A próxima semana marca o aniversário de um ano da primeira divulgação do hack da SolarWinds. Em 13 de dezembro de 2020, a FireEye revelou pela primeira vez SUNBURST, A empresa foi a primeira a ser criada, uma "campanha global de intrusão" que acabou afetando mais de 18.000 organizações, Os hackers foram responsáveis pela criação de um grande número de sites de computador, incluindo os Departamentos de Comércio, Segurança Interna e Tesouro dos EUA, bem como a Microsoft, a Deloitte e muitas outras empresas privadas. Os hackers podem ter tido acesso por até 14 meses.
A violação da SolarWinds resultou em grandes mudanças nas políticas e provavelmente informado A ordem executiva do presidente Biden para que todos os sistemas de informação federais aprimorem seus segurança cibernética.
Mas um ano depois, o vice-presidente da Gartner para risco de segurança e privacidade Peter Firstbrook diz que a maioria das empresas não entendeu uma das principais conclusões do ataque: "a infraestrutura de identidade em si é um alvo principal para hackers", de acordo com Kyle Alspach, da VentureBeat.
Firstbrook analisou essas lições na Cúpula de Segurança e Gerenciamento de Riscos da Gartner no mês passado, observando que "as implicações do ataque para a segurança da identidade devem ser prioridade para as empresas".
Depois de quase um ano desde que a notícia da SUNBURST foi divulgada, agora é um bom momento para revisitar algumas das principais lições que aprendemos desde a violação da SolarWinds e por que os líderes devem priorizar a identidade para evitar que algo semelhante ocorra novamente.
Ao recapitular a campanha da SolarWinds, Firstbrook disse que os invasores estavam "concentrados principalmente em atacar a infraestrutura de identidade".
Dirigindo-se aos líderes empresariais, Firstbrook disse: "Vocês gastaram muito dinheiro em identidade, mas a maior parte do tempo é para deixar os bons entrarem. Vocês realmente precisam gastar algum dinheiro para entender quando essa infraestrutura de identidade é comprometida e manter essa infraestrutura."
Os sistemas de gerenciamento de identidade e acesso (IAM) da SolarWinds eram uma "grande oportunidade de alvo para os invasores", disse Firstbrook. Os hackers evitaram a autenticação multifator roubando um cookie da Web desatualizado; roubaram senhas usando kerberoasting; usou certificados SAML para "habilitar a autenticação de identidade por serviços de nuvem" e criou novas contas no Active Directory.
Os atacantes priorizaram a identidade porque ela lhes dava tudo o que precisavam: acesso, capacidade de burlar a autenticação e capacidade de ir além da violação inicial. "As identidades são o tecido conjuntivo que os atacantes estão usando para se movimentar lateralmente e saltar de um domínio para outro", disse Firstbrook.
Ataques à cadeia de suprimentos como a violação da SolarWinds, "manipulam produtos ou mecanismos de entrega de produtos" para infectar alvos posteriores. Como uma forma mais indireta de ataque, eles usam cúmplices involuntários, o que acaba dificultando sua detecção.
Quando perguntado sobre como evitar que esses ataques ocorram, Firstbrook respondeu que "a realidade é que não é possível".
Alspach detalha o cinismo de Firstbrook, observando que "o gerenciamento de identidade digital é notoriamente difícil para as empresas, sendo que muitas sofrem com a expansão da identidade, incluindo identidades humanas, de máquinas e de aplicativos (como em automação de processos robóticos)."
O problema se estende aos fornecedores de uma empresa: atualmente, até mesmo as empresas de médio porte implementam centenas de aplicativos SaaS.
Em vez de tentar evitar ataques à cadeia de suprimentos (ou qualquer outra exploração específica), Firstbrook aconselhou as empresas a se prepararem para as ameaças mudando seu foco. "Você quer monitorar sua infraestrutura de identidade em busca de técnicas de ataque conhecidas e começar a pensar mais sobre sua infraestrutura de identidade como sendo seu perímetro."
Firstbrook está certo. Atualmente, as empresas precisam acomodar inúmeros fornecedores, funcionários que trabalham em casa, usuários externos e outros terceiros que acessam seu ecossistema. Com a expansão exponencial de usuários e casos de uso, a identidade é a única coisa que as organizações devem ser capazes de controlar em todas as instâncias. Quer se trate de ransomware, ataques à cadeia de suprimentos ou da próxima moda em crimes cibernéticos, a identidade se tornou o novo perímetro.
Práticas recomendadas para segurança de identidade pós-SolarWinds:
- Construir em direção à confiança zero: Confiança zero é uma nova maneira de pensar sobre a segurança cibernética que elimina qualquer confiança implícita. Ela trata cada usuário, dispositivo, solicitação e aplicativo como uma possível ameaça e verifica constantemente cada direito de acesso e permissões. Não se trata de um produto ou de um fornecedor, mas de uma maneira de pensar sobre sua postura de segurança cibernética - e a única maneira de começar a desenvolver a confiança zero é começar pela identidade. As empresas precisam começar sabendo quem são seus usuários, como eles serão autenticados e a que precisam ter acesso. Com essa base, as empresas podem criar uma segurança que prioriza a identidade.
- Autenticação de todas as plataformas, para todas as plataformas: A essa altura, a autenticação multifator (MFA) deveria ser um requisito para todas as organizações. A ausência de MFA foi um componente importante na Ataque de ransomware da Colonial Pipeline e é uma parte essencial do Ordem de segurança cibernética do presidente Biden. Mas MFA precisa funcionar da mesma forma que seus usuários, desde o Windows e o macOS até chaves FIDO e senhas de uso único, e mesmo quando seus usuários estiverem off-line.
- Todas as senhas têm falhas: Algumas das primeiras reportagens sobre a violação da SolarWinds se concentraram em uma senha específica: 'solarwinds123'. Os legisladores chegaram a criticar a SolarWinds pela simples credencial; mais tarde, foi revelado que a senha era de um site FTP e não tinha nada a ver com a violação. Mas o foco em 'solarwinds123' deixa de lado o ponto mais amplo, que é o fato de todas as senhas serem muito fáceis de serem descobertas pelos criminosos cibernéticos e muito difíceis de serem lembradas pelos usuários. Elas são inseguras, caras e criam atritos para os usuários legítimos. Para as empresas, a solução não deve ser a instituição de senhas mais complexas. Em vez disso, as empresas devem eliminar completamente as senhas e criar ambientes sem senhas em que os usuários nunca precisam pensar, digitar ou gerenciar senhas.
- Saber quem tem acesso ao quê: Se a autenticação decide quem obtém acesso dentro de uma rede, a governança e a administração de identidade (IGA) controlam o que um usuário pode fazer com esse acesso: A IGA permite que as empresas definam os direitos de acesso aos recursos certos e para os recursos certos. É uma forma de evitar que os usuários - ou agentes mal-intencionados - se movam lateralmente ou além de uma função predefinida (a SolarWinds primeiro culpou um estagiário por "solarwinds123" - um programa de governança de identidade teria revelado o que esse estagiário poderia ter acessado e o que ele poderia ter feito com esse acesso). A melhores soluções controlará a "dispersão de identidade" automatizando as certificações de acesso e priorizando anomalias e violações de políticas.
Um ano depois, as empresas ainda estão tentando entender "uma das maiores violações de segurança cibernética do século XXI". Isso se deve, em grande parte, ao fato de que muitas das tendências que inicialmente contribuíram para a violação da SolarWinds - incluindo a expansão da identidade, a crescente dependência de recursos de nuvem, configurações remotas e híbridas permanentes e a crescente interdependência entre usuários, recursos e dispositivos - só se aceleraram desde 13 de dezembro de 2020.
Para onde vamos a partir de agora? A única maneira de avançar é reconhecer (ou admitir) o quanto nossos ambientes operacionais se tornaram complexos e priorizar a defesa dos atributos que se repetem em cada um deles. Precisamos fazer da identidade nosso novo perímetro e colocá-la em primeiro lugar.
