O que é um ataque baseado em credenciais?
O roubo de credenciais, o primeiro estágio de um ataque baseado em credenciais, é o processo de roubo de credenciais. Os atacantes geralmente usam phishing para roubo de credenciais, pois é uma tática bastante barata e extremamente eficiente. A eficácia do phishing de credenciais depende da interação humana em uma tentativa de enganar os funcionários, ao contrário do malware e das explorações, que dependem de pontos fracos nas defesas de segurança.
O roubo de credenciais corporativas geralmente é um esforço direcionado. Os invasores vasculham sites de mídia social como o LinkedIn, procurando usuários específicos cujas credenciais concederão acesso a dados e informações críticas. Os e-mails e sites de phishing utilizados no roubo de credenciais corporativas são muito mais sofisticados do que os utilizados no roubo de credenciais de consumidores. Os atacantes se esforçam muito para fazer com que esses e-mails e sites pareçam quase idênticos aos aplicativos e comunicações corporativos legítimos.
É nessa fase de ataques baseados em credenciais que o treinamento de conscientização de segurança desempenha um papel como a primeira linha de defesa. Infelizmente, não há garantia de que os funcionários identificarão uma tentativa de phishing em 100% das vezes. Para minimizar o roubo de credenciais, as credenciais corporativas devem ser limitadas a aplicativos aprovados e o uso deve ser bloqueado em aplicativos e sites improváveis ou desconhecidos. Os produtos de segurança devem ser capazes de impedir que as credenciais corporativas deixem a rede da organização e que sejam enviadas a sites mal-intencionados.
O que é abuso de credenciais?
O abuso de credenciais, o ponto final de um ataque baseado em credenciais, é o uso real de senhas comprometidas para autenticar aplicativos e roubar dados.
Quando um invasor obtém credenciais e senhas de usuários, ele pode vendê-las no submundo do crime cibernético ou usá-las para comprometer a rede de uma organização, contornando todas as medidas de segurança para manter um adversário fora, mover-se lateralmente dentro da rede e roubar dados.
Em um ambiente não segmentado, um invasor pode se mover livremente pela rede de uma organização. Se o ambiente for segregado e oferecer visibilidade dos usuários e aplicativos, medidas de segurança poderão ser implementadas para evitar que um invasor se desloque lateralmente e obtenha acesso a dados críticos.
Quando um invasor tem as credenciais para operar como um usuário válido, há muito pouco que pode ser feito para identificar um invasor e validar se esse usuário é realmente a pessoa que suas credenciais afirmam ser. As organizações geralmente implementam a autenticação multifator nos aplicativos para exigir que os usuários validem sua identidade mais de uma vez. No entanto, fazer isso para cada aplicativo individual usado na organização não é dimensionável. A implementação da autenticação multifatorial baseada em políticas na camada da rede, ou seja, no firewall, fornecerá a escala necessária e a facilidade de uso para o usuário final.
A Palo Alto Networks Next-Generation Security Platform interrompe o ciclo de vida do ataque baseado em credenciais em vários lugares, desde o roubo de credenciais até o abuso das credenciais roubadas. Os recursos de prevenção combinados do Next-Generation Firewall, Threat Prevention, WildFire e URL Filtering impedem ataques conhecidos e desconhecidos usados para roubo e abuso de credenciais, enquanto o GlobalProtect estende as proteções da plataforma para forças de trabalho móveis e fornece medidas adicionais para identificar usuários e dispositivos que estão acessando aplicativos.
