Gestão de Identidade em 2025: Como as Equipes de Segurança Podem se Preparar

Enquanto 99% das empresas planejam investir mais em segurança, apenas 52% implementaram totalmente a autenticação multifator (MFA), e somente 41% seguem o princípio do menor privilégio na gestão de acessos.

Os adversários, incluindo estados-nação, atacantes financiados pelo estado e gangs de crimes cibernéticos, continuam a aprimorar suas táticas usando IA generativa, aprendizado de máquina (ML) e um crescente arsenal de IA para lançar ataques de identidade cada vez mais sofisticados. Deepfakes, engenharia social bem orquestrada e ataques de identidade baseados em IA, fraudes sintéticas, ataques living-off-the-land (LOTL) e muitas outras tecnologias e táticas sinalizam que as equipes de segurança estão em perigo de perder a guerra contra a IA adversarial.

“A identidade continua sendo uma das áreas mais complicadas da segurança – em termos simples: você precisa de autorização (authZ: o direito de acesso) e autenticação (authN: os meios de acesso). Na segurança de computadores, trabalhamos arduamente para unir authZ e authN,” disse Merritt Baer, CISO da Reco.ai, em uma recente entrevista ao VentureBeat.

“O que precisamos fazer é garantir que usamos a IA nativamente para defesas, porque você não pode sair para combater esses ataques de armamento de IA de adversários em uma escala humana. Você precisa fazer isso em uma escala de máquina,” disse Jeetu Patel, vice-presidente executivo e diretor de produtos da Cisco, em uma entrevista ao VentureBeat no início deste ano.

A conclusão é que as identidades continuam sob ataque, e os esforços contínuos dos adversários para melhorar a técnica baseada em IA visando a segurança fraca das identidades são ameaças em rápido crescimento. O recente relatório da Identity Defined Security Alliance (IDSA), Tendências de 2024 na Segurança de Identidades Digitais, reflete o quão vulneráveis as identidades estão e como rapidamente os adversários estão criando novas estratégias de ataque para explorá-las.

A cerco às identidades é real – e crescente.

“Ferramentas de gerenciamento de nuvem, identidade e remoto, e credenciais legítimas são onde os adversários têm se movido, porque é muito difícil operar sem restrições no endpoint. Por que tentar contornar e lidar com uma plataforma sofisticada como a CrowdStrike no endpoint quando você pode acessar como um usuário administrador?” disse Elia Zaitsev, CTO da CrowdStrike, em uma entrevista recente ao VentureBeat.

A esmagadora maioria dos negócios, 90%, sofreram pelo menos uma tentativa de intrusão e violação relacionada à identidade nos últimos doze meses. A IDSA também descobriu que 84% das empresas sofreram um impacto direto nos negócios este ano, um aumento em relação a 68% em 2023.

“O futuro não será televisionado; será contextual. É raro que um ator malicioso esteja queimando uma vulnerabilidade 0-day (nova) para obter acesso – por que usar algo especial quando você pode usar a porta da frente? Eles quase sempre estão trabalhando com credenciais válidas,” diz Baer.

“80% dos ataques que vemos têm um elemento baseado em identidade na técnica que o adversário utiliza; é um elemento-chave,” disse Michael Sentonas, presidente da CrowdStrike, ao público no Fal.Con 2024 este ano. Sentonas continuou, “Grupos sofisticados como Scattered Spider e Cozy Bear nos mostram como os adversários exploram a identidade. Eles usam spray de senhas, phishing e frameworks MTM. Eles roubam credenciais legítimas e registram seus próprios dispositivos.”

Por que os ataques baseados em identidade estão se proliferando

Os ataques baseados em identidade estão em alta este ano, com um aumento de 160% nas tentativas de coleta de credenciais via APIs de metadados de instâncias na nuvem e um incremento de 583% nos ataques de Kerberoasting, de acordo com o Relatório de Caça Ameaças 2023 da CrowdStrike.

Os ataques amplos às identidades enfatizam a necessidade de uma estratégia de segurança mais adaptativa e centrada na identidade que reduza riscos e vá além das abordagens baseadas em perímetro legadas:

O crescimento descontrolado de identidades humanas e de máquinas está rapidamente expandindo as superfícies de ameaça. A IDSA descobriu que 81% dos líderes de TI e segurança afirmam que o número de identidades em suas organizações dobrou na última década, multiplicando ainda mais o número de superfícies de ataque potenciais. Mais da metade dos executivos entrevistados, 57%, consideram a gestão da expansão de identidades um foco primário para 2025, e 93% estão tomando medidas para controlá-la. Com as identidades de máquinas continuando a aumentar, as equipes de segurança precisam ter uma estratégia em vigor para gerenciá-las também. A organização típica possui 45 vezes mais identidades de máquinas do que de humanos, e muitas organizações nem sabem exatamente quantas têm. O que torna o gerenciamento de identidades de máquinas desafiador é levar em conta as diversas necessidades das equipes de DevOps, segurança cibernética, TI, IAM e CIO.

Crescente incidência de ataques impulsionados por IA adversarial lançados com deepfakes e técnicas de phishing baseadas em impersonação. Os deepfakes tipificam a vanguarda dos ataques de IA adversarial, alcançando um aumento de 3.000% no ano passado apenas. Prevê-se que os incidentes de deepfake aumentem de 50% a 60% em 2024, com 140.000-150.000 casos globalmente previstos para este ano. A IA adversarial está criando novos vetores de ataque que ninguém vê vindo e criando um novo, mais complexo e nuançado cenário de ameaças que prioriza ataques direcionados à identidade. A pesquisa mais recente da Ivanti revela que 30% das empresas não têm planos em vigor sobre como identificar e se defender contra ataques de IA adversarial, e 74% das empresas entrevistadas já veem evidências de ameaças impulsionadas por IA. Da maioria dos CISOs, CIOs e líderes de TI que participaram do estudo, 60% afirmam estar preocupados de que suas empresas não estão preparadas para se defender contra ameaças e ataques impulsionados por IA.

Maior targeting ativo de plataformas de identidade começando pelo Microsoft Active Directory (AD). Todo adversário sabe que quanto mais rápido conseguirem controlar o AD, mais rápido controlarão uma empresa inteira. Desde concederem a si mesmos direitos de administrador até deletar todas as outras contas de administrador para se isolar durante um ataque adicional, os adversários sabem que bloquear o AD significa bloquear um negócio. Uma vez que o AD esteja sob controle, os adversários movem-se lateralmente através das redes, instalam ransomware, exfiltram dados valiosos e têm sido conhecidos por reprogramar contas ACH. Pagamentos saem para contas fictícias que os atacantes controlam.

Dependência excessiva da autenticação de fator único para trabalhadores remotos e híbridos e não imposição de autenticação multifatorial no nível da aplicação em toda a empresa. Pesquisas recentes sobre tendências de autenticação descobriram que 73% dos usuários reutilizam senhas em várias contas, e o compartilhamento de senhas é rampante nas empresas hoje. Adicione a isso o fato de que as credenciais de contas privilegiadas para trabalhadores remotos não são monitoradas e as condições são criadas para mau uso de contas privilegiadas, a causa de 74% das intrusões baseadas em identidade este ano.

O Telesign Trust Index mostra que quando se trata de acertar a higiene cibernética, há um motivo válido para preocupação. Seu estudo descobriu que 99% das intrusões digitais bem-sucedidas começam quando as contas têm autenticação multifatorial (MFA) desligada. “A emergência da IA nos últimos anos trouxe a importância da confiança no mundo digital para o centro das atenções,” disse Christophe Van de Weyer, CEO da Telesign, ao VentureBeat durante uma entrevista recente. “À medida que a IA continua a avançar e se tornar mais acessível, é crucial que priorizemos confiança e segurança para proteger a integridade de dados pessoais e institucionais. Na Telesign, estamos comprometidos em aproveitar tecnologias de IA e ML para combater fraudes digitais, garantindo um ambiente digital mais seguro e confiável para todos.”

Um plano de MFA bem executado exigirá que o usuário apresente uma combinação de algo que sabe, algo que possui ou alguma forma de fator biométrico. Uma das principais razões pelas quais tantos clientes da Snowflake foram violados é que a MFA não havia sido habilitada por padrão. A CISA oferece uma folha informativa sobre MFA que define as especificidades de por que é importante e como funciona.

O ransomware está sendo iniciado com mais frequência usando credenciais roubadas, alimentando um boom de ransomware como serviço. O VentureBeat continua a observar um crescimento exponencial de ataques de ransomware em empresas de saúde e manufatura, já que os adversários sabem que interromper seus serviços leva a múltiplos pagamentos de ransomware maiores. O Relatório de Tendências de Ameaças Cibernéticas 2024 da Deloitte descobriu que 44,7% de todas as violações envolvem credenciais roubadas como o vetor inicial do ataque. Ataques de ransomware baseados em credenciais são notórios por criar caos operacional e, consequentemente, perdas financeiras significativas. Ataques de Ransomware como Serviço (RaaS) continuam a aumentar, pois os adversários estão ativamente phishing em empresas-alvo para obter suas credenciais de acesso privilegiado.

Passos práticos que os líderes de segurança podem tomar agora para pequenas equipes

As equipes de segurança e os líderes que as apoiam precisam começar com a suposição de que suas empresas já foram violadas ou estão prestes a serem. Esse é um primeiro passo essencial para começar a defender identidades e a superfície de ataque que os adversários visam para alcançá-las.

“Eu iniciei uma empresa porque este é um ponto de dor. É realmente difícil gerenciar permissões de acesso em grande escala. E você não pode se dar ao luxo de errar com usuários altamente privilegiados (executivos) que, aliás, são os mesmos que ‘precisam acessar seus e-mails imediatamente!’ em uma viagem de negócios em um país estrangeiro,” diz Kevin Jackson, CEO da Level 6 Cybersecurity.

Seguem-se os passos práticos que qualquer líder de segurança pode tomar para proteger identidades em seus negócios:

1. Auditar e revogar qualquer privilégio de acesso para ex-funcionários, contratados e administradores. As equipes de segurança precisam entrar na prática de auditar regularmente todos os privilégios de acesso, especialmente os dos administradores, para verificar se ainda são válidos e se a pessoa ainda está na empresa. Este é o melhor treinamento para qualquer equipe de segurança, pois é comprovado que interrompe brechas. Procure regularmente por contas e credenciais zumbis e considere como a genAI pode ser utilizada para criar scripts para automatizar esse processo. Ataques internos são um pesadelo para as equipes de segurança e os CISOs que as lideram.

   Adicione a isso o fato de que 92% dos líderes de segurança dizem que os ataques internos são tão complexos ou mais desafiadores de identificar do que os ataques externos, e a necessidade de controlar os privilégios de acesso torna-se clara. Quase todos os provedores de IAM têm ferramentas automatizadas de detecção de anomalias que podem ajudar a impor uma limpeza completa de identidades e privilégios de acesso. O VentureBeat descobriu que aproximadamente 60% das empresas estão pagando por essa funcionalidade em seus conjuntos de cibersegurança e não a estão utilizando.
   

2. Tornar a MFA o padrão sem exceções e considerar como personas de usuários e papéis com acesso a direitos administrativos e dados sensíveis também podem ter autenticação biométrica e sem senha adicionada. As equipes de segurança precisarão contar com seus fornecedores para acertar isso, já que a situação na Snowflake e agora logins da Okta com nomes de usuário de 52 caracteres têm permitido acesso a sessões de login sem fornecer uma senha.

   A Gartner projeta que até o próximo ano, 50% da força de trabalho usará autenticação sem senha. Os principais provedores de autenticação sem senha incluem Microsoft Azure Active Directory (Azure AD), OneLogin Workforce Identity, Thales SafeNet Trusted Access e Windows Hello for Business. Destes, Zero Sign-On (ZSO) da Ivanti está integrado à sua plataforma UEM, combina protocolos de autenticação sem senha FIDO2 e suporta biometria, incluindo Face ID da Apple como um fator de autenticação secundário.
   

3. Implementar o provisionamento Just-In-Time (JIT) corretamente como uma parte central do fornecimento de acesso com o menor privilégio. O provisionamento Just-In-Time (JIT) é um elemento-chave das arquiteturas de zero trust, projetado para reduzir os riscos de acesso limitando permissões de recursos a durações e papéis específicos. Ao configurar sessões JIT com base em papel, carga de trabalho e classificação de dados, as organizações podem controlar e proteger ainda mais ativos sensíveis.

   O recentemente lançado Ivanti Neurons for App Control complementa as medidas de segurança JIT reforçando a segurança do endpoint por meio do controle de aplicativos. A solução bloqueia aplicativos não autorizados verificando a propriedade do arquivo e aplicando gerenciamento de privilégios granular, ajudando a prevenir malware e ataques 0-day.
   

4. Impedir que adversários e possíveis ameaças internas assumam papéis de máquina na AWS configurando seu IAM para acesso com o menor privilégio. O VentureBeat descobriu que ataques cibernéticos a instâncias da AWS estão aumentando, e atacantes estão assumindo as identidades de papéis de máquina. Certifique-se de evitar misturar papéis humanos e de máquina em DevOps, engenharia, produção e contratados da AWS.

   Se as atribuições de papéis contiverem erros, um funcionário ou contratado desonesto pode e já roubou dados confidenciais de uma instância da AWS sem que ninguém soubesse. Audite transações e imponha acesso de menor privilégio para evitar esse tipo de intrusão. Existem opções configuráveis no AWS Identity and Access Management para garantir esse nível de proteção.

Previsões para o futuro da gestão de identidade em 2025

Toda equipe de segurança precisa assumir que uma violação centrada na identidade ocorreu ou está prestes a acontecer se quiser estar pronta para os desafios de 2025. Fazer cumprir o acesso com o menor privilégio, um componente central do zero trust, e uma estratégia comprovada para interromper uma violação precisa ser uma prioridade. A aplicação de provisionamento JIT também é vital.

Mais equipes de segurança e seus líderes precisam responsabilizar os fornecedores e exigir que suas plataformas e aplicativos suportem MFA e técnicas avançadas de autenticação.

Não há desculpa para lançar um projeto de cibersegurança em 2025 sem MFA instalada e habilitada por padrão. Plataformas de banco de dados em nuvem complexas como a Snowflake apontam por que isso deve se tornar a nova norma. A última supervisão da Okta, permitindo que nomes de usuários de 52 caracteres contornassem a necessidade de uma senha, apenas mostra que essas empresas precisam trabalhar mais arduamente e de maneira mais diligente para conectar sua engenharia, qualidade e equipes de teste interno para não colocar seus clientes e seus negócios em risco.