Ataque à Microsoft: Como o PAM pode me ajudar?
Cada dia surgem na mídia mais notícias de ataques cibernéticos, envolvendo desde Pequenas e Médias Empresas até grandes conglomerados empresariais. Esses ataques podem ter diversas motivações: podem apenas servir como alertas para as organizações aumentarem sua maturidade em cibersegurança; roubar os dados para revendê-los na Deep Web; causar danos à organização; ou realizar extorsão. Isso além dos prejuízos operacionais e de imagem que as organizações podem sofrer, que podem ser incalculáveis. É importante frisar que cada vez mais os riscos de cibersegurança estão associados aos riscos de negócio, e devem ser considerados pela alta administração da definição de suas estratégias empresariais. A gangue cibernética Lapsus$ andou fazendo um bom estrago nesses últimos dias. Okta e Microsoft estão entre os alvos de ataques bem sucedidos da DEV-0537, como é chamada a gangue pela criadora do Windows. Quer entender como ocorreram os ataques à Microsoft e à Okta, e como os ataques poderiam ser evitados ou minimizados? Leia esse artigo até o final que iremos explicar.
A Lapsus$ iniciou suas atividades tendo como alvo organizações no Reino Unido e América do Sul. Em seguida a gangue cibernética expandiu suas ações para alvos globais, incluindo aí agentes de governo, tecnologia, telecom, mídia, varejo e saúde. No caso da Microsoft e da Okta, os atacantes maliciosos utilizaram credenciais privilegiadas para realizar seus ataques. De acordo com Verizon 2021 Data Breach Investigations Report, 61% dos ataques cibernéticos envolveram credenciais privilegiadas. Mas porque credenciais de alto privilégio estão entre os alvos preferidos de cibercriminosos?
Bom, o principal motivo para o alto índice de ataques através de credenciais privilegiadas é pelo fato delas permitirem a execução de uma série de atividades administrativas no ambiente. Transferência de recursos em um sistema ERP ou as mudanças nas configurações de um firewall ou servidor de e-mail são algumas das atividades que podem ser realizadas através deste tipo de credencial. Não é à toa que elas também são chamadas de “chaves do reino”: credenciais privilegiadas oferecem acesso ilimitado aos dispositivos, aplicações e dados mais críticos da organização.
Vale lembrar também que o Lapsus$ utiliza Engenharia Social como técnica para obter acesso às credenciais privilegiadas, assim como em 35% dos ataques cibernéticos, ainda de acordo com o relatório da Verizon. As técnicas utilizadas pelo Lapsus$ incluem SIM Swapping, pagamento aos funcionários e terceiros em troca das suas credenciais ou MFAs configurados, ou Engenharia Social através do telefone.
No caso da Okta, segundo o seu CSO, os atacantes maliciosos tiveram acesso a um dispositivo de um engenheiro de Suporte em uma janela de tempo de seis dias, entre 16 e 21 de Janeiro de 2022. Ainda de acordo com o executivo da Okta, o, ataque cibernético afetou uma baixa porcentagem de clientes – aproximadamente 2,5% ou 400 clientes.
A investigação do incidente na Microsoft encontrou uma conta privilegiada comprometida, o que permitiu acesso ao seu ambiente. No entanto, os atacantes maliciosos não conseguiram acesso a dados pessoais, como de clientes, porém tiveram acesso ao código-fonte da empresa, apesar de a Microsoft não considerar esse fato grave.
Você está curtindo esse post? Inscreva-se para nossa Newsletter!
Newsletter Blog PT
Enviaremos newsletters e emails promocionais. Ao inserir meus dados, concordo com a Política de Privacidade e os Termos de Uso.
Para auxiliar organizações a gerenciar e proteger as suas credenciais privilegiadas existe a Gestão de Acesso Privilegiado, ou PAM. Segundo o Gartner, soluções de PAM auxiliam organizações a fornecer acesso privilegiado a ativos críticos e alcançar conformidade através da gestão e monitoramento de contas e acessos privilegiados.
Ainda de acordo com o Gartner, é impossível gerenciar riscos de acesso privilegiado sem ferramentas específicas de Gestão de Acesso Privilegiado. Mas como a plataforma de segurança senhasegura PAM pode ajudar a prevenir, detectar e remediar ataques cibernéticos como os ocorridos com Okta e Microsoft?
O senhasegura oferece uma abordagem baseada no ciclo de vida do acesso privilegiado: desde as ações executadas antes, durante e depois do acesso.
Inicialmente, o senhasegura oferece funcionalidades de Gestão de Credenciais, que permite ao usuário visualizar a senha de uma credencial para acesso a um dispositivo ou aplicação. O senhasegura também permite configurar critérios para troca de senha, como número de utilizações, data e hora específica ou tempo decorrido.
O senhasegura também oferece a funcionalidade de Gestão de Sessão Remota, o que aumenta ainda mais a segurança em relação à pura gestão de credenciais. Neste caso, o senhasegura grava e armazena todas as sessões remotas realizadas através da solução.
A Análise de Ameaças e de Comportamento do senhasegura permite a identificação e resposta a qualquer mudança nos padrões de comportamento e perfis de acesso do usuário. Em caso de detecção de um acesso suspeito, a funcionalidade LiveStream permite ao time de Segurança da Informação monitorar todas as ações realizadas pelo usuário, sendo possível bloquear ou interromper a sessão em caso de comportamento suspeito.
Todas as ações realizadas pelos usuários através de sessões remotas no senhasegura são registradas em log. Nesse caso, o time de Segurança é capaz de buscar por comandos específicos realizados pelo usuário, permitindo encontrar facilmente aqueles potencialmente maliciosos.
Finalmente, o senhasegura oferece o senhasegura Domum, que fornece acesso remoto seguro para funcionários e terceiros, fornecendo acesso baseado em Zero Trust nem necessidade de configurações adicionais, como VPN, ou de acesso à solução PAM. Isso tudo com todos os recursos de segurança já oferecidos pela plataforma PAM.
Vimos que quando o assunto é segurança cibernética, a questão não é “se” o ataque vai ocorrer, mas quando. Muitos desses ataques cibernéticos envolvem credenciais privilegiadas, também chamadas de “chaves do reino”. De acordo com o Gartner, é impossível gerenciar os riscos associados ao acesso privilegiado sem ferramentas específicas. O senhasegura oferece uma plataforma completa de PAM, que cobre todo o ciclo de vida do acesso privilegiado. Desta maneira, é possível detectar rapidamente ações potencialmente maliciosos, permitindo assim a redução de custos operacionais além de conformidade com exigências regulatórias e políticas de segurança.