Ameaças baseadas em identidade em aplicativos SaaS são uma preocupação crescente entre profissionais de segurança, embora poucos tenham capacidade para detectá-las e responder a elas.
De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), 90% de todos os ataques cibernéticos começam com phishing, uma ameaça baseada em identidade. Adicione ataques que usam credenciais roubadas, contas superprovisionadas e ameaças internas, e fica bem claro que a identidade é um vetor de ataque primário.
Para piorar a situação, não são apenas contas humanas que estão sendo alvos. Os agentes de ameaças também estão sequestrando identidades não humanas, incluindo contas de serviço e autorizações OAuth, e as levando para dentro de aplicativos SaaS.
Quando os agentes de ameaças passam pelas defesas iniciais, ter um sistema robusto de Detecção e Resposta a Ameaças de Identidade (ITDR) em vigor como parte integrante da Segurança de Identidade pode evitar violações massivas. A violação do Snowflake do mês passado é um exemplo perfeito. Os agentes de ameaças aproveitaram a autenticação de fator único para acessar a conta. Uma vez lá dentro, a empresa não tinha nenhuma capacidade significativa de detecção de ameaças, o que permitiu que os agentes de ameaças exfiltrassem mais de 560 milhões de registros de clientes.
Como funciona o ITDR
O ITDR combina vários elementos para detectar ameaças SaaS. Ele monitora eventos de toda a pilha SaaS e usa informações de login, dados do dispositivo e comportamento do usuário para identificar anomalias comportamentais que indicam uma ameaça. Cada anomalia é considerada um indicador de comprometimento (IOC) e, quando esses IOCs atingem um limite predefinido, o ITDR dispara um alerta.
Por exemplo, se um administrador baixar uma quantidade incomum de dados, o ITDR consideraria isso um IOC. No entanto, se o obtain ocorrer no meio da noite ou em um computador incomum, a combinação desses IOCs pode passar a ser considerada uma ameaça.
Da mesma forma, se um usuário fizer login de um ASN suspeito após tentativas de login de força bruta, o ITDR classifica o login como uma ameaça, o que aciona uma resposta a incidentes. Ao usar um rico conjunto de dados de vários aplicativos, o ITDR pode detectar ameaças com base em dados de diferentes aplicativos. Se um usuário estiver conectado a um aplicativo de Nova York e a um segundo aplicativo de Paris ao mesmo tempo, pode parecer um comportamento regular se o ITDR estiver limitado a revisar logs de eventos para um único aplicativo. O poder do ITDR SaaS vem do monitoramento de dados de toda a pilha SaaS.
Em uma violação recente detectada pelo Adaptive Defend, agentes de ameaças se infiltraram em um sistema de folha de pagamento de RH e alteraram os números de conta de várias contas bancárias de funcionários. Felizmente, os mecanismos ITDR detectaram as ações anômalas, e os dados da conta foram corrigidos antes que quaisquer fundos fossem transferidos para os agentes de ameaças.
Reduzindo riscos baseados em identidade
Há uma série de medidas que as organizações devem tomar para reduzir o risco de ameaças baseadas em identidade e fortalecer sua estrutura de identidade.
Autenticação multifator (MFA) e logon único (SSO) são essenciais nesses esforços. Aparar permissões, aderir ao princípio do menor privilégio (PoLP) e controle de acesso baseado em função (RBAC) também limitam o acesso do usuário e reduzem a superfície de ataque.
Infelizmente, muitas ferramentas de gerenciamento de identidade são subutilizadas. As organizações desativam o MFA, e a maioria dos aplicativos SaaS exige que os administradores tenham recursos de login native caso o SSO caia.
Aqui estão algumas medidas proativas de gerenciamento de identidade para mitigar o risco de violações baseadas em identidade:
Classifique suas contas
Contas de alto risco geralmente se enquadram em várias categorias. Para criar governança e gerenciamento de identidade fortes, as equipes de segurança devem começar classificando os diferentes tipos de usuários. Podem ser contas de ex-funcionários, contas de alto privilégio, contas inativas, contas não humanas ou contas externas.
1. Desprovisionar ex-funcionários e desativar contas de usuários inativos
Contas ativas de ex-funcionários podem levar a riscos significativos para as organizações. Muitos administradores de SaaS assumem que, uma vez que um funcionário é desligado do Identification Supplier (IdP), seu acesso é automaticamente removido dos aplicativos SaaS da empresa.
Embora isso possa ser verdade para aplicativos SaaS conectados ao IdP, muitos aplicativos SaaS não estão conectados. Nessas circunstâncias, os administradores e as equipes de segurança devem trabalhar juntos para desprovisionar antigos usuários com credenciais locais.
Contas inativas devem ser identificadas e desativadas sempre que possível. Frequentemente, os administradores usam essas contas para executar testes ou configurar o aplicativo. Elas têm altos privilégios e são compartilhadas por vários usuários com uma senha fácil de lembrar. Essas contas de usuário representam um risco significativo para o aplicativo e seus dados.
2. Monitore usuários externos
Contas externas também devem ser monitoradas. Frequentemente dadas a agências, parceiros ou freelancers, a organização não tem controle actual sobre quem está acessando seus dados. Quando os projetos terminam, essas contas geralmente permanecem ativas e podem ser usadas por qualquer pessoa com credenciais para comprometer o aplicativo. Em muitos casos, essas contas também são privilegiadas.
3. Reduzir permissões de usuário
Conforme mencionado anteriormente, permissões excessivas expandem a superfície de ataque. Ao aplicar o princípio do menor privilégio (POLP), cada usuário tem acesso apenas às áreas e dados dentro do aplicativo que eles precisam para fazer seu trabalho. Reduzir o número de contas de alto privilégio reduz significativamente a exposição de uma empresa a uma grande violação.
4. Crie cheques para contas privilegiadas
Contas de administrador são de alto risco. Se comprometidas, elas expõem as organizações a violações significativas de dados.
Crie verificações de segurança que enviem alertas quando os usuários agirem de forma suspeita. Alguns exemplos de comportamento suspeito incluem logins incomuns tarde da noite, conexão a uma estação de trabalho do exterior ou obtain de grandes volumes de dados. Administradores que criam contas de usuário de alto privilégio, mas não as atribuem a um endereço de e-mail gerenciado, podem ser suspeitos.
Definir verificações de segurança que monitorem esses tipos de comportamento pode dar à sua equipe de segurança uma vantagem na identificação de um ataque em estágio inicial.
Tornando a detecção de ameaças à identidade uma prioridade
À medida que mais informações corporativas sensíveis são colocadas atrás de um perímetro baseado em identidade, é cada vez mais importante para as organizações priorizarem sua estrutura de identidade. Cada camada de segurança colocada em torno da identidade torna ainda mais difícil para os agentes de ameaças obterem acesso.
Para aqueles que conseguem passar pelas defesas iniciais, ter um sistema ITDR robusto em vigor como parte integrante da estrutura de identidade é essencial para manter a segurança e proteger dados confidenciais contra exposição. Ele identifica ameaças ativas e alerta equipes de segurança ou toma medidas automatizadas para evitar que agentes de ameaças causem qualquer dano.
Saiba mais sobre como detectar ameaças em sua pilha SaaS
