O que é detecção e resposta a ameaças à identidade?
Visão geral
Detecção e resposta a ameaças à identidade
Quais tendências de segurança cibernética levaram ao desenvolvimento e à adoção de ameaças à identidade?
À medida que as plataformas, os sistemas e os aplicativos continuam a fechar suas vulnerabilidades, os novos invasores geralmente acham mais fácil explorar outros pontos fracos, como credenciais, configurações incorretas ou APIs expostas. Várias técnicas de phishing, key loggers e outras ferramentas automatizadas são usadas e provaram ser mais fáceis de executar do que enfrentar diretamente os aplicativos e a segurança no nível do sistema. Embora a pesquisa de vulnerabilidades exija bastante tempo, habilidade e testes extensivos para identificar pontos fracos exploráveis, cada vez mais os invasores têm optado por se concentrar mais no preenchimento de credenciais para obter acesso rápido a esses serviços. Juntamente com sua abordagem baseada em credenciais, os invasores aprimoraram suas habilidades para identificar contas privilegiadas e maneiras de promover outras contas comprometidas. Esses ataques podem ser ameaças persistentes que duram meses ou até anos. Obviamente, as identidades mais prejudiciais e procuradas são as de proprietários de informações e outras contas semelhantes com privilégios de acesso especiais. Dessa forma, o risco crescente para as organizações não era apenas de contas baseadas em credenciais, mas de ataques aos usuários mais privilegiados. Elas eram, e ainda são, as ameaças mais complexas contra as quais se proteger, porque o estranho tem as informações tradicionalmente utilizadas por uma pessoa ou processo para se identificar.
O caminho para o ITDR
| Ano | Evento |
|---|---|
| 2000s | Aumento dos ataques baseados em credenciais (phishing, força bruta). |
| 2010s | As principais violações de identidade por meio de credenciais roubadas continuam sua tendência de crescimento, tanto em termos de frequência quanto de perda de valor para a organização vítima. Crescimento das soluções de IAM, MFA e PAM. |
| 2021 | A estrutura do MITRE ATT&CK se expande para ameaças baseadas em identidade. |
| 2022 | O Gartner usa o ITDR, enfatizando a necessidade de detecção de ameaças centrada na identidade. |
| 2023+ | O ITDR ganha força para se tornar uma estratégia central de segurança cibernética para as empresas. |
Como as práticas de ITDR foram formalizadas?
Em 2022, o Gartner introduziu o ITDR como uma prática de segurança cibernética. Nessa introdução, o Gartner descreveu o ITDR como uma forma de as organizações adotarem uma abordagem mais eficaz para responder às crescentes ameaças que visam os sistemas de identidade, as credenciais e o acesso privilegiado. Enfatizando a necessidade de as organizações aumentarem sua capacidade de detectar, investigar e mitigar ataques baseados em identidade de forma mais eficaz. Diferentemente da abordagem tradicional das ferramentas de segurança, o ITDR integra o gerenciamento de identidade e acesso (IAM), a análise de comportamento de usuários e entidades (UEBA) e a detecção e resposta estendidas (XDR) para defender-se proativamente contra o uso indevido de credenciais, o aumento de privilégios e a movimentação lateral. Como as metodologias de segurança atuais não foram capazes de conter a onda de ameaças cibernéticas, o ITDR ajuda as organizações a aumentar a visibilidade, detectar anomalias e aplicar controles de autenticação e acesso mais fortes, o que reduz o risco de violações orientadas por identidade.
O que torna o ITDR diferente?
O reconhecimento do ITDR pela Gartner em 2022 significou um marco significativo de coalescência das tecnologias de TI em um novo nível de segurança sinérgico, reunindo o que muitas vezes são práticas independentes para alimentar um cenário expandido. Juntos, o IAM e o gerenciamento de eventos e informações de segurança (SIEM) podem identificar e atribuir com mais precisão o risco a eventos relacionados, bem como executar uma resposta em nível de aplicativo, serviço ou outro recurso digital para proteger as informações protegidas. Dessa forma, o ITDR ganhou impulso como uma categoria de segurança cibernética essencial para evitar ataques baseados em identidade. Alguns dos principais impulsionadores de ITDR incluem:
- Aumento dos ataques baseados em identidade: O roubo de credenciais, o movimento lateral e o aumento de privilégios tornaram-se os principais métodos de ataque. A proteção de segurança atual é ineficaz. O ITDR incorpora informações do tipo XDR que identificam atividades que indicam risco elevado para usuários e recursos.
- Lacunas de IAM e PAM: A intenção geral do gerenciamento de identidade e acesso é garantir que as pessoas e os serviços tenham o acesso certo aos recursos protegidos no momento certo. As ferramentas atuais de IAM controlavam o acesso, mas não tinham detecção de ameaças em tempo real, e o gerenciamento de acesso privilegiado (PAM) concentrava-se em contas privilegiadas, mas não em ameaças gerais à identidade.
- Adoção de confiança zero: As organizações passaram a adotar a segurança que prioriza a identidade, exigindo monitoramento e resposta contínuos para ameaças à identidade.
Quais são os principais componentes do ITDR?
Embora o TDR possa ser excelente no monitoramento em tempo real e nas respostas automatizadas, sua incapacidade de associar ataques a identidades específicas ao longo do tempo limita sua eficácia. São necessários mais componentes para expandir a capacidade do TDR de identificar comportamentos suspeitos.
Detecção e resposta ampliadas
A detecção e resposta estendidas (XDR) é uma solução avançada de segurança cibernética que integra várias ferramentas de segurança e fontes de dados para fornecer uma abordagem unificada à detecção, investigação e resposta a ameaças em toda a superfície de ataque de uma organização.
Diferentemente das soluções tradicionais de SIEM ou EDR, o XDR coleta e correlaciona dados de ameaças em várias camadas de segurança, incluindo detecção e correlação entre camadas. Diferentemente das soluções tradicionais de SIEM ou EDR, o XDR coleta e correlaciona dados de ameaças em várias camadas de segurança, incluindo endpoints (EDR), redes (NDR), e-mails, cargas de trabalho em nuvem e gerenciamento de identidade e acesso (IAM). Isso melhora a visibilidade de ataques complexos que abrangem vários pontos de entrada.
Investigação e resposta automatizadas a ameaças - o XDRprioriza automaticamente os alertas e conecta os incidentes de segurança relacionados para reduzir a fadiga de alertas. Ele usa IA e aprendizado de máquina para identificar padrões de ataque e mitigar ameaças mais rapidamente.
Busca proativade ameaças - os analistas de segurança podem procurar ameaças ocultas usando dados históricos e análise comportamental. MITRE ATT&A estrutura CK é frequentemente integrada ao XDR para mapear as táticas e técnicas do adversário.
Integração com a pilha de segurança - o XDRtrabalha com soluções SIEM, SOAR, ITDR e EDR para otimizar as operações de segurança (SOC). Ele também fornece alertas em tempo real e ações de correção automatizadas em diferentes ferramentas de segurança.
XDR em relação a outras soluções de segurança
A tabela abaixo lista as tecnologias usadas atualmente pelas equipes de segurança de TI para aprimorar a detecção de ameaças e as respostas automatizadas. Por si só, eles não são tão completos ou integrados quanto o XDR.
| Solução de segurança | Área de foco | Diferença fundamental |
|---|---|---|
| EDR (detecção e resposta de endpoints) | Endpoints (por exemplo, laptops, servidores) | Detecta ameaças em dispositivos individuais, mas não tem visibilidade da rede/nuvem |
| NDR (detecção e resposta de rede) | Tráfego de rede | Detecta ameaças em ambientes de rede, mas não abrange endpoints ou nuvem |
| SIEM (gerenciamento de eventos e informações de segurança) | Gerenciamento de registros & analysis | Coleta registros de segurança, mas não possui recursos integrados de resposta a ameaças |
| SOAR (orquestração, automação e resposta de segurança) | Automação da resposta a incidentes | Automatiza os fluxos de trabalho de segurança, mas não tem recursos de detecção nativos |
| XDR (detecção e resposta estendidas) | Visibilidade de segurança entre domínios | Unifica as detecções baseadas em endpoint, rede, nuvem e identidade para melhor correlação e resposta mais rápida |
Quais são os mecanismos de resposta do ITDR?
Quando surge um comportamento suspeito, como um login incomum, mudanças rápidas de privilégios ou acesso de locais não confiáveis, o XDR aciona ações automatizadas, como o bloqueio de contas comprometidas, a aplicação de MFA ou o encerramento instantâneo de sessões não autorizadas. O ITDR, que correlaciona as informações de identidade aos drivers XDR, aproveita as informações derivadas do XDR e automatiza a resposta necessária para impedir que os invasores explorem credenciais roubadas, restringindo o acesso e aplicando controles dinâmicos de autenticação. A atividade privilegiada é monitorada continuamente, e os escalonamentos não autorizados são bloqueados antes que levem a uma violação. Os recursos de orquestração do XDR garantem que o ITDR se integre perfeitamente aos sistemas SIEM, SOAR e IAM, simplificando os fluxos de trabalho de correção automatizados. Essa resposta automatizada com base no ITDR fortalece as equipes de segurança com uma defesa proativa automatizada, impedindo ataques orientados por identidade antes que eles se transformem em violações em grande escala.
Gerenciamento da postura de segurança de identidade
Um componente essencial do mecanismo de resposta do ITDR é a capacidade de gerenciar continuamente (avaliar e responder) o cenário de segurança de uma organização, o gerenciamento da postura de segurança de identidade (ISPM) no nível da identidade. À medida que as empresas expandem seus ecossistemas digitais, o grande volume de identidades humanas e de máquinas cria uma superfície de ataque cada vez maior. O ISPM oferece visibilidade em tempo real dos riscos de identidade, configurações incorretas e violações de políticas, permitindo uma defesa proativa contra ameaças baseadas em identidade. Ao aproveitar a automação, a análise de riscos e a aplicação de políticas, o ISPM garante que as identidades sigam as práticas recomendadas de segurança, reduzindo a exposição a ataques baseados em credenciais, escalonamento de privilégios e acesso não autorizado.
No centro do ISPM está a capacidade de analisar dinamicamente a postura da identidade em vários ambientes, incluindo infraestruturas locais, na nuvem e híbridas. Isso envolve o monitoramento dos direitos de acesso, a aplicação de princípios de privilégio mínimo e a detecção de comportamentos anômalos indicativos de comprometimento. Integrado à detecção e à resposta a ameaças à identidade, o ISPM aprimora a capacidade da organização de lidar preventivamente com as vulnerabilidades de identidade antes que elas sejam exploradas. As ameaças cibernéticas geralmente se baseiam em credenciais comprometidas, de modo que o ISPM baseado em identidade serve como uma camada crítica de defesa, alinhando a postura de segurança aos cenários de risco em evolução. Isso é feito definindo-se o nível de risco que a organização está disposta a tolerar e, em seguida, avaliando continuamente o ambiente para reagir quando esse nível for atingido. O ISPM é um componente essencial do ITDR porque permite que as organizações mantenham a resiliência contra adversários cibernéticos sofisticados.
Capacitação da resposta a ameaças com identidade
As soluções de gerenciamento de identidade e acesso permitem que as organizações vinculem os eventos indicadores de violação ou ameaça às identidades, bem como direcionem a resposta no nível mais eficaz: a(s) sessão(ões) ou o(s) aplicativo(s). O IAM é o "I" do ITDR. Para automatizar as respostas de forma eficaz, essas duas tecnologias devem trabalhar juntas sem problemas. Quando isso acontece, a integração aumenta a visibilidade e a detecção de ameaças e responde rapidamente a ataques baseados em identidade.
As soluções IAM da OpenText™ geram registros de autenticação, solicitações de acesso e alterações de privilégios. A solução de detecção avançada de ameaças da OpenText & para gerenciamento de ameaças internas correlaciona esses dados com dados de endpoints, redes e ambientes de nuvem. Além disso, o OpenText TDR oferece análise adicional do comportamento de usuários e entidades (UEBA), além do que normalmente está disponível nos serviços de risco baseados em identidade. Eles detectam riscos por meio de indicadores de violação derivados do acesso e do uso de aplicativos quando reunidos. As métricas tradicionais de risco baseadas em identidade e acesso são limitadas a critérios prescritos, como o fato de a instância do navegador ou o dispositivo físico ser conhecido ou não e o fato de as tentativas de login não serem bem-sucedidas. Esses mesmos controles adaptativos impõem condições ou limites a intervalos de tempo e geolocalizações, bem como identificam cenários de viagens impossíveis. Embora os controles de acesso adaptativos tradicionais também possam aproveitar o histórico dessas condições prescritas, as métricas XDR podem ser muito mais sofisticadas.
As tecnologias XDR monitoram um espectro muito mais amplo de informações do que o que está disponível na infraestrutura de IAM. A partir desses dados, a automação XDR pode correlacionar os dados observados em padrões de comportamento que são mais criteriosos do que os controles baseados em regras. Eles discernem quais sessões estão indicando fatores de risco a partir de anomalias ou padrões de ataque. Quando os recursos de monitoramento XDR são combinados com informações de identidade que formam um nível de segurança ITDR, as atividades podem ser correlacionadas e calculadas em padrões - padrões que abrangem longos períodos. Com a identidade, os dados de atividade coletados de redes, dispositivos e informações de sessão são correlacionados a níveis mais altos de interação que as identidades (pessoas ou processos) têm com os serviços digitais, estendendo-se por um período mais longo. Esses dados persistentes de atividades baseadas em identidade permitem que os mecanismos de risco calculem o risco de atividades relacionadas a violações que são usadas para penetrar nas práticas de segurança típicas. Esses padrões se fortalecem ao longo do tempo de forma a tornar o ITDR mais eficaz na identificação de anomalias de usuários ou possíveis violações à medida que o modelo de cada usuário ativo aumenta. Além de fortalecer os modelos de ameaças, o ITDR pode responder por meio de suas plataformas de orquestração, automação e resposta de segurança (SOAR) - muito mais do que o que está disponível em um ambiente de IAM. Além disso, a TI pode usar essa plataforma de segurança expandida para iniciar fluxos de trabalho predefinidos, como bloquear IPs mal-intencionados, alertar analistas de segurança ou isolar dispositivos afetados.
Que função o ITDR deve desempenhar em sua organização?
Como cada ambiente é único, o caminho para um nível de segurança ITDR é único. Isso significa que a necessidade de ITDR pode ou não existir em um ambiente específico, e o nível de sofisticação do ITDR varia. A composição do seu ambiente atual influenciará o que você implementará.
Algumas das dinâmicas que podem ajudar a determinar quanto investir em uma forma de segurança ITDR incluem o seguinte:
- Risco - todo o espectro de risco deve ser um fator preponderante. Quais são os custos totais de uma violação? Quais são as consequências comerciais da reprovação em uma auditoria de conformidade ou do não cumprimento de um requisito de seguro cibernético?
- Custo e especialização - nos componentes de ITDR existentes no ambiente atual, algumas das barreiras mais subestimadas para o ITDR são o custo e a especialização no domínio. As organizações com soluções robustas de IAM, PAM e SIEM terão mais facilidade para fazer upgrade para uma camada de segurança ITDR. No entanto, o IAM pode ser uma necessidade mais imediata se a segurança da identidade for incompleta ou fraca.
- Juntando as peças - a capacidade de uma organização de integrar o ITDR à pilha de segurança existente é outro fator determinante. A integração perfeita com as soluções IAM, SIEM, SOAR e EDR/XDR garante que o ITDR possa fornecer monitoramento em tempo real e resposta a incidentes sem criar silos operacionais.
- Escalabilidade - com as organizações adotando cada vez mais ambientes híbridos e de várias nuvens, o ITDR deve abranger identidades na nuvem, acesso privilegiado e autenticação federada. Ele se torna particularmente valioso para empresas que gerenciam grandes forças de trabalho remotas e amplo acesso de terceiros, garantindo a verificação segura da identidade em ambientes dispersos.
- Prioridade de confiança zero e orçamento - coloque o ITDR na vanguarda das estratégias modernas de segurança cibernética. O ITDR permite a verificação contínua da identidade, a análise comportamental e as respostas baseadas em riscos - princípios fundamentais de um modelo de confiança zero. À medida que as organizações se afastam da segurança tradicional baseada em perímetro, o ITDR desempenha um papel crucial na proteção de identidades como o novo perímetro.
O ITDR é a nova camada de segurança de acesso?
O ITDR evoluiu da segurança de identidade tradicional para uma disciplina de segurança dedicada, abordando as ameaças cibernéticas modernas orientadas por identidade. Como os criminosos cibernéticos continuam a visar cada vez mais credenciais, contas privilegiadas e sistemas de identidade, o ITDR pode se tornar uma camada de segurança padrão da estratégia de segurança de uma organização.
