Uma das regras mais frustrantes da segurança cibernética é que, independentemente dos investimentos que as organizações fazem em sua tecnologia ou da sofisticação de sua arquitetura, geralmente é mais fácil invadir uma pessoa ou um processo do que quebrar uma tecnologia. A autenticação multifatorial (MFA) é tão eficaz que os invasores não se preocupam em atacá-la diretamente: em vez disso, eles estão encontrando maneiras de Evitar a MFA e direcionar outras camadas de negócios ou usuários para ganhar espaço em um ambiente.
Ao evitar a MFA, os criminosos cibernéticos usam e-mails, textos e notificações fraudulentos supostamente de "uma conta de e-mail do help desk" para atingir usuários em bombardeio imediato e Fadiga do MFA ataques. Mas o que acontece quando os hackers desenvolvem suas táticas e vão atrás do próprio help desk?
Não se trata apenas de uma questão teórica. O Caesars Entertainment supostamente pagou $15 milhões depois que um grupo de crime cibernético "conseguiu se infiltrar e interromper seus sistemas". A organização relatado que a violação começou, em parte, quando "um ataque de engenharia social a um fornecedor terceirizado de suporte de TI". Ano passado, LAPSUS$ ligou para o help desk de uma "organização e tentou convencer a equipe de suporte a redefinir as credenciais de uma conta privilegiada.
O ataque ao Caesars Entertainment demonstra por que as organizações precisam fortalecer seus help desks. Mas falar é fácil - desenvolver operações que priorizem a segurança requer apoio da liderança, investimento técnico e dos funcionários, treinamento e muito mais. É importante ressaltar que, embora alguns dos ataques mais recentes tenham visado especificamente os help desks, não se trata de que os help desks sejam particularmente suscetíveis a ataques, inseguros ou de alto risco. Muito pelo contrário: as organizações precisam trazer os princípios de segurança em primeiro lugar para todos processo de negócios. Eles são todos em risco.
Dito isso, Scattered Spider e ALPHV/BlackCat colocaram os help desks no centro das atenções recentemente. Portanto, vamos analisar algumas das práticas recomendadas que as equipes de segurança e os help desks podem adotar e as perguntas que devem fazer para desenvolver um help desk Zero-Trust.
Os help desks (ou service desks) são uma parte padrão do cenário de TI na maioria das empresas. Eles desempenham várias funções, mas, muitas vezes, são o primeiro ponto de contato para alguém que não consegue fazer login no computador ou que está com problemas para acessar recursos. Para resolver esses problemas, o help desk pode realizar algumas ações de alto risco, incluindo
- Redefinição de senhas
- Remoção da MFA para usuários bloqueados
- Criação de uma nova conta
Isso é apenas o começo: a equipe de help desk pode ser o ponto de entrada para realizar algumas ações ainda mais arriscadas, como criar contas administrativas ou remover temporariamente a MFA por completo para ajudar a lidar com um problema em todo o sistema. Mesmo que a equipe de suporte técnico não possa executar essas ações diretamente, ela poderá abrir tíquetes para outros grupos que possam fazê-lo.
São essas ações que podem tornar o help desk um alvo tão atraente para um invasor: um help desk pode suspender ou contornar as políticas de segurança. Além disso, como as organizações querem que seus usuários e clientes permaneçam conectados, produtivos e felizes, será fácil para os agentes de ameaças encontrarem as informações de contato do help desk.
A boa notícia é que, embora o help desk possa representar riscos significativos, as equipes de segurança podem minimizar esses perigos priorizando a identidade, a documentação do processo, a automação e o desenvolvimento da defesa em profundidade.
Comece conhecendo seu help desk: quem é a equipe? O que eles costumam fazer? O que poderia o que eles fazem? A que eles têm acesso e por que precisam desse acesso?
Toda organização deve se perguntar quanto acesso o help desk tem ao seu ambiente. As equipes de segurança precisarão analisar essa resposta regularmente com base no conceito de privilégio mínimo. Para chegar mais perto da confiança zero, seu help desk deve ter acesso apenas às funções necessárias para realizar seu trabalho, quando necessário. O acesso administrativo amplo para o pessoal do help desk é proibido.
Um bom árbitro disso é o catálogo de serviços da central de ajuda: a equipe de suporte deve ter o acesso necessário para executar esses serviços e somente esses serviços. A equipe de segurança deve verificar se o pessoal do help desk tem mais direitos do que o necessário, principalmente para ações que possam ajustar as configurações de segurança de identidade de um usuário - e, se isso acontecer, garanta controles adequados para esses direitos.
Depois que você tiver uma noção do que o help desk normalmente faz e do que ele poderia fazer, peça para ver seus runbooks e a documentação do processo. Se eles não tiverem nenhum, é hora de escrever alguns e revisá-los para verificar se há boas práticas de segurança, inclusive verificação de identidade.
Enquanto isso, as equipes de segurança também devem enfatizar que as ações de identidade de alto risco devem seguir os processos padrão de gerenciamento de mudanças: ações como adicionar uma nova federação ou um novo locatário ao seu diretório devem seguir processos mais rigorosos. Se alguém tentar iniciar essas ações de alto risco fora de um processo normal, seu sistema de segurança deverá detectar a tentativa, alertar a segurança e bloqueá-la.
E não se limite à equipe de help desk. Embora os help desks possam ter muita liberdade para ajudar os usuários, às vezes eles precisam trazer outro grupo para concluir tarefas complexas ou arriscadas. Se houver mais de um grupo trabalhando em conjunto, certifique-se de que cada equipe saiba quais tarefas exigem mais de uma função, quem está verificando a solicitação e como documentá-la.
Os criminosos cibernéticos explorarão todas as suposições que você fizer sobre qual equipe é responsável por qual ação. Se um VIP diz que contratou um novo gerente que precisa de solicitações de administração imediatamente, como o help desk recebe essa solicitação, verifica-a e coordena com outras equipes? Você precisa verificar todas as suposições para ter certeza de que a solicitação vem de dentro da organização e que você não está ajudando os bandidos.
Os funcionários do help desk precisam ouvir de suas equipes de liderança e segurança que precisam seguir os processos estabelecidos, exigir documentação e verificar os usuários.especialmente para solicitações excepcionais - para manter uma prática segura.
Seu help desk deve saber que as equipes de segurança e liderança o apoiam. Não se trata apenas de uma mudança técnica ou operacional - é um valor cultural que a liderança precisa cultivar em toda a organização. Porque é igualmente provável que as solicitações de alto risco venham de líderes internos, VIPs externos ou agentes de ameaças que podem entrar em contato com a equipe de suporte ao cliente com uma solicitação "urgente" para resolver um problema ou obter algum acesso.
Nessas situações, um funcionário do help desk nem sempre pode dizer "não". Em vez disso, cultive a tecnologia, o processo e a cultura que permitirão que eles digam: "Sim, e aqui está o que eu preciso que você faça para que isso seja feito". Ter essas etapas programadas com antecedência - e saber que a liderança e a equipe de segurança estarão ao lado do help desk quando forem necessárias etapas adicionais - pode fazer a diferença na prevenção de uma violação.
No entanto, não se trata apenas de um processo de cima para baixo: as organizações devem usar automação quando faz sentido limitar sua exposição a processos manuais ou à pressão VIP. A automação não será uma solução milagrosa: seu help desk talvez ainda precise responder a chamadas que solicitam exceções e encaminhar os autores das chamadas de volta à automação ou ter um procedimento de escalonamento que exija aprovações confiáveis.
Digamos que você tenha tomado todas as medidas acima: reuniu-se com os help desks, entendeu o que eles podem fazer, catalogou as ações de maior risco a serem priorizadas, criou documentação e sua equipe de liderança explica rotineiramente que sua organização sempre errará pelo lado da segurança, mesmo que isso signifique incomodar um usuário.
A próxima pergunta que você precisa responder é como a sua equipe de help desk ou de suporte ao cliente verificará a identidade? A autenticação da identidade do usuário é absolutamente essencial, pois, por mais bem projetada ou documentada que seja a sua segurança de suporte, ela será ineficaz se alguém da sua equipe trabalhar para atender a uma solicitação à qual o usuário não tem direito.
Recentemente, a verificação visual foi indicada como uma forma de abordar as preocupações com phishing. As organizações podem revisar NIST 800.63A para ver se os recursos necessários para a verificação de força "superior" fazem sentido para a situação deles. Considerando os requisitos técnicos necessários para chegar à verificação visual independente e o treinamento que o help desk precisa para implementar esse mecanismo, isso deve ser feito com cautela. A verificação visual ainda pode ser suscetível a deepfakes, que estão se tornando mais fáceis de realizar, se estivermos falando de um help desk remoto que não conhece a pessoa que está fazendo a solicitação. Devido a esses desafios, não acredito que a verificação visual será implementada de forma eficaz na maioria das situações.
Em vez disso, as organizações podem usar uma abordagem tradicional de defesa em profundidade e MFA para verificar se alguém é quem afirma ser. Um método de solicitação e verificação bem formado pode começar com um único vetor de confiança inicial, como um e-mail definido ou login em um portal de suporte, mas também deve integrar fatores adicionais, como um contato externo usando um segundo sistema confiável. Os métodos para utilizar um contato fora de banda podem incluir:
- Aprovação do gerente: verifique sistematicamente se o gerente aprova a solicitação de acesso em seu sistema de tíquetes.
- Ligue para o gerente (no caso de funcionário) ou para o contato no arquivo (cliente) para que ele verifique se a solicitação é válida. Em geral, o gerente tem um método de contato fora da banda com seus funcionários.
- Faça uma chamada em conferência começando com o funcionário da central de serviços e o usuário que está fazendo a solicitação. Em seguida, peça a uma terceira pessoa para participar da chamada - como um gerente ou membro da equipe - para verificar visualmente o usuário e sua solicitação.
- Para agilizar a aprovação, você também pode substituir um colega ou assistente retirado do diretório corporativo para verificar a solicitação.
Qualquer sistema de verificação pode ser quebrado, mas a combinação de alguns elementos não relacionados para validar a identidade antes de atender a uma solicitação de alto risco pode ajudar a garantir que seu help desk esteja protegido contra a maioria das tentativas de phishing. Nos exemplos dados, considere o quão próximos ou distantes os elementos estão no cenário técnico - por exemplo, se você for uma loja da Microsoft que usa o Active Directory, o M365 para e-mail e o Teams, talvez não queira combinar esses elementos que estão interligados se quiser a abordagem de MFA mais forte.
Outra maneira de fortalecer seu help desk e outras operações comerciais contra ataques de engenharia social como esse é por meio da prova de identidade. Teremos mais informações sobre prova de identidade em breve - fique atento a este espaço.
