Ano passado A Toyota sofreu uma violação de dados devido à exposição acidental de uma credencial que permite acesso aos dados do cliente em um repositório GitHub público.
Esse tipo de violação poderia ser evitado se as organizações voltassem seu foco para credenciais que são expostos em aplicativos SaaS. Conversamos com Corey O’Connor, diretor de produto da plataforma de segurança SaaS DoControl, sobre por que ele acredita que a segurança de identidade precisa ir além de apenas proteger as chaves.
BN: Como as organizações podem aumentar seu foco nas credenciais que são expostas em aplicativos SaaS?
CO: O uso de credenciais privilegiadas é comum em quase todos os ataques cibernéticos. Isso é bem compreendido. No entanto, é um desafio contínuo proteger as credenciais e identidades que têm acesso a elas, especialmente na realidade atual das iniciativas de transformação digital e da jornada para a nuvem. A ameaça do acesso humano e não humano aos dados corporativos torna-se um desafio em grande escala. Você tem mais sistemas e aplicativos que são acessados por várias identidades diferentes, tanto internas quanto externas, bem como não humanas, ou seja, integrações de aplicativo para aplicativo. Os dados são gerados e trocados em um volume significativamente alto. Isso aumenta a superfície de ataque de uma organização e a probabilidade de exfiltração de dados. A segurança torna-se um bloqueador que introduz débito técnico desnecessário para os negócios se não for navegado de forma eficaz.
Existem vários exemplos em que identidades de máquinas ou não humanas são introduzidas para ajudar a habilitar os negócios (ou seja, contas de serviço ou bots de software com tecnologias de Automação Robótica de Processos). As organizações precisam aumentar seu foco no acesso de usuários não humanos. Essas identidades e suas credenciais associadas geralmente são ignoradas pela equipe de segurança e podem ser um alvo atraente para os invasores obterem uma posição inicial. Por exemplo, o protocolo OAuth fornece uma maneira conveniente de um aplicativo se conectar a outro, mas quando esse acesso fica comprometido, ele pode fornecer acesso não autorizado a dados confidenciais no aplicativo ao qual está conectado. O risco de ataques baseados na cadeia de suprimentos envolvendo tokens OAuth e outras credenciais de identidade não humanas está se tornando comum.
BN: Por que vimos um aumento no risco interno negligente associado a credenciais privilegiadas e SaaS aplicativos?
CO: O aumento está relacionado ao que originalmente ajudou a moldar o novo normal com ambientes de trabalho híbridos e remotos. Para dar suporte aos negócios, havia uma combinação de diferentes dispositivos e aplicativos sendo aproveitados para que os usuários realizassem o trabalho. Você tem aplicativos relacionados ao trabalho instalados em dispositivos pessoais e vice-versa. Você então tem arquivos sendo acessados e compartilhados com contas de e-mail privadas. Nos primeiros dias da pandemia, houve um aumento na adoção de um novo Software como Serviço (SaaS) e outras tecnologias de nuvem para dar suporte aos negócios. Os CIOs queriam capacitar os negócios e não desacelerá-los. A expansão significativa de aplicativos SaaS e de dados foi um dos resultados negativos.
Do ponto de vista do usuário humano, você tem um problema de gerenciamento de dados e superexposição em um ambiente típico de SaaS–com centenas de aplicativos diferentes, milhares de e usuários externos e dezenas de milhares de arquivos. O erro humano ainda é tão prevalente e desafia todas as organizações. Comportamentos de risco interno que são deliberadamente maliciosos ou puramente negligentes precisam ser detectados, as pessoas certas precisam ser alertadas e a resposta apropriada precisa ser aplicada (ou seja, um funcionário que está saindo e compartilha listas de clientes com sua conta de e-mail particular).
De uma perspectiva de usuário não humano, você tem um aumento em aplicativos sancionados e não sancionados dentro da propriedade SaaS. Alguns desses aplicativos geralmente têm privilégios excessivos com escopos de permissão arriscados, podem não ter sido verificados pelo editor (ou seja, por meio do Marketplace dos fornecedores) e muitos não são aprovados internamente pelas equipes de TI/segurança. A mesma abordagem precisa ser aplicada para acesso não humano, onde você tem a capacidade de identificar comportamentos mal-intencionados, como atividades que indicam um ataque baseado na cadeia de suprimentos. Detecte atividades relacionadas a aplicativos de alto risco, como chamadas de API de gravação excessivas, execução de uma quantidade significativa de atualizações ou o servidor de aplicativos possui um endereço IP mal-intencionado conhecido. As equipes de TI/segurança devem ser notificadas e tomar as medidas adequadas para remover o token OAuth, suspender o aplicativo etc. Muitas dessas etapas precisam ser automatizadas para manter a continuidade dos negócios e uma forte postura de segurança.
BN: Como mais organizações adotam estratégias que priorizam a nuvem podem garantir que essas”chaves para o reino”não sejam maltratadas?
CO: Saber quem tem acesso e ao que é vitais aqui. Novamente, isso vale tanto para usuários humanos quanto para identidades de máquinas. É essencial criar um inventário completo de usuários, aplicativos, ativos, domínios, grupos etc. e ter uma compreensão do contexto de negócios por meio de rastreamento de comunicações, mapeamento e gráficos de relacionamento. O contexto de negócios é tão crítico para não desacelerar os negócios, e as equipes de segurança precisam ser capazes de entender o que é uma prática normal versus eventos que introduzem riscos materiais aos negócios. Caso contrário, você acabará com um número significativo de falsos positivos, afastando as equipes de segurança da identificação e resposta a eventos e ameaças. Aplicar o princípio do menor privilégio para usuários humanos e não humanos é uma maneira de apoiar uma forte postura de segurança para organizações que buscam uma estratégia de nuvem em primeiro lugar.
BN: Como as organizações podem se afastar da a mentalidade de segurança como uma reflexão tardia, especialmente porque os usuários continuam a compartilhar credenciais, deixando os dados expostos para cair em mãos erradas?
CO: É preciso haver controles mais rígidos sobre credenciais privilegiadas, tanto para humanos e usuários não humanos. Por exemplo, é muito comum que arquivos pem, chaves AWS e outras credenciais sejam compartilhados por desenvolvedores e administradores no Slack. Ter essas credenciais expostas indefinidamente no canal Slack é obviamente problemático. É preciso haver um equilíbrio entre o suporte aos negócios de uma forma que faça sentido do ponto de vista da segurança. Isso pode ser um desafio à medida que o negócio cresce e escala, e é por isso que a automação desempenha um papel crítico. A segurança precisa ser um facilitador de negócios.
BN: Que conselho você pode dar para reduzir o risco e ajustar a postura de segurança para garantir que as chaves não sejam maltratadas?
CO: Concentre-se em três coisas específicas: descobrir, monitorar e corrigir.
Descubra todos os aplicativos SaaS conectados à pilha principal de SaaS. Identifique problemas de não conformidade para todo o estado do aplicativo SaaS para garantir que as políticas de segurança sejam efetivamente aplicadas. Exponha um mapeamento completo de aplicativos SaaS para SaaS e um inventário abrangente de aplicativos próprios, secundários e de terceiros (ou seja, usuários instalados, acesso à unidade, permissões em toda a unidade e muito mais). Estabeleça um forte entendimento das plataformas, aplicativos e usuários SaaS de maior risco expostos dentro da propriedade SaaS. Habilite a Shadow IT por meio de análises de aplicativos com usuários de negócios para monitorar e controlar o ambiente SaaS. Atribua um índice de risco a cada aplicativo para permitir a análise e avaliação da propriedade SaaS. Crie fluxos de trabalho e políticas de pré-aprovação que exijam que os usuários finais forneçam uma justificativa comercial para integrar novos aplicativos. Coloque aplicativos suspeitos em quarentena, reduza permissões excessivamente excessivas e revogue ou remova aplicativos ou acesso. Dessa forma, os usuários podem ser produtivos sem introduzir riscos desnecessários. A correção precisa ser automatizada em determinados casos. Como a aplicação da política de segurança em toda a pilha de aplicativos SaaS que impede o uso de aplicativos não sancionados ou de alto risco e corrige o risco potencial que esses aplicativos podem expor (ou seja, tokens inválidos, permissões extensas ou não utilizadas, aplicativos listados versus não listados, etc.). A implementação de fluxos de trabalho de segurança automatizados reduzirá a exposição a riscos relacionados à interconectividade entre aplicativos (ou seja, suspenderá ou removerá automaticamente possíveis aplicativos mal-intencionados).
Crédito da foto: Alexander Supertramp/Shutterstock