Compromised Credentials: Everything You Need to Know

O comprometimento de credenciais ocorre quando as chaves de acesso de uma conta legítima são roubadas e usadas por invasores. Isso representa um grande risco para qualquer recurso conectado à conta de outra forma confiável e oferece aos atacantes uma base para desencadear ataques de longo prazo e altamente complexos.

Em um ataque, várias instâncias de comprometimento de credenciais podem ser agrupadas à medida que o agente mal-intencionado passa de uma conta de nível inferior para uma administrativa.

Detectar o comprometimento das credenciais é a única maneira de interromper um ataque com antecedência.

Solicite uma demo Saiba mais

Como as credenciais são comprometidas?

Vamos definir completamente as credenciais: a maioria das pessoas presume que elas são apenas a combinação de senha/nome de usuário na qual a maioria dos serviços normalmente confiava, mas o mundo das credenciais está mudando rapidamente.

A biometria e as chaves de acesso sem senha estão se tornando cada vez mais populares, e o aumento da autenticação multifatorial (MFA) nos deu uma lista cada vez maior de opções para proteger suas contas e dados.

Isso oferece aos atacantes maneiras novas e empolgantes de roubar essas credenciais.

Ataque comportamental

Tradicionalmente, as formas mais bem-sucedidas de obter e-mails e senhas têm sido por meio de outras violações de dados (que podem fornecer e-mails e, ocasionalmente, senhas em texto simples) e ataques de phishing.

O sucesso do roubo de credenciais de violação de dados depende muito de:

  • O mau hábito do usuário final de reutilizar senhas
  • Falha ao alterar as credenciais administrativas

Os e-mails de phishing levam as vítimas a uma página de login falsa. Idênticas às suas contrapartes legítimas, essas telas de login falsas enviariam as credenciais para o próprio banco de dados do atacante. Embora ambos ainda estejam em alta, as defesas de phishing das organizações estão diminuindo a taxa de roubo de credenciais por phishing.

Em seu lugar, há um avanço em keyloggers e ataques de força bruta.

Ataques técnicos

Os keyloggers já existem há muito tempo: uma vez instalados, eles rastreiam as principais entradas de um usuário e as enviam para um servidor C2. Não são apenas as senhas que são coletadas: recursos confidenciais e comunicações internas podem ser copiados. Os ataques de força bruta costumavam ser um bot inserindo manualmente qualquer combinação potencial de letras e números — preenchimento de credenciais — na esperança de inserir cegamente a combinação correta.

Como os keyloggers, no entanto, os ataques de força bruta evoluíram...

O Kerberoasting é um exemplo de força bruta inteligente: o protocolo Kerberos é usado pelo serviço de autenticação do Windows para garantir que o usuário tenha acesso ao servidor que está solicitando. Se um usuário tiver a chave de acesso do ticket Kerberos, ele receberá acesso ao servidor

(Independentemente de eles terem o e-mail ou a senha de uma conta subjacente.)

Nos ataques Kerberoasting, um invasor rouba esses tíquetes criptografados e, em seguida, executa as chaves de criptografia com ataques de força bruta ou baseados em dicionário. Eles precisam de uma base inicial de permissões para solicitar tickets Kerberos, o que significa que o Kerberoasting geralmente começa depois que uma conta de nível inferior é comprometida.

Isso torna o Kerberoasting uma opção popular para escalonamento de privilégios.

Como detectar credenciais comprometidas

Para detectar credenciais comprometidas, as organizações usam sistemas User Entity and Behavioral Analytics (UEBA) para monitorar a atividade do usuário e identificar comportamentos incomuns que podem sinalizar ameaças à segurança.

As soluções da UEBA coletam e analisam dados de fontes, como:

  • rede dispositivo
  • SISTEMAS OPERACIONAIS
  • Aplicativos

Eles fazem isso para estabelecer uma linha de base para o comportamento típico do usuário ao longo do tempo. Quando a atividade se desvia desses padrões estabelecidos, isso pode indicar um possível comprometimento da credencial ou da conta.

As plataformas de gerenciamento de eventos e informações de segurança (SIEM) também desempenham um papel fundamental na detecção de contas comprometidas. Ao coletar e analisar os registros de segurança de toda a organização, as ferramentas SIEM correlacionam eventos para sinalizar comportamentos suspeitos, como:

  • Tentativas de login incomuns
  • Anomalias de localização
  • Escalonamentos de privilégios não autorizados

(o que pode indicar um violação de segurança.)

O monitoramento contínuo das contas de usuários e das atividades de autenticação é essencial para identificar possíveis comprometimentos precocemente, permitindo que as organizações respondam rapidamente para mitigar os riscos.

Impeça o comprometimento de credenciais com o Check Point Harmony

O Check Point Harmony impede a reutilização de senhas e detecta o roubo de credenciais, combinando restrições baseadas em políticas com detecção avançada de anomalias.

A política Secure Browser Access da Check Point permite que os administradores impeçam a reutilização de senhas, definindo domínios corporativos específicos onde a reutilização de senhas é proibida. Depois que esses domínios protegidos forem configurados e sincronizados com a extensão do navegador do usuário, o sistema capturará e armazenará localmente uma versão com hash da senha (usando SHA-256 com HMAC) quando um usuário inserir credenciais para um desses domínios designados.

Ao armazenar esse hash de senha, a extensão pode detectar se a mesma senha é reutilizada em um domínio diferente e não protegido.

Se a reutilização de senha for detectada, o sistema iniciará uma resposta pré-configurada, como:

  • Registrando o incidente
  • Alertando o usuário

Essa abordagem permite que domínios fora do Active Directory sejam protegidos.

Para detectar credenciais comprometidas, a Check Point usa um mecanismo de Detecção de Anomalias que identifica padrões de atividade incomuns em usuários legítimos. O sistema cria perfis de usuário com base em horários de login, locais, transferências de dados e comportamento de e-mail para estabelecer uma linha de base do comportamento típico.

Se um desvio significativo começar a surgir, cada ação anômala é analisada e avaliada pela gravidade: eventos “críticos” indicam uma alta probabilidade de comprometimento da conta e exigem investigação imediata, colocando-os no topo dos fluxos de trabalho das equipes de segurança.

Não são apenas os sistemas analíticos que são automatizados... 

O sistema Harmony Email & Collaboration pode iniciar alertas com base em uma inspeção dos e-mails recentes do usuário nas últimas horas. Seu mecanismo Anti-phishing avalia de perto todos os possíveis links ou e-mails do phishing e, se a inspeção revelar alguma comunicação de alto risco, o mecanismo poderá colocar em quarentena todos os e-mails ou ações adicionais.

Se o senhor precisar dos recursos oferecidos por isso, mas não tiver a mão de obra necessária, dê uma olhada nos serviços de gerenciamento de riscos externos da Check Point.

Essa abordagem abrangente, combinando prevenção de reutilização de senhas e detecção sofisticada de anomalias, ajuda a proteger as credenciais e, ao mesmo tempo, permite uma resposta rápida a qualquer incidente de segurança detectado. Se o senhor estiver preocupado com as atividades em sua rede corporativa, entre em contato com um especialista em segurança hoje mesmo.

Iniciar

Prevenção de controle de conta

Harmony Browse

Harmony Email & Collaboration

ThreatCloud

Tópicos relacionados

O que é Preenchimento de Credenciais?

O que é Segurança na Web?

O que é filtragem da Web?

O que é filtragem de URL?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK