Partilhar via

Eliminar o movimento lateral de identidade (Iniciativa Futuro Seguro)

Nome do pilar: Proteja os locatários e isole os sistemas de produção
Nome do padrão: elimine o movimento lateral da identidade

Eliminar o movimento lateral de identidades é um foco central no pilar de proteger locatários e isolar sistemas de produção da Iniciativa Futuro Seguro (SFI). Este pilar foca em minimizar o impacto potencial de incidentes de segurança por meio de forte isolamento de inquilinos, segmentação e redução da superfície de ataque.

Contexto e problema

O movimento lateral de identidade é uma tática que os atores de ameaça usam para explorar as credenciais comprometidas, movendo-se entre sistemas e elevando privilégios. Ao contrário de ataques de força bruta ou exploits baseados em malware, o movimento lateral baseado em identidade pode se misturar com o comportamento legítimo do usuário, tornando difícil de detetar e ainda mais difícil de parar sem um forte acesso à governança.

Ataques recentes, como o Midnight Blizzard, demonstraram como o movimento lateral pode ser ativado através de contas negligenciadas, acesso de convidados externos ou pontos de transição criados por aplicações Entra multitenant. Esses cenários ignoram as defesas tradicionais e permitem que os agentes de ameaças ultrapassem os limites organizacionais.

Uma vez lá dentro, os atacantes muitas vezes:

  • Segmente contas privilegiadas para escalar o acesso

  • Transitar entre locatários ou serviços usando credenciais partilhadas

  • Abuse de permissões de aplicativos ou funções mal configuradas

  • Permanecer não detetado imitando o comportamento normal do locatário

Solução

Combinados, os seguintes esforços evitam que contas ou aplicações comprometidas se tornem trampolins para movimentações laterais dentro ou entre inquilinos.

  • Criação de uma norma de segmentação de locatários que permite à Microsoft categorizar locatários em camadas e definir a direção válida para a criação do principal de serviço.

  • Mover fluxos de trabalho e cenários de suporte ao cliente para um tenant dedicado para reduzir o risco de movimento lateral.

  • Sair dos protocolos de autenticação herdados e, em vez disso, impor MFA resistente a phishing para todos os usuários, incluindo contas de convidados.

  • Segmentação do acesso por conformidade do dispositivo, localização e nível de risco usando políticas de acesso condicional.

  • Implementação de privilégios mínimos com controles de acesso baseados em funções (RBAC) e atribuição de funções com limite de tempo.

  • Substituição de credenciais de aplicativo baseadas em senha por identidades gerenciadas e armazenamento seguro de chaves.

  • Bloqueando todas as solicitações de autenticação de usuário convidado externo, exceto explicitamente aprovadas, para aplicativos Entra confidenciais.

Orientações

As organizações podem adotar um padrão semelhante usando as seguintes práticas acionáveis:

Caso de uso Ação recomendada Recurso
Reforçar a autenticação
  • Exigir MFA resistente a phishing para todos os usuários, incluindo convidados
  • Bloquear autenticação herdada e aplicar políticas de Acesso Condicional
  • Monitore a dark web em busca de vazamentos de credenciais e imponha a higiene de senhas para os usuários
 Documentação do Microsoft Entra Conditional Access
Controlar o acesso privilegiado
  • Use o Microsoft Entra Privileged Identity Management (PIM) para aplicar acesso em tempo adequado e suficiente
  • Implemente estações de trabalho de administração seguras (SAWs) para separar a atividade administrativa do uso diário
  • Limitar funções de administrador a aplicativos, grupos ou locatários específicos usando Unidades Administrativas de Gerenciamento Restrito (RMAU)
 O que é o Microsoft Entra Privileged Identity Management?
Ambientes de segmento
  • Ambientes de produção e não produção separados no nível do locatário e do dispositivo
  • Aplicar segmentação de rede no Azure usando VNets (redes virtuais), sub-redes e Grupos de Segurança de Rede (NSGs)
  • Aplicar políticas baseadas no contexto da identidade para acesso a recursos
 Visão geral dos grupos de segurança de rede do Azure
Atenuar pontos de pivô
  • Prefira registros de aplicativo de locatário único quando o acesso entre locatários for desnecessário
  • Revisar e restringir o acesso de aplicativos multilocatários e entidades de serviço
  • Desativar o grupo Todos os Usuários do Entra e aplicar Revisões de Acesso para eliminar contas de convidados
Monitore e detete movimentos
  • Use o Microsoft Sentinel para detetar escalonamento de privilégios anômalo, acesso a arquivos ou comportamento de identidade
  • Integre os sinais de risco do Entra ID e a análise do comportamento do usuário para deteção precoce de ameaças
  • Configurar alertas para consentimentos de aplicativos externos, contas inativas e alterações repentinas de privilégios
 Documentação do Microsoft Sentinel

Resultados

Benefícios

  • Caminhos de pivô reduzidos: Os utilizadores convidados e as aplicações multitenant estão estritamente definidas e são monitorizadas ativamente.

  • Gerenciamento de acesso privilegiado mais forte: As contas de administrador operam em contextos seguros (por exemplo, estações de trabalho de administração seguras).

  • Deteção melhorada: Identificar e monitorizar anomalias comportamentais e eventos de alto risco.

  • Controlo orientado por políticas: O acesso condicional e as ferramentas de governança de identidade impõem a separação de identidade e os limites de atividade.

Compensações

A implementação requer:

  • Coordenação entre várias equipes de segurança e identidade para aplicar o Acesso Condicional e controles de aplicativo

  • Aplicação de políticas de autenticação mais rígidas, que afetaram o acesso de convidados e os fluxos de trabalho de colaboração

  • Migração de aplicativos herdados que usam senhas ou segredos fracos

  • Investimento em ferramentas de governança para automatizar avaliações e gerenciamento do ciclo de vida de aplicativos, usuários e acesso de convidados

Principais fatores de sucesso

Monitore os seguintes KPIs:

  • Redução de usuários convidados com acesso elevado ou em grupo

  • Número de políticas de Acesso Condicional ativas aplicadas a aplicativos e funções de administrador

  • Cobertura de MFA em todos os tipos de identidade

  • Frequência de eventos de resposta a incidentes relacionados com a identidade

  • Porcentagem de ações privilegiadas originadas de dispositivos seguros e segmentados

  • Volume de tentativas de autenticação entre locatários bloqueado

Resumo

Quando os agentes de ameaças podem se mover lateralmente pela rede, eles podem acessar ativos digitais confidenciais, violar dados e interromper operações. Usando credenciais roubadas, eles podem elevar seus privilégios e manipular sistemas de back-end para fins maliciosos. Este tipo de movimento lateral é difícil de detetar porque se parece com o comportamento padrão do usuário.

Comece a eliminar os caminhos para o movimento lateral de identidade hoje mesmo — e proteja todos os caminhos de acesso, aplicativos e contas contra invasões silenciosas.

  • Last updated on