0
0
Identidade é a nova moeda, e adversários digitais estão perseguindo riqueza. De acordo com o “Data Breach Investigations Report” da Verizon, 61% das violações de dados podem ser rastreadas até credenciais comprometidas. Por que? Invadir sistemas com credenciais legítimas de usuários muitas vezes permite que os invasores se movam sem serem detectados em uma rede para coleta de informações, roubo de dados, extorsão e muito mais.
O controle de acesso é fundamental para defender sistemas, mas como qualquer ferramenta, tem seus limites. Atacantes motivados tentam encontrar maneiras de contornar as bordas dos sistemas de controle de acesso para obter acesso às contas. Muitas empresas têm investido em tecnologias antifraude para detectar e mitigar esses tipos de ataques contra alvos de alto valor, como fluxos de login e pagamento.
No entanto, as táticas dos fraudadores podem funcionar igualmente também em áreas além dos fluxos de login e pagamento. Portanto, vemos invasores persistentes que agora visam sistemas de “construção de identidade”, como provisionamento, registro de dispositivos, redefinição de senha e outros sistemas de gerenciamento de contas.
Como esses sistemas de provedores de identidade estabelecem a base para todo o controle de acesso, eles agora estão atraindo atenção dedicada dos cibercriminosos. Por exemplo, os grupos de ransomware LockBit, Avaddon, DarkSide, Conti e BlackByte estão utilizando os intermediários de acesso iniciais (IABs) para comprar acesso a organizações vulneráveis em fóruns da Dark Web. Os IABs cresceram em popularidade nos últimos dois anos e estão diminuindo significativamente as barreiras para entrar no mundo dos crimes cibernéticos.
Um aumento nos ataques relacionados à identidade
Ataques recentes e tentativas de extorsão em grandes softwares de terceiros como Okta e Microsoft são exemplos claros dos danos que podem ser causados quando credenciais comprometidas são usadas para realizar ataques de aquisição de contas (ATO). O grupo de ransomware Lapsus$ conduziu toda a sua atividade da ATO usando credenciais roubadas que foram obtidas usando meios não convencionais e sofisticados. Notícias recentes sugerem que o grupo continua comprando credenciais de conta comprometidas até encontrar uma com acesso a código-fonte.
Embora todas as contas on-line sejam vulneráveis a fraudes da ATO, os maus atores tendem a direcionar contas que consideram altamente valiosas, como contas bancárias e contas de varejo com informações de pagamento armazenadas. Os maus atores normalmente usarão ferramentas automatizadas, como botnets e machine learning (ML) para se envolver em ataques maciços e contínuos contra sites voltados para o consumidor. Com ferramentas automatizadas, eles cometem fraudes da ATO usando técnicas como recheio de credenciais e ataques de força bruta, como mostrado por Lapsus$.
No entanto, os fraudadores nem sempre usam ferramentas automatizadas para fraudes da ATO. Eles podem ter acesso através de phishing, golpes de call center, ataques man-in-the-middle (MITM) e mercados da Dark Web. Alguns até são conhecidos por empregar mão-de-obra humana (“click farms”) para inserir manualmente credenciais de login para que os ataques não seja detectado por ferramentas que buscam tentativas de login automatizadas. No entanto, a ATO é agora a arma escolhida para muitos fraudadores, talvez acelerada pela pandemia, com tentativas de fraude da ATO subindo 282% entre 2019 e 2020.
Fraudes baseadas em identidade podem ser extremamente difíceis de detectar considerando as táticas avançadas e aleatoriedade de diferentes grupos criminosos. A maioria das violações que ouvimos nas notícias são resultado de empresas que dependem de ferramentas automatizadas de controle de acesso em vez de rastrear contas de usuários para detectar comportamentos incomuns rapidamente.
As camadas de controle de acesso não são suficientes
Historicamente, o controle de acesso implementa serviços de autenticação e autorização para verificar a identidade. A autenticação se concentra em quem é um usuário. A autorização se concentra no que eles devem ser autorizados a fazer.
Esses tipos de camadas de controle de acesso são uma boa defesa contra fraudes baseadas em identidade, mas, como evidenciado em ataques recentes como Okta e Microsoft, os fraudadores podem contornar essas ferramentas facilmente. Deve haver uma segunda linha de defesa na forma de um sistema de detecção que aprende e se adapta. Portanto, as empresas devem considerar ir além de quem um usuário é e o que eles podem fazer, e garantir que seu sistema de identidade monitore e aprenda com o que o usuário está realmente fazendo.
A necessidade de um sistema mais dinâmico
Muitas das técnicas que os cibercriminosos usam residem na intersecção entre segurança e usabilidade. Simplesmente olhar para a segurança ou usabilidade perde o ponto. Se olharmos apenas como o protocolo de segurança deve funcionar, perdemos o ponto de como os usuários o usarão de forma realista. E se pensarmos em como facilitar o uso, perdemos como manter as pessoas más fora. A camada de proteção do controle de acesso estabelece a decisão “permitida/não permitida”, mas deve ser apoiada por outra camada de detecção que observa e aprende com base em como o sistema é usado e tentativas de uso indevido. O trabalho desta segunda camada inclui identificar as táticas usadas para assumir contas através de força bruta, redirecionamento, adulteração e outros meios.
Como mencionado acima, a autenticação é um conjunto estático de algo que você sabe, algo que você é, e algo que você tem. Mas em uma guerra contra atacantes dinâmicos, um “escudo” estático não faz muito por uma questão de defesa. Para resolver essa lacuna, é necessário um sistema de aprendizagem robusto para identificar e bloquear as táticas de ataque que mudam dinamicamente.
As empresas estão investindo em tecnologias de gráficos de identidade para muitas autenticações e fluxos de alto valor. Os gráficos de identidade são uma técnica de prevenção em tempo real que coleta dados sobre mais de um bilhão de identidades, incluindo personas e padrões de comportamento, para que as equipes de segurança possam identificar rapidamente comportamentos incomuns das contas de usuários. [Nota: A empresa do autor é uma das que usam a tecnologia de gráfico de identidade.] Com esse tipo de abordagem em tempo real, orientada a dados, as equipes podem identificar comportamentos e atividades geradas a partir de ferramentas automatizadas, como bots e algoritmos ML, e podem detectar comportamentos incomuns antes que causem qualquer dano, como roubo ou compras fraudulentas.
Para ter sucesso contra cibercriminosos dinâmicos, as organizações devem ir a vários passos além e construir um sistema de aprendizagem que evolui ao longo do tempo para acompanhar as táticas dos atacantes. As tecnologias de gráficos de identidade podem ajudar as organizações a reconhecer táticas de invasores em todo o ciclo de vida da identidade, incluindo provisionamento e manutenção de contas. Essas técnicas podem fluir com a sofisticada paisagem de ameaças que estamos testemunhando hoje.
FONTE: DARK READING