Quebras de Identidade: Uma Ameaça Crescente no Cibercrime
As identidades são vitais na dark web, gerando bilhões em fraudes anualmente. Quebras de segurança de alto perfil envolvendo Santander, TicketMaster, Snowflake e recentemente Advanced Auto Parts e LendingTree demonstram como os atacantes exploram rapidamente as vulnerabilidades na segurança organizacional. O TechCrunch confirmou que centenas de senhas de clientes da Snowflake ligadas a malware que rouba informações estão agora disponíveis online. A decisão da Snowflake de tornar a autenticação multifatorial (MFA) opcional, em vez de obrigatória, agravou a crise de identidade enfrentada por seus clientes afetados.
Inteligência em Cibercrime: Um Cenário de Ameaça Colaborativa
Organizações de cibercrime e estados-nação estão cada vez mais confiantes na execução de quebras de identidade, supostamente colaborando com provedores de inteligência de cibercrime via Telegram. A Hudson Rock, provedora de inteligência em cibercrime, publicou recentemente um blog detalhando, em 31 de maio, como os atores de ameaças violaram a Snowflake. Isso incluiu uma conversa com o hacker responsável por quebras anteriores no Santander e no TicketMaster.
O blog, agora removido, revelou que o atacante acessou a conta de um funcionário da Snowflake no ServiceNow usando credenciais roubadas, contornando o OKTA. Uma vez dentro, gerou tokens de sessão para navegar pelos sistemas da Snowflake sem ser detectado e exfiltrou vastas quantidades de dados.
Autenticação de Um Fator: Uma Vulnerabilidade Crítica
A plataforma da Snowflake tem como padrão a autenticação de um fator, o que representa sérios riscos à segurança. Sua documentação afirma: “Por padrão, a MFA não está habilitada para usuários individuais da Snowflake.” Atores de ameaças têm dirigido seus ataques especificamente a usuários que dependem da autenticação de um fator, utilizando credenciais adquiridas por meio de malware. A CISA emitiu um alerta para todos os clientes da Snowflake.
Investigações da Snowflake, CrowdStrike e Mandiant revelam que atacantes acessaram contas de demonstração através das credenciais de um ex-funcionário. Essas contas, carecendo de medidas robustas de segurança como Okta ou MFA, proporcionaram um ponto de entrada nos sistemas da Snowflake. No entanto, a empresa afirma não haver evidências de uma falha ou quebra sistêmica em sua plataforma.
Quebras de Dados Generalizadas Impactando Milhões
Uma das maiores quebras na história do Santander comprometeu informações pessoais e de cartões de crédito de até 30 milhões de clientes. Ao mesmo tempo, 560 milhões de dados de clientes do TicketMaster foram exfiltrados em uma quebra separada, expondo nomes, endereços, e-mails, números de telefone e detalhes de cartões de crédito. O grupo hacker ShinyHunters tem vendido ativamente esses dados roubados no revivido BreachForums.
Além disso, outro usuário do BreachForums, Sp1d3r, afirmou ter obtido informações de duas empresas adicionais ligadas ao incidente da Snowflake. Isso inclui dados da Advanced Auto Parts, envolvendo 380 milhões de detalhes de clientes, e dos prestadores de serviços de crédito LendingTree e QuoteWizard, que, segundo relatos, contêm 190 milhões de perfis.
Respostas Proativas: Transparência nas Notificações de Quebras
Os CISOs e líderes de segurança reconhecem a importância da transparência ao divulgar eventos significativos de cibersegurança. Santander e TicketMaster relataram rapidamente o acesso não autorizado a seus bancos de dados em nuvem de terceiros.
A Live Nation, empresa mãe do TicketMaster, apresentou um relatório 8-K à SEC, informando que detectou atividade não autorizada em 20 de maio e iniciou uma investigação. O documento revelou que em 27 de maio, um hacker ofereceu dados supostamente da empresa para venda na dark web.
O Santander reiterou isso em sua declaração, confirmando o acesso não autorizado aos seus bancos de dados hospedados por provedores externos.
Repensando a Confiança: Aprimorando a Segurança de Identidade
A confiança dos atacantes em comprometer quase 600 milhões de registros destaca a necessidade crítica de reavaliar as estratégias de proteção de identidade. A dependência excessiva em métodos de autenticação aumenta a suscetibilidade a quebras.
Adotar uma abordagem de confiança zero, que assume que quebras podem já ter ocorrido, é fundamental. Setenta e oito por cento das empresas relatam que as quebras baseadas em identidade afetaram negativamente suas operações neste ano. Entre os afetados, 96% acreditam que a implementação antecipada de medidas de confiança zero baseadas em identidade poderia ter prevenido os incidentes.
O IAM (Gerenciamento de Identidade e Acesso) é central para a confiança zero e alinha-se às diretrizes do NIST SP 800-207. Além disso, a segurança de identidade é um aspecto chave da Ordem Executiva 14028 do Presidente Biden.
As organizações estão cada vez mais avaliando métodos avançados de autenticação para mitigar riscos. Apesar dos avanços, as senhas continuam a representar desafios significativos. Analistas da Gartner observam: "Apesar do advento da autenticação sem senha, as senhas persistem em muitos casos e continuam sendo uma fonte significativa de risco e frustração para os usuários."
Os CISOs estão focados em fortalecer os controles de autenticação, enfatizando o seguinte:
- Implementar rapidamente a autenticação contínua para cada identidade.
- Melhorar a higiene das credenciais e aumentar a frequência de rotação.
- Restringir os usuários a uma lista verificada de aplicativos para mitigar riscos.
- Utilizar sistemas de AM para monitorar todas as atividades relacionadas à identidade.
- Aprimorar o autoatendimento do usuário, BYOI, e expandir os casos de uso externos.
Para combater a crise de identidade, os CISOs exigem sistemas de autenticação sem senha que sejam fáceis de usar e se adaptem a qualquer dispositivo sem comprometer a segurança. As principais soluções incluem Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico e o Zero Sign-On (ZSO) da Ivanti.
Classificação
