazio, feche-o. O mesmo para identidades robóticas que não estão em uso regular.
Se você estiver automatizando seu processo de provisionamento de direitos, será mais fácil revogar as permissões e transformá-las novamente no futuro do que lidar com uma crise.
Para sermos eficazes na eliminação dos riscos que vêm com identidades não utilizadas, precisamos fazer a transição para um estado em que estamos ingerindo dados, monitorando violações e remediando constantemente.
O padrão atual de verificações periódicas pode satisfazer os auditores, mas não é suficiente se quisermos impor padrões de segurança suficientes daqui para frente.
FONTE: HELPNET SECURITY