0
0
Quando os atacantes fazem uma brecha de acesso privilegiada, eles têm uma cabeça de praia em sua rede. Independentemente de ser software ou usuários que estão mal protegidos, os atores de ameaças têm uma cartilha consistente: estabelecer uma base em um sistema vulnerável, elevar privilégios e, em seguida, comprometer usuários privilegiados adicionais para obter acesso ou manter em resgate o que é valioso.
Quanto mais difundido for o compromisso, maior é o processo de resposta a incidentes com o que as vítimas devem lidar, deixando-as com uma limpeza e recuperação caras e demoradas. Isso tudo é muito comum — 74% das organizações violadas admitiram que o ataque envolveu acesso a uma conta privilegiada — e as organizações precisam de uma maneira melhor de combater ataques de acesso privilegiado.
Apesar das melhores práticas estabelecidas e do investimento em soluções de gerenciamento de acesso privilegiado, os usuários recebem mais privilégios em todos os sistemas e esse privilégio está disponível para eles o tempo todo, 24 horas por dia, sete dias por semana. Os atacantes exploram isso e pivô de apenas um ponto de entrada para todos os outros na organização que têm acesso elevado, executando uma aquisição completa em muito pouco tempo.
Com a abordagem correta, as empresas podem conter violações de acesso privilegiadas ou evitá-las completamente. Aqui estão três coisas para ter em mente.
Muitos planos de resposta a incidentes não bloqueiam totalmente o acesso
A contenção e erradicação requerem uma abordagem multifacetada e você deve ter um plano de resposta em vigor que considere a persistência e a capacidade de um invasor de se esconder e se mover ao redor da rede.
Muitas vítimas respondem identificando e bloqueando as configurações de atividades de rede, software e sistema que foram comprometidas no ataque. Desativar contas comprometidas – ou pelo menos forçar redefinições de senha e implementar autenticação multifatorial (MFA) – é outra prática recomendada, mas há um erro comum que muitas vítimas cometem: manter o acesso privilegiado no lugar.
O compromisso normalmente vem de credenciais que têm acesso permanente 24 horas por dia, 7 horas por dia, 70%. Se um invasor tiver acesso a uma dessas credenciais, as chaves para desbloquear portas estão sempre ao alcance. Assim, remover o acesso privilegiado que os atacantes precisam para manter uma presença e ganhar movimento lateral é uma maneira rápida de conter uma brecha.
Erradicar um ataque nunca é uma certeza, especialmente porque os atores de ameaças têm se tornado cada vez mais sofisticados, mas ao implementar essa abordagem, ele aborda mais eficazmente as causas básicas para parar e prevenir mais atividades.
Acesso just-in-time oferece melhor segurança
Muitas organizações não entendem o perigo em que se colocam por terem acesso privilegiado. Sim, é um pouco mais conveniente para administradores e usuários acessar sistemas como e quando eles querem. Mas também dá o mesmo acesso conveniente aos atacantes que seguram as credenciais comprometidas, permitindo que eles desbloqueiem qualquer porta e se movam por toda a rede. Pior ainda, mina outras salvaguardas para detectar atacantes.
Quando um invasor obtém acesso a credenciais com acesso privilegiado permanente no local, ele arma seu acesso elevado para contornar a tradicional detecção e resposta estendida (XDR), detecção e resposta de ponto final (EDR) e soluções antivírus (AV) de última geração, todas focadas em arquivos, atividade de rede e processo, mas não têm visibilidade sobre identidades privilegiadas. Isso também se aplica às soluções de gerenciamento de acesso privilegiados baseadas em cofres, que não podem identificar direitos administrativos ocultos ou aninhados e a persistência desses direitos nos sistemas de destino.
Em vez de ter acesso privilegiado, uma abordagem “Just-in-Time” permite que os administradores protejam os sistemas apenas permitindo o acesso a administradores verificados e confiáveis por um período finito, com a aplicação contínua de nenhum acesso privilegiado de outra forma. Por sua vez, isso corta o movimento lateral sem qualquer atrito para usuários legítimos.
Você deve se mover em direção ao verdadeiro privilégio zero em pé
Durante um incidente, as organizações devem começar a implementar o acesso just-in-time para os grupos e usuários mais arriscados primeiro para reduzir o acesso privilegiado permanente entre aqueles mais propensos a serem comprometidos.
A maioria das coletas de credenciais geralmente ocorre após o usuário autenticar, mesmo que o MFA esteja no lugar. Uma maneira de evitar isso é forçar a autenticação multifatorial e a re-autenticação para cada sistema e aplicativo que um usuário deseja acessar, mas poucos usuários aturariam tanto atrito. É por isso que muitas organizações optam por uma autorização de digitamento único (SSO) como Security Assertion Markup Language (SAML), Open Authorization (OAuth) ou Kerberos.
Nessas situações, no entanto, os invasores podem se passar por usuários, seja através da coleta de credenciais ou executando código na sessão de login de outro usuário. Uma conta que prova confiabilidade uma vez, mesmo que aconteça antes do acesso ser concedido, não é forte o suficiente para a segurança.
Ao limitar tanto o número de contas que têm acesso total quanto como esse acesso é concedido, as organizações podem reduzir consideravelmente o risco de ataques cibernéticos e o movimento lateral que pode ocorrer após uma violação. Transformar o acesso privilegiado em privilégio zero é uma das medidas de segurança mais completas que uma organização pode tomar hoje.
FONTE: HELPNET SECURITY