A agência de segurança cibernética dos EUA CISA e a NSA publicaram novas orientações sobre a implementação do gerenciamento de identidade e acesso (IAM), com foco nos desafios que os desenvolvedores e fornecedores enfrentam.
Lançada meio ano após orientação para administradores de IAM e destinada principalmente a grandes organizações (embora atenda também a pequenas empresas), a nova publicação – chamada Gerenciamento de identidade e acesso: desafios de desenvolvedores e fornecedores (PDF) – concentra-se nas melhores práticas para ajudar as organizações a reduzir o impacto das ameaças ao IAM.
O documento detalha técnicas que os agentes de ameaças normalmente usam, como a criação de novas contas para persistência, o controle de contas de funcionários, a exploração de vulnerabilidades para forçar a autenticação, a criação de pontos de entrada alternativos, o comprometimento de senhas, a exploração de credenciais padrão e a obtenção de acesso a sistemas para obter credenciais armazenadas. .
Como salienta o documento, foram observados agentes de ameaças iranianos a explorar vulnerabilidades do IAM para comprometer credenciais, aumentar privilégios e estabelecer persistência. O acesso obtido pode ser aproveitado para exfiltração e criptografia de dados e outras atividades maliciosas.
“A exploração de vulnerabilidades conhecidas do IAM pode permitir que um malfeitor tenha o mesmo acesso aos recursos que usuários legítimos, imitando atividades legítimas, o que complica a detecção do malfeitor. Isto dá ao malfeitor mais tempo para obter acesso aos recursos e elevar privilégios para obter acesso persistente”, explicam a CISA e a NSA.
As duas agências também observam que os agentes de ameaças têm sido observados explorando cada vez mais as funções de Single Sign-On (SSO) para obter acesso a recursos protegidos em toda a organização vítima.
“A defesa contra este amplo espectro de ataques requer uma solução IAM abrangente, com consciência operacional do ambiente para detectar anomalias e atribuir atividades anômalas a explorações adversárias”, diz a orientação.
Para mitigar as ameaças ao IAM, as organizações precisam se concentrar na governança de identidade, na proteção ambiental, na federação de identidade e no SSO, na autenticação multifatorial (MFA) e no monitoramento e auditoria do IAM, afirmam as duas agências.
Essas mitigações permitem que as organizações gerenciem melhor as contas dos usuários, seus privilégios e acesso aos recursos, protejam software e hardware em torno da solução IAM, simplifiquem o gerenciamento de identidades, melhorem a segurança das contas ao não depender apenas de senhas e combatam ameaças internas junto com as externas.
Ao implementar as melhores práticas de segurança no IAM, as organizações podem evitar ataques como phishing e engenharia social, a criação de novas contas para persistência, acesso não autorizado a dados e recursos confidenciais, preenchimento de credenciais e acesso indesejado de funcionários a recursos restritos.
A CISA e a NSA incentivam todas as organizações a rever as novas orientações e a implementar as mitigações recomendadas, quando aplicável, para avaliar a sua postura e os riscos do IAM, reforçar os seus ambientes e minimizar o impacto da exploração dos pontos fracos do IAM.
“A infra-estrutura crítica da América é um alvo principal para um amplo espectro de fontes de ameaças, incluindo ataques avançados e contínuos de Estados-nação e organizações terroristas. Estas ameaças são reais, contínuas e em evolução e a comunidade de segurança cibernética está especialmente preocupada com certas ameaças credíveis ao IAM e ao SSO”, observam a CISA e a NSA.