Autenticação multifator (MFA) e restrições nas permissões de contas de usuários e fornecedores. Estas são algumas ações da política “confiança zero” sugerida pelo diretor de segurança de credenciais da Microsoft, Alex Weinert, que podem evitar ou minimizar os danos de possíveis ataques cibernéticos.

Segundo o diretor, até mesmo ataques mais sofisticados como o da SolarWinds podem ser evitados se algumas medidas protetivas forem adotadas. E para isso, a mentalidade de “confiança zero” é essencial.

publicidade

Isso significa que as organizações devem assumir possíveis vulnerabilidades e verificar constantemente a segurança das contas dos usuários, dispositivos endpoint, conexões de rede, etc.

“O primeiro princípio de ‘confiança zero’ é a verificação explícita — certifique-se de estender essa verificação a todas as solicitações de acesso, mesmo aquelas de fornecedores e especialmente aquelas de ambientes locais”, apontou Weinert.

publicidade

Caso SolarWinds poderia ser evitado

No caso da SolarWinds, por exemplo, os principais vetores de ataques cibernéticos utilizados foram as contas de usuários comprometidas, bem como as contas e software de fornecedores comprometidos.

Autenticação multifator
Autenticação de dois ou mais fatores poderiam ter dado maior proteção às contas comprometidas no ataque à SolarWinds. Imagem: Jirsak/Shutterstock

Um “bom exemplo” de explorações dessas brechas foi visto com a empresa Malwarebytes, uma das vítimas do ataque, que foi violada por meio da infraestrutura do Office 365 e do Azure, permitindo que os hackers acessassem um número limitado de e-mails internos.

publicidade

“Onde contas de usuário eram comprometidas, técnicas conhecidas como spray de senha, phishing ou malware eram usadas para comprometer as credenciais do usuário e fornecer ao invasor acesso crítico à rede do cliente”, afirmou Weinert.

No entanto, tudo isso poderia ser evitado com autenticação multifatorial (MFA), restrições de intervalo de IP, conformidade do dispositivo ou mesmo análises de acesso.

publicidade

Minimizando ações de cibercriminosos

Já em casos de tokens de SAML forjados para acessar recursos em nuvem, adotar permissões mais rígidas nas contas dos usuários pode ser uma ótima forma de combate.

A prática minimiza as ações do cibercriminoso — já que restringe o seu acesso ao ambiente, dispositivo ou rede comprometida —, mas infelizmente não foi observada em grande parte dos dispositivos afetados pelo ataque da SolarWinds.

O diretor reforça que a invasão por meio da rede da SolarWinds foi, de fato, complexa, mas os riscos poderiam ser significativamente menores caso as medidas protetivas tivessem sido adotadas. Que sirva como lição para evitar possíveis novos ataques.

Fonte: Security Blog (da Microsoft)