Gestão de identidades é essencial na proteção contra ciberataques, afirma especialista
O sucesso de uma abordagem Zero Trust está relacionado ao adequado tratamento das credenciais de acesso.
Viviane Oliveira, sócia de Cibersegurança da EY Brasil. (Foto: Divulgação)
Os cibercriminosos estão sempre buscando novas maneiras de aprimorar seus ataques. Roubar credenciais de acesso para aumentar privilégios e causar estragos a organizações tem sido uma delas. Somente nos últimos dois anos, 79% das empresas no mundo tiveram violação de identidade, segundo levantamento da Forbes.
“A adequada gestão de identidades pode ser um divisor de águas na proteção do ambiente contra incidentes cibernéticos”, afirma Viviane Oliveira, sócia de Cibersegurança da EY Brasil.
De acordo com a especialista, um dos caminhos é a adoção do modelo de segurança Zero Trust. O conceito não é novo, mas desde a pandemia começou a ser adotado mais fortemente pelas organizações. Viviane explica que isso está relacionado ao adequado tratamento das credenciais de acesso e a aplicação de métodos diversificados de autenticação.
“Os riscos são iminentes para as organizações quando se trata de segurança cibernética. Os danos não incluem apenas os recursos das empresas, acionistas e clientes, mas responsabiliza a organização e seus gestores perante o interesse público. Zero Trust é uma estrutura que se encaixa como um mecanismo de reforço na defesa cibernética”, afirma.
Em entrevista à Agência EY, Viviane fala sobre como as empresas estão expostas e como devem se preparar para evitar ataques cibernéticos.
A aceleração do uso indevido de credenciais continua levando a um aumento de incidentes de segurança, de acordo com o relatório Gartner deste ano. Por quê?
Temos observado nos últimos tempos e, principalmente, durante a pandemia é que grande parte dos ataques e de incidentes de segurança foi causada pelo comprometimento de credenciais válidas. O atacante, de alguma forma, obtém uma credencial válida, seja por engenharia social ou porque, de alguma forma, essa credencial foi vazada no ambiente da empresa. E por meio desse mecanismo consegue se infiltrar na organização. Então a credencial passa a se tornar um aspecto crucial na segurança do ambiente.
Como as empresas estão posicionadas nesse contexto de cibersegurança?
É uma jornada. O tema cibersegurança sempre esteve ativo nas organizações. Mas com a incidência desses ataques ganhou uma outra perspectiva. Como a credencial passou a ser um vetor, uma forma pela qual os atacantes conseguem acessar as organizações, as empresas voltaram a se preocupar com a gestão dessa credencial, como usar tecnologia de cofre de segurança, de soluções de gestão de identidades e de acesso, adotar múltiplos mecanismos de autenticação (MSA) para garantir que, uma vez que a credencial foi vazada, ainda assim a pessoa recebe uma validação adicional, além de formas mais sofisticadas de monitorar todo o processo. Ou seja, passando a se preocupar com o comportamento do usuário. Por exemplo: não é usual que um funcionário se logue um dia no Brasil e no dia seguinte na China. É um comportamento estranho e, possivelmente, não é ele quem está fazendo aquela ação. A empresa passa não só a se preocupar com os mecanismos de autenticação, mas também com todos os atributos em relação ao usuário que vão ajudar a validar aquele acesso como legítimo.
Podemos dizer que os ataques não são frequentes apenas nas grandes corporações, mas também nas pequenas e médias que estão vulneráveis?
Esse é um ponto de atenção. Antigamente, havia uma concentração maior nas grandes instituições, especialmente em segmentos financeiros. Mas outros segmentos passaram a ser alvos como os de saúde e energia. São empresas de diferentes portes. Isso se deve também pelo tema da pandemia. Quando houve o ‘start’ da pandemia, as empresas tiveram de, rapidamente, organizar a sua força de trabalho para a forma remota. Naquele instante, elas não conseguiram empregar os controles que deveriam. Isso deu muita abertura e as deixou muito expostas. Por isso, inevitavelmente, o índice de ataques aumentou muito durante a pandemia.
O que significa o modelo de segurança Zero Trust?
É um modelo de segurança que existe há bastante tempo. A primeira vez que se falou sobre ele foi por meio de um analista da Forrester Research, John Kindervag, em 2010. Em 2020, a NIST também fez uma publicação falando dos requisitos do Zero Trust. Ele parte da premissa de que nenhum usuário ou dispositivo é confiável para acessar um recurso até que sua identidade e autorização sejam verificadas. Ou seja, é um modelo de segurança de rede baseado no princípio de que nenhuma pessoa ou dispositivo dentro ou fora da rede de uma organização deve receber acesso para se conectar a sistemas ou serviços de TI até que seja autenticado e verificado continuamente.
Como o Zero Trust corrige os modelos de segurança tradicionais?
O Zero Trust pode ser trabalhado em diferentes frentes, mas vou fazer um recorte especificamente do tema de gestão de acesso. Nos preocupamos em garantir que a organização implemente os múltiplos fatores, faça a autenticação baseada em contexto, verifique se está fazendo o permissionamento com base no que chamamos de privilégio mínimo, se preocupe em segmentar melhor os seus recursos para isolar os possíveis ataques, autentique de forma contínua especialmente se estiver tratando de transações ou aplicações críticas. Esses são alguns elementos que vêm juntos quando falo da aplicação do Zero Trust para um tema de gestão de identidades.
Como uma empresa pode começar a adoção desse modelo de segurança?
A empresa deve se perguntar o que é crítico para ela do ponto de vista de dados, aplicações, usuários e perfis de funcionários. Em algumas organizações, os executivos também são muito visados, então é importante que eles utilizem múltiplos fatores. A chance de uma credencial dele ser alvo de ataque é muito grande. A partir daí, deve olhar do ponto de vista do estudo de arquitetura e definir como será a implementação.
Quais são os benefícios do Zero Trust?
Há uma maior rastreabilidade do ambiente, redução de riscos de uma forma geral porque está minimizando exposição, automatização de alguns processos e prevenção de fraudes. O grande ponto é que estamos falando de mitigação de risco. É necessário haver um investimento, mas haverá redução de exposição. Esse é o principal ponto.
As empresas têm a percepção do quanto estão expostas?
Esse é o maior risco em ciber. A falsa sensação de segurança. Você não ter visibilidade do que pode acontecer. De acordo com um relatório da IBM, uma empresa demora 243 dias para detectar que houve uma situação de vazamento de credencial. Nesse tempo, essa credencial pode ser utilizada de forma indevida. É uma janela para o hacker colher insumos e ver qual a melhor forma de abordar o ambiente. Os riscos são iminentes para as organizações quando se trata de segurança cibernética. Os danos não incluem apenas os recursos das empresas, acionistas e clientes, mas responsabiliza a organização e seus gestores perante o interesse público. O Zero Trust é uma estrutura que se encaixa como um mecanismo de reforço na defesa cibernética.