Como funciona a Detecção e resposta de ameaça a identidades (ITDR)

O que é a detecção e resposta de ameaça a identidades (ITDR)?

Detecção e resposta de ameaça a identidades (ITDR) é um framework de cibersegurança projetado para detectar, investigar e mitigar ataques baseados em identidade em tempo real. A ITDR monitora continuamente a atividade do usuário, analisa padrões de acesso e responde a ameaças à identidade, como credenciais comprometidas, elevação de privilégios e movimento lateral. Ao contrário das soluções de segurança tradicionais, a ITDR oferece visibilidade específica da identidade e aplica políticas em tempo real para impedir que adversários explorem credenciais comprometidas e se movimentem lateralmente.

Neste artigo, vamos explicar o que é a ITDR, os desafios de segurança que ela aborda e as diferenças em relação à detecção e resposta de endpoint (EDR), uma solução de segurança baseada em dispositivo.

Por que a ITDR é crucial: a crescente ameaça de ataques baseados em identidade.

Os ataques modernos baseados em identidade representam uma grave ameaça às organizações, o que muitas vezes causa danos financeiros, legais e à reputação. Enfrentar esses ataques pode ser um grande desafio.

Os ataques modernos estão mais rápidos e sofisticados

Os atores maliciosos estão aumentando o repertório de ataques para acompanhar os avanços da tecnologia. A velocidade e a sofisticação dos ataques baseados em identidade ultrapassaram as ferramentas de segurança tradicionais. Os adversários agora usam técnicas de bypass de autenticação multifatorial (MFA), cookies de sessão roubados e stuffing de credenciais para se infiltrar em organizações em questão de minutos.

De acordo com o Relatório Global de Ameaças 2025 da CrowdStrike:

• Houve um aumento de 50% na atividade de brokers de acesso.
• Houve um aumento de 442% em ataques de phishing por voz (vishing) em 2024.
• Em média, o tempo para comprometimento por cibercriminosos é de 48 minutos, sendo 51 segundos o menor tempo registrado.
• 52% das vulnerabilidades observadas estavam relacionadas ao acesso inicial.

O ambiente e cenário de identidade se tornaram mais complexos

Além disso, as tecnologias de nuvem, combinadas com o trabalho remoto, aumentaram bastante a complexidade do gerenciamento da superfície de ataque:

• A complexidade da arquitetura multinuvem e dos vários armazenamentos de identidades dificulta a detecção e proteção contra ciberataques, o que diminui a visibilidade de ponta a ponta.
• Para gerenciar a infraestrutura de identidade, 90% das organizações mencionadas no índice Fortune 1000 ainda usam o Active Directory (AD), uma tecnologia legada vulnerável a ataques. Os invasores podem executar movimento lateral das infraestruturas locais para a nuvem, o que transforma o AD em um alvo viável. Ambientes complexos dificultam a realização de auditorias frequentes de usuários e a identificação de possíveis defasagens nos armazenamentos de identidades.

É por isso que as organizações com pouca visibilidade sobre o ambiente de nuvem são tão vulneráveis.

As soluções de ITDR detectam ataques e respondem a eles ao monitorar a atividade dos usuários de maneira contínua, detectando comportamentos incomuns e enviando alertas para as equipes de segurança. Essas soluções fornecem visibilidade centralizada e controle sobre todas as identidades e privilégios de usuário atribuídos. Elas também podem ser integradas às ferramentas atuais de gerenciamento de identidade e acesso (IAM) para diminuir e simplificar a complexidade do gerenciamento de usuários em ambientes que estão em constante evolução.

ITDR vs EDR

ITDR e Detecção e resposta de endpoint (EDR) se complementam, mas focam em diferentes aspectos da segurança. A EDR monitora endpoints (notebooks, estações de trabalho, servidores) para detectar malware, exploits e ataques em nível de sistema. Em contrapartida, a ITDR monitora atividades relacionadas à identidade para detectar abuso de credenciais, elevação de privilégios e tentativas de acesso não autorizado.

A ITDR monitora e analisa a atividade dos usuários e os logs do gerenciamento de acesso, sinalizando todas as atividades maliciosas. Ela coleta dados de várias fontes do IAM, incluindo o ambiente local e a nuvem. Por outro lado, a EDR monitora e analisa os dispositivos de endpoint, como estações de trabalho e notebooks. Portanto, ela coleta logs do sistema e tráfego de rede para detectar atividades maliciosas nos equipamentos da organização.

A combinação de ITDR e EDR cria uma abordagem de segurança unificada. Se um sistema de EDR detectar atividade suspeita em um endpoint, a ITDR ajuda a determinar se a ameaça se originou de credenciais comprometidas, movimento lateral ou uso indevido de privilégios, auxiliando as equipes de segurança a compreenderem completamente a cadeia de ataque. No caso de um invasor que consegue acesso à rede por meio de um dispositivo de endpoint, uma solução de EDR detecta as atividades suspeitas nesse dispositivo. Portanto, é essencial entender como o invasor consegue acesso e se isso é consequência de algum vazamento de credenciais.

Enquanto isso, as soluções de ITDR fornecem insights aprofundados sobre possíveis ameaças relacionadas à identidade. A ITDR determina rapidamente qualquer correspondência entre as credenciais usadas na atividade maliciosa e aquelas dos usuários autorizados. Com esse nível de visibilidade, você descobre a causa do ataque e tem a chance de fortalecer as medidas de segurança para evitar incidentes similares no futuro.

Combinar as capacidades da ITDR e da EDR garante às organizações um aumento considerável na detecção de ataques sofisticados e tentativas de movimento lateral e na resposta a esses incidentes.

Itens essenciais em uma solução de ITDR

A ITDR tornou-se um componente crítico das arquiteturas de segurança modernas, impulsionada pelo rápido aumento de intrusões baseadas em identidade, abuso de privilégios e ameaças à segurança na nuvem. É por isso que as organizações que querem se proteger por meio da detecção desse tipo de ataque precisam de uma solução que atenda às necessidades delas.

Tendo isso em mente, vamos explorar os três elementos essenciais de uma solução de ITDR.

1. Visibilidade contínua

A visibilidade da identidade em tempo real é essencial para impedir ameaças à identidade antes que os adversários estabeleçam persistência. As soluções de ITDR devem correlacionar a atividade de autenticação, o comportamento do usuário e as tentativas de elevação de privilégios em ambientes de nuvem híbrida e no local. Por isso, uma solução de ITDR precisa agregar dados de várias fontes de maneira contínua e realizar análises de ameaças.

Para indicar possíveis ameaças à segurança, essa ação exige uma combinação dos seguintes itens:

• Análise de identidade
• Machine learning
• Técnicas de análise comportamental
• Detecção de anomalias

Ao identificar possíveis ameaças, a análise rápida por meio de painéis também desempenha um papel fundamental.

2. Controle proativo

As ameaças baseadas em identidade evoluem rapidamente, exigindo que as soluções de ITDR apliquem políticas de forma automatizada e em tempo real. Ao detectar atividade suspeita, a ITDR deve revogar imediatamente o acesso, encerrar sessões de risco, bloquear movimento lateral ou exigir autenticação adicional com base na gravidade do risco.

3. Controle baseado em risco

Nem todos os alertas gerados por uma solução de segurança são úteis. A fadiga de alertas tem implicações profundas que podem causar atrasos e fazer as ameaças ficarem perdidas em um backlog de alertas semelhantes.

A solução de ITDR precisa ser capaz de reconhecer falsos positivos e fazer a priorização de acordo com o risco associado aos ataques específicos. Ela também precisa ser inteligente o suficiente para reconhecer os tipos de ataque que atingem a infraestrutura com frequência e então classificar o nível de ameaça corretamente.

A abordagem da CrowdStrike

A plataforma CrowdStrike Falcon® é a única solução unificada do setor que detecta e previne em tempo real ameaças à identidade. Ao combinar ITDR e EDR, o Falcon elimina as falhas de segurança que permitem que os adversários explorem credenciais, se movimentem lateralmente e evitem a detecção. Ao contrário das soluções independentes de IAM ou EDR, o Falcon ITDR aplica inteligência de adversários para detectar técnicas de abuso de credenciais, incluindo ataques Golden Ticket, pass-the-hash e tentativas de bypass de autenticação multifatorial (MFA). Isso permite que as organizações automatizem a contenção de ameaças baseadas em identidade antes que os invasores elevem seus privilégios ou estabeleçam persistência. Ao unificar a telemetria de identidades e endpoints, a plataforma possibilita a correlação de ameaças em tempo real, combinando a inteligência de ameaças e a estratégia de adversários.

Com visibilidade completa sobre os caminhos de ataque, a CrowdStrike lida com todos os aspectos do kit de ferramentas de adversários, incluindo entrega de malware, ataques sem arquivo, roubo de credenciais e comprometimento de identidades.

A CrowdStrike criou uma solução nativa em nuvem com um único sensor que pode ser implementado em qualquer local no ambiente do cliente, simplificando bastante a coleta de telemetria (de endpoints e identidades). A solução CrowdStrike Falcon® Next-Gen Identity Security amplia a segurança além do IAM tradicional, integrando o gerenciamento de direitos de infraestrutura em nuvem (CIEM) para detectar permissões de nuvem mal configuradas, acesso não autorizado à API e privilégios excessivos, garantindo proteção de identidade de ponta a ponta.