A detecção e resposta a ameaças de identidade (ITDR) é uma disciplina emergente de segurança cibernética que fecha as lacunas expostas pelos sistemas de gerenciamento de identidade e acesso (IAM).
As organizações despenderam esforços consideráveis para melhorar os recursos de IAM, mas muito disso se concentrou na tecnologia para melhorar a autenticação do usuário, o que na verdade aumenta a superfície de ataque para uma parte fundamental da infraestrutura de segurança cibernética. As ferramentas ITDR podem ajudar a proteger os sistemas de identidade, detectando ameaças quando eles estão comprometidos e permitir uma correção eficiente.
As ferramentas IAM existentes as desenvolveram como ferramentas de gerenciamento em vez de ferramentas de segurança. Eles não estão monitorando proativamente as violações de política ou configuração. Embora as ferramentas IAM possam ser usadas para auditar alterações após o fato, elas não conseguem detectar violações quase em tempo real.
O ITDR fornece uma camada necessária de segurança para reduzir riscos, identificar ameaças, ajudar na resposta e validar que os sistemas IAM não foram comprometidos.
Contra ameaças de identidade
No caso de um incidente de segurança ou violação de política, o ITDR gerará alertas e acionará ações em outro sistema para remediar o problema. Por exemplo, quando o ITDR detecta que uma identidade está sendo abusada, pode desencadear a remoção do privilégio dessa identidade.
A proteção contra ataques baseados em identidade requer a mitigação de riscos que permitem invasões de contas e escalonamento de privilégios em seus ambientes IaaS, SaaS e IAM. A detecção de contas e privilégios obsoletos, excesso de privilégios e outros riscos ocultos é o primeiro passo para a mitigação. Posteriormente, você pode remover esses riscos para limitar a capacidade de um ator mal-intencionado de explorar o acesso e causar danos.
É aqui que o monitoramento contínuo do ITDR de seus ambientes IaaS, SaaS e IAM permite que você detecte:
- Ataques de representação originados na infraestrutura de identidade
- Atividades de login suspeitas/anômalas
- Alterações potencialmente maliciosas em identidades e privilégios de acesso
- Escalonamentos de privilégio à medida que acontecem
- Táticas, técnicas e procedimentos (TTPs) de invasores conhecidos e desconhecidos com base em atividades observadas que afetam identidades, privilégios de acesso e ativos confidenciais (virtuais)
Depois que as equipes de segurança detectam atividades potencialmente maliciosas e enviam notificações, elas podem usar a identidade e acessar dados na plataforma ITDR para investigar incidentes de forma rápida e eficaz, automatizando muitos processos investigativos para economizar tempo e custo. Como todas as identidades, ativos, privilégios de acesso e atividades são mapeados e registrados na solução ITDR, os investigadores têm o contexto necessário na ponta dos dedos para avaliar e agir.
