Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
O que é roubo de credenciais?
Roubo de credenciais é o ato de roubar informações pessoais, como nome de usuário, senhas e informações financeiras, para obter acesso a uma conta ou sistema on-line. É uma forma de roubo de identidade que pode envolver o uso de softwares maliciosos ou técnicas de phishing.
Em ambientes de nuvem, a identidade se tornou o novo perímetro de segurança. Atores de ameaças sabem muito bem disso e, por consequência, direcionam seus ataques às credenciais de acesso para comprometer ambientes de nuvem e roubar dados corporativos. Controlar o acesso a workloads e serviços na nuvem é crucial para a segurança desses ambientes, e as organizações têm que se prevenir contra o roubo de credenciais como uma medida de proteção do acesso aos ativos.
Depois que conseguem as credenciais, os invasores podem se passar pelo proprietário da conta e imitar alguém que tem acesso legítimo, como um funcionário, subcontratado, conta de serviço e fornecedor externo. Como o invasor aparenta ser um usuário legítimo, esse tipo de ataque é difícil para as defesas detectarem. Os atores de ameaças podem então usar o acesso adquirido para expandir a base de apoio na organização visada.
Formas principais de roubo de credenciais
1. Malware
Programas maliciosos podem infectar os dispositivos dos usuários e roubar suas credenciais de acesso. Malware pode ser instalado nos dispositivos de usuários desavisados por meio de técnicas como downloads silenciosos e engenharia social.
2. Phishing
Ataques de phishing costumam abusar da confiança das pessoas em certas marcas para induzi-las a fornecerem suas credenciais. Esses ataques costumam usar e-mails cativantes para atrair o destinatário a visitar um website malicioso, onde ele é induzido a inserir credenciais.
3. Senhas fracas ou reaproveitamento de senhas
Os invasores se aproveitam de práticas inadequadas de segurança de senhas para ganhar acesso a sistemas, aplicações e dados. Senhas fracas são mais fáceis de decifrar, e a reutilização delas aumenta o risco de que uma única senha roubada possa levar a um comprometimento de diversas contas e sistemas.
4. Ataques a serviços em nuvem que permitem movimento lateral
Ataques direcionados ao ambiente de nuvem podem permitir que atores de ameaças ganhem acesso a sistemas e recursos locais. Nesses casos, os invasores podem explorar contas com permissões demais para ampliar o acesso dentro da infraestrutura de TI da vítima.
5. Ataques de man-in-the-middle (MitM)
Ocorrem quando um ator de ameaças consegue interceptar e retransmitir a comunicação entre duas partes que pensam que estão se comunicando diretamente. Os ataques de MitM permitem que os invasores roubem credenciais e espionem a comunicação entre as vítimas.
Saiba mais
Uma estratégia completa de segurança na nuvem deve mitigar riscos, defender contra ameaças e superar desafios para que sua empresa use a nuvem para crescer com segurança.
Exemplo de ataque de roubo de credenciais
Na era do trabalho remoto e da computação em nuvem, o roubo de credenciais se tornou não somente uma tática comum para a entrada inicial em redes e sistemas, mas também um meio de movimento lateral dentro de uma rede já comprometida.
Os atores de ameaças geralmente hospedam páginas de autenticação falsas para coletar credenciais de autenticação legítimas para serviços em nuvem, como Microsoft Office 365 (O365), Okta ou contas de webmail on-line. Essas credenciais são usadas para tentar acessar as contas das vítimas.
O acesso a e-mail hospedado na nuvem ou serviços de hospedagem de arquivos também pode facilitar a espionagem e o roubo de informações. Em abril de 2021, a CrowdStrike observou COSMIC WOLF, um ator de ameaças afiliado à Turquia, atacar dados de vítimas armazenados em um grande ambiente de provedor de serviços em nuvem - CSP. O adversário comprometeu o ambiente por meio de uma credencial roubada que permitiu ao operador interagir com o CSP usando a linha de comando. Ao empregar essa técnica, o adversário alterou as configurações do grupo de segurança para permitir o acesso SSH direto da infraestrutura maliciosa.
O que fazer para evitar o roubo de credenciais
1. Habilitar e exigir autenticação multifatorial (MFA)
A MFA exige que o usuário apresente duas ou mais formas de comprovação para verificar e autenticar sua identidade antes de receber o acesso solicitado. As técnicas de MFA elevam significativamente a barreira para invasores, impedindo que eles comprometam aplicações e sistemas com uma só senha.
2. Fazer treinamentos de conscientização de segurança contra phishing
Conhecimento é poder. Ao treinar os usuários para identificar ataques de phishing e esquemas de engenharia social, as organizações capacitam seus funcionários a formarem uma importante linha de defesa para o ambiente de TI.
3. Manter uma rotina de higiene de senhas
Os invasores têm mais dificuldade para decifrar senhas complexas. Essas senhas têm que ser trocadas periodicamente e nunca devem ser compartilhadas entre usuários. Além disso, é crucial que os usuários evitem utilizar a mesma senha em diferentes websites ou serviços.
4. Implementar uma solução de gerenciamento de direitos de infraestrutura em nuvem (CIEM)
As soluções de CIEM ajudam as empresas na gestão de permissões e direitos nos recursos de infraestrutura em nuvem. O objetivo principal de ferramentas como o CrowdStrike Falcon® Cloud Security™, que oferece capacidades de CIEM, é mitigar os riscos decorrentes da concessão não intencional ou descontrolada de permissões excessivas a recursos na nuvem. Ao revogar privilégios desnecessários, as organizações conseguem reduzir consideravelmente as ameaças representadas por contas comprometidas.
5. Definir o escopo de permissões adequadamente para usuários e máquinas
É de suma importância que as organizações entendam o nível de acesso privilegiado concedido a usuários e dispositivos. Contas que podem ser usadas para acessar sistemas, dados e aplicações confidenciais precisam ser gerenciadas com rigor, para atender aos requisitos de segurança e conformidade das empresas modernas.
NetApp
Jyoti Wadhwa, chefe de produtos globais e segurança de nuvem da NetApp, compartilha suas ideias sobre mulheres na segurança cibernética e como o CrowdStrike Falcon® Cloud Security oferece proteção em tempo de execução para o ambiente multinuvem da NetApp.
Veja a história do cliente
David Puzas é um respeitado profissional de marketing e líder empresarial focado em cibersegurança, nuvem e TI, com mais de duas décadas de experiência. Responsável por criar valor para o cliente e resultados inovadores para empresas como CrowdStrike, Dell SecureWorks e clientes IBM em todo o mundo. Ele se concentra na otimização da inovação em computação, tendências e suas implicações comerciais para a expansão e o crescimento do mercado. O objetivo de David é lançar o portfólio global de segurança de nuvem da CrowdStrike estrategicamente no mercado, além de impulsionar a retenção de clientes.
