Soluções de detecção e resposta a ameaças de identidade (ITDR) são ferramentas proativas de cibersegurança que monitoram sistemas para descobrir e corrigir ameaças e vulnerabilidades baseadas em identidade, como elevação de privilégios e configurações incorretas de contas.
As identidades dos usuários são uma parte significativa da superfície de ataque das empresas atualmente, pois os cibercriminosos preferem cada vez mais fazer login em vez de hackear. O IBM® X-Force Threat Intelligence Index relata que os ataques baseados em identidade representam 30% do total de intrusões. Os agentes de ameaças usam ataques de phishing e malware de roubo de informações para coletar credenciais, que usam para assumir o controle de contas válidas.
Os sistemas ITDR podem ajudar a mitigar esses ataques cibernéticos baseados em identidade monitorando a atividade do usuário e os sistemas de identidade em uma rede corporativa. As ferramentas de ITDR podem detectar ataques de força bruta, preenchimento de credenciais, anomalias de login e outras ameaças cibernéticas, além de responder automaticamente para impedir que invasores acessem dados e sistemas confidenciais.
Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.
Um sistema ITDR monitora constantemente uma rede corporativa em busca de atividades anômalas ou suspeitas relacionadas às identidades dos usuários. Quando uma solução ITDR detecta comportamento possivelmente malicioso, alerta a equipe de segurança e aciona uma resposta automática, como o bloqueio imediato do acesso da conta a dados sensíveis.
Um sistema ITDR funciona combinando várias funções em uma solução abrangente. As principais funções do ITDR são:
Para reconhecer atividades suspeitas, um sistema ITDR primeiro precisa saber como são as atividades normais e autorizadas.
Os ITDRs reúnem informações de fontes como:
O ITDR utiliza análise comportamental e mapeamento de relacionamento para processar todos esses dados e criar um modelo de comportamento normal para os usuários, suas contas e os sistemas que eles acessam.
Um sistema ITDR monitora a atividade de identidade e a infraestrutura em toda a rede para detectar ameaças, exposições e vulnerabilidades. Os ITDRs rastreiam logins, autenticações, provedores de identidade (IdPs), solicitações de acesso e diretórios como o Active Directory, comparando-os ao modelo de base. Ferramentas de ITDR sinalizam desvios significativos da linha de base como ameaças em potencial.
Os desvios podem ser atividades como tentativas de login a partir de locais incomuns, movimento lateral de um usuário em conjuntos de dados não relacionados ou solicitações incomuns de elevação de privilégios.
Alguns sistemas de ITDR utilizam aprendizado de máquina (ML) para analisar padrões de ameaças históricas — de registros da empresa, feeds de inteligência de ameaças e outras fontes — e identificar diversos tipos de ataques. Dessa forma, o ITDR pode detectar com mais facilidade novos riscos de identidade que não encontrou diretamente anteriormente.
Quando um sistema ITDR detecta uma possível intrusão, sinaliza a atividade para a central de operações de segurança (SOC) e aciona uma resposta imediata à anomalia. Os recursos de resposta podem incluir o isolamento do sistema que está sendo atacado, desativar contas comprometidas, solicitar autenticação adicional do usuário e outros meios para impedir atividades não autorizadas ou suspeitas.
Ataques baseados em identidade são ataques cibernéticos que utilizam as identidades dos usuários para obter acesso não autorizado a uma rede. Os ataques baseados em identidade geralmente envolvem o controle de uma conta legítima e o abuso de seus privilégios para roubar dados, plantar ransomware ou causar outros danos.
São exemplos de ataques comuns baseados em identidade:
Em um ataque de força bruta, os hackers tentam obter acesso a uma conta por de tentativa e erro, testando várias credenciais de login até encontrar a que funciona.
A escalada de privilégios é uma técnica de ciberataque em que um agente da ameaça altera ou eleva suas permissões em um sistema, como passando uma conta de usuário com privilégios baixos para conta de administrador de nível superior.
O movimento lateral é uma tática que cibercriminosos usam para avançar mais profundamente na rede de uma organização após obter acesso não autorizado. De modo geral, os ataques de movimento lateral têm duas partes: uma violação inicial seguida de movimentação interna.
O phishing é um tipo de engenharia social que usa e-mails, mensagens de texto, telefonemas ou sites fraudulentos para induzir as pessoas a compartilhar dados confidenciais ou baixar malware.
Os hackers podem usar phishing para assumir o controle de contas de usuários de algumas maneiras diferentes. Podem enganar um usuário para que ele informe suas credenciais, passando-se por uma marca confiável e direcionando-o para um site falso. Ou podem usar mensagens de phishing para espalhar um malware que rouba informações (infostealer) que registra secretamente a senha do usuário.
Os riscos e ameaças de identidade nem sempre se originam de agentes maliciosos. Configurações incorretas, omissões simples, erros humanos e usuários autorizados que usam suas permissões de maneira inadequada podem comprometer a segurança da identidade. Os riscos são:
À medida que os ataques baseados em identidade ficam mais comuns e os sistemas de identidade ficam mais complexos, as ferramentas de ITDR podem ajudar as organizações a melhorar sua postura de segurança e obter mais controle sobre a infraestrutura de identidade.
Para muitas organizações, soluções de software como serviço (SaaS) , arquiteturas de multinuvem híbrida e trabalho remoto são a norma. Suas redes contêm uma mistura de vários fornecedores de aplicativos e ativos baseados na nuvem e no local, atendendo a vários usuários em vários locais. Esses aplicativos geralmente têm seus próprios sistemas de identidade que podem não se integrar facilmente entre si.
Consequentemente, muitas organizações lidam com cenários fragmentados com lacunas que os agentes da ameaça podem e exploram para fins maliciosos.
Monitorando identidades em vez de dispositivos ou ativos, os ITDRs podem oferecer maior visibilidade da atividade do usuário em ambientes de nuvem, ferramentas SaaS e sistemas locais. Embora diversos aplicativos possam ter sistemas de identidade diferentes, o ITDR permite que as organizações monitorem todos eles em um só lugar.
Os ITDRs podem detectar não apenas ataques ativos, mas também configurações incorretas e vulnerabilidades possivelmente perigosas. Por exemplo, algumas ferramentas ITDR podem detectar mecanismos de autenticação fracos, contas inativas e até mesmo o uso de determinados ativos de TI invisível.
Monitorando constantemente a infraestrutura de identidade, as ferramentas do ITDR podem detectar ataques cibernéticos para que os hackers tenham a chance de causar danos reais.
Além de sinalizar esses ataques para as equipes de segurança, os ITDRs também podem responder automaticamente em tempo real, impedindo que hackers e agentes internos maliciosos prossigam. Consequentemente, o ITDR permite uma mitigação mais rápida de ameaças e a remediação de vulnerabilidades antes que elas possam ser exploradas.
As organizações têm uma verdadeira sopa de letrinhas de tecnologias sobrepostas de detecção e resposta a ameaças para enfrentar. Embora essas ferramentas possam ter funcionalidades semelhantes, oferecem diversas proteções para facetas diferentes de uma rede corporativa. São frequentemente utilizadas como complementos uma da outra em uma estratégia de cibersegurança de defesa em profundidade em várias camadas.
Ferramentas de gerenciamento de acesso e identidade (IAM) gerenciam o ciclo de vida da identidade do usuário, desde a criação até o descarte da conta. Enquanto o ITDR visa detectar e impedir a atividade maliciosa de usuários não autorizados, o IAM se concentra em garantir que os usuários autorizados tenham as permissões certas e as utilizem corretamente.
As principais funções do IAM incluem a criação de identidades de usuários, a atribuição de privilégios, a aplicação de políticas de acesso e a retirada de identidades antigas. Os sistemas IAM e ITDR geralmente trabalham juntos. O IAM facilita o acesso de usuários autorizados, enquanto as ferramentas de ITDR monitoram a atividade do usuário em busca de ameaças, como comprometimento de contas ou uso indevido de permissões.
Os sistemas de gerenciamento de acesso privilegiado (PAM) governam e protegem as contas e atividades de usuários privilegiados, como administradores do sistema. Enquanto as ferramentas ITDR monitoram todas as identidades, as ferramentas PAM abrangem as privilegiadas.
As ferramentas PAM provisionam contas privilegiadas, gerenciam como e quando os usuários obtêm privilégios elevados e monitoram atividades privilegiadas em busca de comportamentos suspeitos e não conformidade.
PAM antecede o ITDR como uma prática de cibersegurança formalmente definida e as ferramentas PAM geralmente são consideradas sua própria categoria distinta. No entanto, de certa forma, o PAM pode ser considerado uma versão direcionada do ITDR. O ITDR monitora ameaças baseadas em identidade para todos os usuários, enquanto o PAM protege especificamente contas privilegiadas. Ambos podem trabalhar juntos para oferecer controles de segurança avançados a uma rede.
A principal diferença entre detecção e resposta de endpoint (EDR) e ITDR é que as ferramentas EDR protegem os dispositivos, enquanto as ferramentas ITDR protegem identidades.
As EDRs monitoram endpoints, como servidores e PCs, para detectar atividades maliciosas que ocorrem no endpoint. O ITDR se concentra em ameaças baseadas em identidade, detectando atividades maliciosas no nível de usuários e contas.
Os sistemas ITDR e EDR são aspectos complementares das operações de segurança de uma organização. Por exemplo, quando o EDR descobre atividade suspeita em um endpoint, um sistema ITDR pode ajudar a conectar essa atividade a uma identidade específica.
Onde o ITDR tem foco mais restrito nas identidades dos usuários, as soluções de detecção e resposta estendidas (XDR) integram ferramentas e operações de segurança em todas as camadas de segurança, usuários, endpoints, aplicação, redes, carga de trabalho em nuvem e dados.
As ferramentas XDR possibilitam a interoperabilidade de soluções de segurança que não são necessariamente projetadas para trabalhar juntas para uma prevenção, detecção e resposta a ameaças sem interrupções. Combinados com outras ferramentas, os ITDRs se integram aos XDRs, alimentando dados sobre identidades e sistemas baseados em identidade em uma arquitetura de segurança unificada.
Juntos, os ITDRs e os XDRs podem oferecer às organizações uma visão mais abrangente de suas redes, permitindo medidas de segurança e modelos de governança de identidade mais eficazes.