Como funciona o Gerenciamento da postura de segurança de identidade (ISPM)

O que é gerenciamento da postura de segurança de identidade (ISPM)?

O gerenciamento da postura de segurança de identidade (ISPM, na sigla em inglês) é um framework usado para fortalecer e manter a postura de segurança da infraestrutura de identidade das organizações, o que previne ataques. O ISPM envolve o monitoramento e a análise de identidades, direitos de acesso e processos de autenticação em todo o ecossistema. Isso oferece insights sobre o perfil de risco de identidade e orientações sobre como remover esse risco. O ISPM é uma abordagem proativa de segurança que ajuda sua organização a prevenir ataques baseados em identidade.

Quais desafios de segurança o ISPM enfrenta?

Gerenciar a postura de segurança relacionada à identidade tem se tornado cada vez mais complexo. O cenário das identidades abrange infraestruturas de TI e arquiteturas multinuvem, além de incluir vários armazenamentos de identidade. A identidade vai muito além dos usuários: ela inclui máquinas, contas de serviço, workloads e muito mais. Sem visibilidade de ponta a ponta em todo o cenário de identidade, é difícil ter uma noção legítima sobre a postura de segurança da organização.

As identidades que são gerenciadas incorretamente fornecem pontos de entrada fácil para que os adversários consigam acesso rápido aos recursos essenciais da organização. De acordo com o Gartner, os controles preventivos de segurança que oferecem suporte aos frameworks de ISPM podem ajudar sua organização a evitar erros de configuração, vulnerabilidades e exposição a riscos.

Configurações incorretas

Os erros de configuração deixam as organizações suscetíveis a adversários e aumentam o risco de ataques. Os tipos de erro mais comuns incluem privilégios excessivos de conta, gerenciamento inadequado do ciclo de vida da identidade e implementação incorreta da autenticação multifatorial (MFA).

• No Relatório Global de Ameaças 2023, a CrowdStrike revela que 8 em cada 10 invasões usam identidades comprometidas/credenciais roubadas.

Para evitar erros de configuração, garanta o provisionamento correto de todas as contas. Evite usar configurações padrão, defina controles de gerenciamento de identidade e acesso (IAM) e faça o monitoramento contínuo em busca de alterações suspeitas.

Vulnerabilidades

90% das organizações usam o Active Directory: uma tecnologia legada que é vulnerável a ataques por natureza. As vulnerabilidades comuns nos armazenamentos de identidades são exploradas por ataques Pass the Hash (PtH), que buscam executar movimento lateral. Além disso, outros ataques são realizados para que um invasor possa se infiltrar na infraestrutura de identidade da organização.

• 50% das organizações sofreram um ataque ao Active Directory nos últimos dois anos.
• Os ataques Kerberoasting tiveram um aumento de 583% ano a ano em 2023.

Para lidar com vulnerabilidades baseadas em identidade, adote medidas proativas para melhorar a higiene das identidades, incluindo senhas e controles de acesso condicional. Você também pode reforçar a segurança com uma solução de identidade que oferece suporte a um framework de ISPM.

Exposição a riscos

Para diminuir a superfície geral de ataque a identidades, remova os direitos de acesso desnecessários ou excessivos. Isso inclui reduzir o risco das contas que podem ser suscetíveis a invasões, como contas inativas com senhas desatualizadas. Além disso, implemente o acesso de privilégio mínimo para restringir os direitos de acesso de usuários, contas e processos a apenas os recursos necessários para executar funções legítimas.

Cinco itens essenciais para a implementação do ISPM

Os cinco itens essenciais a serem considerados ao implementar o ISPM incluem:

1. Visibilidade completa das identidades

O cenário de identidade é complexo e abrange ambientes de nuvem, no local e híbridos. É essencial ter visibilidade sobre a identidade de todos os usuários, contas (de pessoas ou de serviço), direitos de acesso e configurações, estejam onde estiverem.

2. Avaliações de riscos

As organizações podem realizar avaliações de risco com frequência para identificar possíveis vulnerabilidades nos sistemas de gerenciamento de identidades e tomar as medidas necessárias para mitigar esses riscos. A avaliação de risco inclui descobrir falhas na segurança de identidade, identificar credenciais comprometidas e contas impactadas, entender os possíveis caminhos de ataque que os adversários podem explorar e muito mais.

3. Monitoramento contínuo

Quando a organização entende melhor a própria postura de segurança de identidade, ela pode criar uma linha de base para determinar a atividade normal de usuário e dispositivo. Em seguida, as organizações podem monitorar e analisar de maneira contínua os usuários e dispositivos para identificar atividades anômalas e comportamentos suspeitos. Isso ajuda a encontrar possíveis ameaças à segurança.

4. Autenticação multifatorial

O ISPM promove o uso da MFA para adicionar uma camada extra de segurança ao processo de autenticação. A MFA exige que os usuários utilizem várias formas de verificação, como algo que eles sabem (senha) e algo que têm (um dispositivo móvel). Ela concede acesso condicional aos recursos essenciais da organização.

5. Gerenciamento de direitos da infraestrutura de nuvem (CIEM, na sigla em inglês)

A postura de segurança de identidade vai além dos controles e acesso que os usuários têm dentro da organização. É essencial adicionar uma camada extra de segurança que considere os ambientes baseados em nuvem. Com o CIEM, as organizações podem gerenciar direitos em todos os recursos de infraestrutura de nuvem. Isso ajuda a reduzir os riscos associados à concessão não intencional e descontrolada de permissões excessivas para acessar recursos de nuvem.

Segurança completa de identidade

A postura de segurança de identidade atual abrange recursos e apps, pessoas e máquinas, ambientes locais e em nuvem e muito mais. Essa complexidade faz com que a identidade seja um alvo bastante viável para os adversários. Um ataque bem-sucedido pode simplificar o caminho de um adversário até os recursos mais importantes de uma organização.

As empresas precisam adotar uma abordagem completa para se protegerem contra ataques baseados em identidade. As camadas de segurança de identidade essenciais incluem o ISPM, o CIEM e a detecção e resposta a ameaças de identidade (ITDR, na sigla inglês). O Gartner define a ITDR da seguinte maneira: “É o conjunto ideal de ferramentas e práticas recomendadas para defender sistemas de identidade. As ferramentas de ITDR protegem sistemas de identidade, detectam comprometimentos e aumentam a eficiência da remediação.”

Adicionar várias camadas de segurança de identidade aumenta a capacidade da organização de se proteger contra ataques. Além disso, com uma solução unificada de segurança de identidade, as organizações podem agregar mais valor aos negócios, incluindo a redução de custos, maior eficiência operacional, remediação mais rápida de ameaças e muito mais.

A abordagem da CrowdStrike

A plataforma CrowdStrike Falcon® é uma solução totalmente integrada que oferece suporte aos frameworks de segurança de ISPM, CIEM e ITDR em um único lugar. A CrowdStrike garante proteção completa e em tempo real contra ataques baseados em identidade. Com um único sensor, a plataforma Falcon coleta e analisa todos os dados de configuração e identidade para fornecer visibilidade instantânea sobre o cenário de identidade completo.

A plataforma Falcon oferece suporte a frameworks de ISPM ao:

• Unificar a visibilidade e a aplicação de privilégios mínimos em todo o ecossistema de identidade.
• Revelar riscos em potencial e fornecer insights importantes sobre possíveis caminhos de ataques baseados em identidade que os adversários podem explorar na infraestrutura de identidade.
• Eliminar vulnerabilidades de segurança com a visibilidade instantânea sobre a higiene do armazenamento de identidades (incluindo o Active Directory) e credenciais possivelmente comprometidas.
• Simplificar o gerenciamento de permissões de multinuvem, além de detectar e prevenir continuamente as ameaças baseadas em identidade.
• Detectar e remediar indicadores de ataque e de erro de configuração (IOAs e IOMs, nas siglas em inglês) relacionados à identidade.
• Acelerar a resposta a ameaças ao remediar vulnerabilidades de identidade, endpoint e nuvem por meio de uma única plataforma.
• Atender aos requisitos de conformidade e postura de segurança em todas as identidades.