Por Jeferson Propheta

O recente comunicado público sobre o software da SolarWinds sendo aproveitado por invasores avançados, bem como a divulgação da FireEye sobre as ferramentas roubadas de equipes vermelhas (que desempenham o papel de um inimigo ou competidor e fornecem feedbacks de segurança a partir dessa perspectiva), não muda a nossa abordagem e recomendação às empresas. Mais do que nunca, devemos atuar para minimizar a superfície de ataque, detectar e responder rapidamente, bem como reduzir um incidente para que este não se transforme em uma violação. O que mudou, no entanto, é que os ataques centrados em identidade se tornaram um elemento integral das violações, incluindo as que o setor vivenciou recentemente.

Agora, atores mal-intencionados priorizam ataques centrados em identidade porque o uso de credenciais legítimas é um método genérico, muito mais difícil de ser detectado e utilizável a um custo operacional significativamente menor do que outros tipos de ataques, como os de dia zero e de cadeia de suprimentos personalizados. As credenciais comprometidas podem ser usadas para acessar recursos, inclusive de funcionários, usuários com privilégios e contas de serviço.

Portanto, mesmo um ambiente de TI bem projetado que implementa controles de acesso baseados em funções apropriadas pode ser vítima das vulnerabilidades representadas pela confiança em credenciais que não tenham identidade contextual verificada em tempo real. A confiança residual entre os serviços e as atribuições de controle de acesso com base em funções deixam os recursos vulneráveis se a identidade não for checada de uma forma significativa que vá além de meras credenciais.

O ataque à cadeia de suprimentos da SolarWinds, embora iniciado por meio de uma atualização de software trojanizada, contou com o movimento lateral para ações subsequentes na execução da missão. O movimento lateral que alavancou uma credencial válida foi a opção, já que era uma abordagem de pegada “mais leve” para obter acesso ao ambiente da vítima.

Na verdade, depois que os invasores conseguiram entrar na rede da vítima, o ataque usou várias credenciais para torná-lo ainda mais difícil de ser detectado. Como o movimento lateral pode ocorrer muito rapidamente, qualquer registro ou pós-análise, sozinhos teria sido muito lento para alertar um analista de segurança a mitigar a violação. Embora os agentes da ameaça possam ter obtido acesso à rede por meio do código malicioso, eles devem ser detectados ao tentar navegar na rede.

Uma abordagem centrada na identidade, como seria necessária para interromper esses ataques recentes, requer a combinação entre análise de tráfego de autenticação em tempo real e análise de aprendizado de máquina (ML) para determinar e responder rapidamente a um ataque de identidade que está sendo tentado ou já em andamento. Outros ataques que essa abordagem pode detectar e interromper, que também alavancam o movimento lateral, incluem ataques de ransomware, como o recente Maze. Além disso, uma vez que os ataques (especialmente os mais lentos e com várias credenciais) podem não ser obviamente sinalizados como maliciosos, é necessário combinar um mecanismo de política de auto-adaptação para acionar automaticamente o acesso condicional baseado em risco a fim de verificar a legitimidade de uma transação de autenticação em tempo real.

Algumas das ferramentas roubadas na violação do FireEye que devem ser detectadas, se usadas por um agente malicioso, incluem o reconhecimento e exploração do Active Directory, o despejo e roubo de credenciais, o abuso e a exploração de Kerberos (um protocolo de rede que permite comunicações individuais seguras e identificadas em uma rede insegura) e as ferramentas de código aberto específicas (tais como SharpHound e ADPassHunt).

Nesse cenário, é imperativo que as soluções de proteção de endpoints, como a Falcon Identity Protection, desenvolvida pela CrowdStrike, protejam contra os ataques recentes de três maneiras. De forma proativa, oferecem capacidade de redução da superfície de ataque com melhor higiene de TI por meio da compreensão das vulnerabilidades do protocolo (por exemplo, NTLM), identificação de contas privilegiadas obsoletas, mapeamento de todas as contas de serviço e outras exposições do armazenamento de identidade. De forma preventiva, mitigam os ataques em andamento, detectando em tempo real os vetores de ataque baseados em identidade (incluindo as técnicas de movimento lateral usadas com vítimas da violação SolarWinds). E, responsivamente, proporcionam proteção via resposta automatizada do uso de ataques específicos de identidade, incluindo algumas das ferramentas de teste de ataque que foram roubadas como parte da violação FireEye.

*Jeferson Propheta é country manager da Crowdstrike – empresa de cibersegurança que traz soluções para proteção de endpoints, através de tecnologias como Inteligência Artificial e computação em nuvem.