Analysis
Os cibercriminosos procuram qualquer porta de entrada para os sistemas de uma organização, mas o roubo e abuso de credenciais tem particular relevância, tanto para quem ataca, como para quem defende
Por Rui Damião . 05/06/2023
Garantir a segurança e a integridade dos sistemas e dados empresariais é uma necessidade para qualquer organização. O roubo e abuso de credenciais empresariais coloca em xeque toda a organização, podendo resultar em coimas e na paragem completa do negócio. Adotar medidas robustas de cibersegurança – como autenticação de múltiplos fatores e a monitorização contínua – não é apenas aconselhável como necessário para que qualquer organização diminua o risco de ver as suas credenciais privilegiadas abusadas e, assim, proteger os seus ativos. Um risco elevadoÉ sabido que o abuso de credenciais é um problema para qualquer empresa, uma vez que se torna numa porta de entrada para a organização. David Grave, Cybersecurity Director da Claranet Portugal, indica que esta “ameaça significativa” exige “uma abordagem abrangente e proativa em relação à cibersegurança” por causa do seu “potencial devastador”. Relembrando que as credenciais são, muitas vezes, “a única chave de acesso às informações sensíveis e aos recursos críticos de uma empresa”, o comprometimento dessas credenciais dá aos cibercriminosos acesso não autorizado a dados confidenciais que podem comprometer a reputação e a integridade da empresa. João Ribeiro, Security Technical Specialist da Microsoft Portugal, explica que, atualmente, “estamos a enfrentar um momento de ajuste de contas à medida que o mundo assiste a um aumento de ataques de cibersegurança, que são também progressivamente mais sofisticados e expansivos”. Esta realidade, diz, “criou a necessidade urgente de adoção de uma abordagem Zero Trust pelas empresas, assumindo que toda a atividade, mesmo por parte de utilizadores de confiança, pode ser uma tentativa de violação”. A tecnologia da Microsoft, por exemplo, “bloqueia mais de 900 tentativas de roubo de palavras-passe de força bruta por segundo, enquanto todos os dias são processadas mais de 30 mil milhões de autenticações nos 550 milhões de utilizadores do Azure AD”. Fernando Monteiro, Team Leader Cibersecurity da VisionWare, relembra a frase “a informação é um dos maiores ativos das organizações atuais” e indica que, “felizmente, é cada vez mais percetível o valor que as organizações dão à informação”. No entanto, “o abuso de credenciais apresenta um elevado risco sobre as organizações, sobretudo se forem conseguidos acessos com elevados privilégios sobre sistemas e aplicações. O impacto pode ir desde o acesso ilegítimo a informação privilegiada ou confidencial, a alteração não controlada da informação ou sistemas críticos, até à disrupção de serviços e informação”. Oportunidade, intenção e pouca educação
João Ribeiro afirma que os objetivos para o roubo de credenciais empresariais podem ser arbitrários – como o comprometimento de sistemas internos – ou intencionais – como a possibilidade de exigir contrapartidas financeiras sob o roubo de dados. Focando-se no ransomware, indica que “estes ataques já vão além da encriptação e normalmente envolvem um roubo significativo de dados para maximizar o potencial dano ao alvo, aumentando assim as suas hipóteses de receber um pagamento mais elevado. Estes ataques que continuam com o objetivo de encriptar os dados existentes nas organizações, na tentativa de maximizar o pagamento para os grupos atacantes, são agora mais disruptivos, pois o volume de extorsão financeira desceu 40% quando comparamos 2021 para 2022, e este facto tem vindo a promover outro tipo de comportamento, nomeadamente os wipers que têm como intuito danificar e apagar toda a informação existente”. Fernando Monteiro define que existem dois principais fatores para que os cibercriminosos procurem o roubo e abuso de credenciais em ambientes corporativos e empresariais: oportunidade e intenção. “A oportunidade surge sobretudo das fragilidades nas credenciais ao nível da confidencialidade e robustez. A intenção pode advir da curiosidade, mas sobretudo da malícia e vontade em adquirir vantagem ou provocar dano”, explica, acrescentado que “é extremamente importante que as organizações estejam conscientes das atividades que aumentam a probabilidade de sucesso de um ataque de abuso de credenciais, e que tomem as devidas medidas de segurança para a mitigação desse risco”. Para David Grave, uma das principais causas que contribuem para o abuso de credenciais empresariais é “a falta de consciencialização e educação sobre cibersegurança por parte dos utilizadores”, já que, muitas vezes, “os utilizadores têm passwords fracas, reutilizam as mesmas em vários serviços e são facilmente enganados por ataques de phishing, já que não estão cientes dos riscos associados à partilha de informações confidenciais. Além disso, a falta de medidas de segurança adequadas - como a autenticação em dois fatores, a monitorização de atividades suspeitas e também a inexistência, por exemplo, de segregação entre contas de uso diário e contas de administração com acesso privilegiados - pode facilitar o abuso de credenciais”. Efeitos nefastosO roubo e utilização de credenciais privilegiadas de forma abusiva e maliciosa pode provocar vários danos para as organizações; Fernando Monteiro dá como exemplo as violações de normas de conformidade – que podem levar a coimas –, o desencadeamento de incidentes de segurança que afetam a continuidade do negócio, danos na reputação e perda de receitas financeiras. O Team Leader Cibersecurity da VisionWare refere, ainda, que “as credenciais roubadas podem ser usadas para acesso a dados confidenciais como informações estratégicas das empresas, dados financeiros, dados de clientes e parceiros, propriedade intelectual, causando prejuízos legais e financeiros às empresas” e que o acesso a credenciais privilegiadas “pode ser usado para vandalizar informações necessárias para o funcionamento de sistemas críticos, provocando interrupções desses sistemas e serviços”. João Ribeiro relembra que, de acordo com o Ponemon Institute, um ciberataque pode custar a uma PME entre 33 mil e 500 mil euros, o que reforça o quão imperativo a cibersegurança é para todas as organizações, mas também para as pequenas e médias empresas. Dependendo da superfície de ataque, diz, os impactos para uma organização podem ser nefastos. “O abuso de credenciais é uma ameaça séria para as organizações, com consequências potencialmente devastadoras”, diz David Grave, que reforça que “o potencial roubo de informações sensíveis e financeiras, de propriedade intelectual e dados pessoais dos clientes, pode resultar em danos à reputação, perda de confiança dos clientes e possíveis implicações legais e regulatórias, interrupção dos negócios e custos financeiros substanciais para remediar os danos causados. Além disso, o abuso de credenciais pode comprometer a confiança e a segurança de toda a cadeia de fornecimento e parceiros de negócios da organização”. Detetar e prevenir
David Grave, da Claranet, defende que é necessária uma “abordagem holística, transversal e abrangente da cibersegurança” para detetar e prevenir os abusos de credenciais. Esta abordagem, diz, deve envolver a tecnologia, processos e consciencialização dos utilizadores. “Ao nível da implementação de medidas técnicas e de processos, é essencial apostar em soluções de autenticação fortes, como autenticação em dois fatores, monitorização contínua de atividades suspeitas a análise de registos de acesso, sistemas avançados de deteção de intrusão, sistemas que permitam a implementação de políticas de segurança rigorosas, atualizações regulares de software, segregação de contas com privilégios de administração e rotação periódica de passwords”, acrescenta. A proteção das credenciais empresariais pode ser feita com “recurso a tecnologia que crie sólidos sistemas de proteção de ameaças, através de sistemas de proteção integrada para os seus recursos, aplicações e dados multicloud, através da proteção de dados sensíveis, através da automação do privilégio mínimo em toda a organização, entre muitas outras iniciativas”, explica João Ribeiro (Microsoft), que acrescenta que “é essencial que as organizações compreendam e reconheçam a evolução do próprio paradigma da segurança, que passa de uma defesa fundada no perímetro da rede, para uma defesa focada em utilizadores, ativos e recursos da organização. A desperimetrização significa que a confiança no acesso ao recurso passe a basear-se numa avaliação contínua do risco dos ativos, identidades e das funções de negócio”. Fernando Monteiro, da VisionWare, ressalva que “o abuso de credenciais não pode ser totalmente evitado”. No entanto, “o seu sucesso pode ser significativamente mitigado através da adoção de controlos preventivos”. Assim, a primeira condição necessária reside na própria organização, mais concretamente, na forma como aborda a gestão da segurança da informação e no seu compromisso com a segurança”, onde a “prevenção terá de ser realizada tanto ao nível da tecnologia como ao nível das pessoas”. Já a nível tecnológico, acrescenta Fernando Monteiro, “são variados os mecanismos que podem ser implementados, sendo que na verdade, e atendendo à grande interdependência nas infraestruturas tecnológicas, todas as melhorias de segurança serão refletidas também nesta área. Contudo, podemos destacar desde logo os mecanismos de reforço ao processo de autenticação e validação de identidade, nomeadamente, com a utilização de múltiplos fatores de autenticação”. Minimizar a ameaçaPara João Ribeiro, a estratégia para minimizar a ameaça deve passar pela “adoção de uma cultura de segurança assente no modelo de Zero Trust e, nesta fase, podemos tirar partido do melhor da inteligência artificial e automação para recolher data & insights relevantes para atuar em eventuais ações de mitigação”.
Fernando Monteiro defende que devem ser adotados controlos de segurança de natureza técnica, física e, sobretudo, administrativos. “Estes controlos devem servir para implementar medidas de segurança robustas e sofisticadas, entre as quais se destaca a implementação de uma política de segurança da informação com regras e procedimentos claros sobre o uso correto das credenciais como autenticação forte, a não partilha ou exposição dessas credenciais; uma política de gestão de acesso com vista a garantir o nível apropriado de acesso aos ativos de informação por pessoal autorizado, baseado nos princípios do mínimo privilégio e segregação de funções”. Já do lado estratégico, diz Fernando Monteiro, “o ponto de partida das organizações deve centrar-se em responder à pergunta ‘que dados são críticos para o nosso negócio?’; as respostas para essa pergunta ajudam as organizações a construírem uma defesa bem-sucedida, pois permitirá entender o seu grau de exposição face a eventuais ataques de abuso de credenciais, e reduzirá essas superfícies de ataque, contribuindo ainda mais para a segurança holística”. David Grave refere que as organizações devem adotar uma mentalidade proativa e investir em tecnologias avançadas e em processos concretos, como “centralizar os controlos de segurança em torno das identidades de utilizadores e serviços, inventariar e limitar as contas privilegiadas, adotar o princípio ‘least privilege’, restringir o número de utilizadores com acesso privilegiado, estabelecer políticas de gestão de identidade e acesso, bem como selecionar soluções tecnológicas que se alinhem com os requisitos e políticas específicas da organização”. “Ao implementar uma estratégia de controlo de acessos privilegiados (PAM) e gestão de identidades (IAM), é necessário selecionar uma solução que garanta que as políticas definidas pela organização são efetivamente implementadas e auditadas”, acrescenta David Grave. “Uma estratégia mais radical, mas cada vez mais adotada e eficaz, passa pela implementação de tokens físicos para aumentar a segurança e simplificar o processo de autenticação”. Sensibilizar para educarFernando Monteiro da VisionWare reforça que “conhecimento é poder” e, assim, “quanto mais informados os utilizadores estiverem sobre os riscos que advêm do abuso das suas credenciais, mais conscientes estarão sobre a importância de mantê- -las seguras”. Assim, “é crucial investir em programas de treino dos utilizadores, sendo esta uma das estratégias mais compensadoras que as organizações podem levar a cabo. Recomendadas as seguintes estratégias a ser adotadas, de modo a educar e disciplinar os utilizadores a manter as suas credenciais seguras”. Para David Grave, “a educação dos utilizadores é fundamental para a segurança das credenciais empresariais e as organizações podem adotar várias estratégias para conscienalizar os utilizadores. Isto inclui a realização de exercícios e formações regulares, abordando tópicos como a criação de palavras- chave fortes, a importância de não partilhar informações confidenciais (como palavras-chave ou detalhes de autenticação), a identificação de atividades suspeitas, o reconhecimento de ataques de phishing e a importância de não partilhar informações confidenciais”. João Ribeiro indica que “a formação para a sensibilização do tema da segurança é crítica nas organizações e, muitas vezes, os ataques iniciam-se por campanhas muito credíveis de phishing ou de engenharia social e, para um utilizador comum, torna- -se – na maioria das vezes – difícil distinguir o que poderá ser uma comunicação fidedigna ou maliciosa e reportar esta situação às suas equipas de IT”. Por fim, Fernando Monteiro assevera que “é essencial educar continuamente a organização e disponibilizar um espaço para o esclarecimento de dúvidas, promovendo discussões abertas sobre o tema, de forma a garantir que os colaboradores estejam atualizados e cientes das melhores práticas para manter as suas credenciais seguras”. |