Introdução: A Fronteira da Cibersegurança Mudou. Você está do lado certo?
Sua organização está preparada para enfrentar as ameaças de hoje? A realidade é alarmante: 90% das organizações enfrentaram pelo menos uma violação relacionada à identidade no último ano. Com o custo médio de uma violação de dados atingindo US$ 4,8 milhões, e 79% dessas violações diretamente ligadas à identidade, a questão fundamental é: sua organização está preparada para detectar e responder a um ataque que começa com uma única identidade comprometida?
A verdade é que a identidade é o novo perímetro de segurança. A migração para ambientes em nuvem e a consolidação do trabalho remoto tornaram os perímetros de rede tradicionais obsoletos, aumentando drasticamente a complexidade de monitorar e proteger a superfície de ataque de identidade.
Para enfrentar esses desafios modernos, a Sophos desenvolveu o Identity Threat Detection and Response (ITDR). Como parceiro especialista em Sophos, a SN Informática detalha a seguir como esta tecnologia protege o ativo mais crítico das empresas na atualidade: suas identidades.
1. O Novo Cenário de Ameaças: Por que a Identidade é o Alvo Principal?
Ferramentas de gerenciamento de identidade e acesso (IAM), como o Microsoft Entra ID, são poderosas, mas sua complexidade inerente as torna difíceis de gerenciar. Misconfigurações críticas podem expor toda a organização a ataques devastadores. De fato, 95% das organizações apresentam um erro crítico na configuração de identidade que pode facilitar o escalonamento direto de privilégios por um invasor.
Os cibercriminosos exploram ativamente essas complexidades. Eles implementam ataques sofisticados que utilizam identidades comprometidas para obter acesso não autorizado a dados e sistemas sensíveis, contornando as defesas tradicionais e operando de forma invisível dentro da rede.
2. Apresentando o Sophos ITDR: Defesa Proativa para o Perímetro de Identidade
Sophos ITDR (Identity Threat Detection and Response) é uma solução de software que melhora a postura de segurança ao monitorar continuamente os tenants do Microsoft Entra ID em busca de riscos e misconfigurações de identidade, ao mesmo tempo que fornece inteligência da dark web sobre credenciais comprometidas.
É importante notar que o Sophos ITDR é um complemento totalmente integrado ao Sophos MDR (Managed Detection and Response) e ao Sophos XDR (Extended Detection and Response), e não está disponível como um produto independente.
A solução protege tanto as identidades humanas (funcionários, convidados, fornecedores) quanto as identidades não humanas (aplicativos, service principals, contas de serviço), que representam um vetor de ataque crescente. Em poucos minutos após a configuração, o ITDR já fornece uma lista de achados priorizados e um Identity Risk Posture score (pontuação de postura de risco de identidade) com base nas exposições atuais.
3. Capacidades Essenciais do Sophos ITDR: Um Mergulho Profundo na Proteção
3.1. Redução da Superfície de Ataque de Identidade
O Sophos ITDR escaneia continuamente os ambientes do Microsoft Entra ID. A solução executa de forma automática e contínua mais de 80 verificações de postura de identidade para descobrir rapidamente os riscos. Esse processo identifica misconfigurações ou lacunas de segurança, fornecendo recomendações claras para correção e fortalecimento da postura geral.
3.2. Descoberta de Credenciais Vazadas e Roubadas
O ITDR monitora uma vasta gama de fontes na Dark Web, incluindo marketplaces como o Russian Marketplace e o Genesis market, sites TOR, canais públicos e ocultos do Telegram e arquivos de log de stealers. A escala do problema é imensa: o número de credenciais roubadas à venda em um dos maiores marketplaces da dark web mais que dobrou no último ano.
Para garantir que os achados sejam acionáveis e não apenas ruído, o ITDR segue um processo de validação rigoroso:
- Verifica se uma identidade ativa correspondente existe na organização.
- Determina quando a senha foi vazada pela primeira vez.
- Compara a data do vazamento com a data da última alteração de senha da identidade.
- Gera um achado somente se o vazamento ocorreu após a última alteração de senha.
Este processo rigoroso é fundamental para eliminar o ruído e a fadiga de alertas, garantindo que sua equipe de segurança se concentre apenas em ameaças de credenciais que são ativas, relevantes e representam um risco real e imediato.
O widget Credential Compromise resume as descobertas com as seguintes métricas:
- Sources: O número de fontes de vazamento únicas onde os dados foram observados.
- Plaintext Passwords: Vazamentos onde senhas em texto claro foram encontradas.
- Hashed Passwords: Vazamentos onde senhas em hash foram encontradas.
- Emails: O número de contas de e-mail únicas observadas nos vazamentos.
- Admin Emails: Contas com privilégios de administrador observadas em vazamentos.
- Unique Passwords: O número de senhas únicas ativas que foram observadas nos dados de vazamento.
3.3. Identificação de Comportamentos de Risco do Usuário
O ITDR monitora atividades anômalas de usuários associadas a credenciais roubadas, como padrões de login incomuns que podem indicar um comprometimento. Além disso, a ferramenta identifica contas dormentes, marcando usuários cujo último login ocorreu há mais de 90 dias. Essas contas inativas representam um risco de segurança significativo, pois muitas vezes não são monitoradas e podem ser exploradas por invasores.
3.4. Proteção Contra Ameaças Baseadas em Identidade
O Sophos ITDR protege contra 100% das técnicas de acesso a credenciais mapeadas no framework MITRE ATT&CK. Isso inclui a defesa contra uma ampla gama de ameaças, tais como:
- Comprometimento de credenciais
- Ameaças internas
- Tomada de controle de contas (Account Takeover)
- Ataques de força bruta
3.5. Aceleração da Resposta a Incidentes
Quando uma ameaça é detectada, a velocidade da resposta é crucial. O ITDR permite ações imediatas diretamente da plataforma:
- Desabilitar um usuário
- Forçar a redefinição da senha
- Bloquear uma conta
- Revogar uma sessão ativa
Quando combinado com o serviço Sophos MDR, essa capacidade é potencializada. Analistas de segurança especialistas podem executar essas ações de resposta em nome do cliente, fornecendo um serviço gerenciado 24/7 para conter ameaças de identidade em tempo real.
4. Medindo e Gerenciando o Risco: As Ferramentas do Sophos ITDR
4.1. O “Identity Risk Posture Score”: Seu Termômetro de Segurança
O Identity Risk Posture score é um indicador dinâmico que quantifica a saúde da sua segurança de identidade. É uma média ponderada baseada no número e no nível de risco dos achados abertos. A pontuação é atualizada diariamente, aumentando ou diminuindo conforme os achados são descobertos ou corrigidos.
As faixas de pontuação e suas classificações são:
- Critical: 75-100
- High: 50-74
- Medium: 25-49
- Low: 0-24
4.2. Gerenciando “Findings”: Da Detecção à Remediação
Um “Finding” (achado) é o resultado de uma verificação de postura realizada pelo ITDR. Cada achado recebe um nível de risco para ajudar na priorização:
- Critical, High, Medium, Low, Info: Achados críticos devem ser tratados imediatamente, pois representam um risco significativo para a organização.
Os achados podem ter três status:
- Open: O problema ainda existe e precisa de atenção.
- Resolved: O problema foi corrigido pela equipe de TI.
- Dismissed: O achado é um comportamento esperado no ambiente e não precisa ser tratado.
Eles são organizados em categorias que se alinham ao framework MITRE ATT&CK, garantindo uma cobertura abrangente e compreensível das táticas de ataque:
- User Behavior
- Configuration
- Entra Conditional Access Gaps
- Dormant Resources
- Lateral Movement
- Credential Compromise
- Persistence
- Privilege Escalation
- Defense Evasion
- Exfiltration
4.3. Visibilidade Total com o “My Environment”
A visão My Environment oferece um panorama completo de todas as identidades, grupos, dispositivos e aplicativos monitorados pelo ITDR. Para facilitar a identificação rápida dos atributos de cada conta, a ferramenta utiliza tags visuais.
| Tag | Descrição |
| Admin tag | A conta possui privilégios de administrador. |
| Guest tag | A conta pertence a um convidado no tenant. |
| Dormant Account tag | A conta não realiza login há mais de 90 dias. |
| Compromised tag | A conta possui um vazamento de credencial ativo. |
| MFA User tag | A conta tem a autenticação multifator (MFA) habilitada. |
| Locked User tag | A conta foi desabilitada. |
| Cloud Only tag | A conta existe apenas no provedor de identidade na nuvem, sem identificadores on-premise. |
| Hybrid tag | A conta contém identificadores on-premise, indicando que é sincronizada e pode acessar recursos tanto na nuvem quanto locais. |
5. O Poder do Ecossistema: ITDR + MDR
Tecnicamente, o Sophos ITDR integra-se com o Microsoft Entra ID e requer uma licença Entra ID P1 ou P2 para ter acesso a todas as suas funcionalidades.
A verdadeira força do ITDR é revelada quando combinado com o serviço Sophos MDR. A equipe do MDR utiliza o contexto de identidade do ITDR para enriquecer os dados de outras fontes, correlacionando um login suspeito com atividades em endpoints, servidores e firewalls. Isso transforma um simples alerta de identidade em uma investigação de ameaça completa e contextualizada, permitindo uma resposta muito mais rápida e precisa.
É crucial entender a divisão de responsabilidades para o sucesso da parceria: enquanto a nossa equipe MDR atua como sua linha de frente 24/7 contra ameaças ativas, a gestão contínua e a remediação de todos os findings de postura permanecem sob a responsabilidade da sua equipe. Este trabalho colaborativo é essencial para fortalecer proativamente sua defesa.
6. Por que a SN Informática Confia no Sophos ITDR para Proteger Seus Clientes
Como parceiro oficial da Sophos, a SN Informática possui a expertise validada para implementar e gerenciar soluções de segurança de identidade de ponta. Vemos o Sophos ITDR não apenas como um produto, mas como um componente crítico de uma estratégia moderna de cibersegurança que ajudamos nossos clientes a construir.
A solução é ideal para organizações com recursos de segurança limitados, ambientes de TI complexos com um grande número de usuários, ou aquelas que precisam provar a devida diligência para atender a regulamentações e melhores práticas de mercado.
7. Conclusão: Proteja Suas Identidades, Proteja Seu Negócio
A identidade é, sem dúvida, o novo perímetro de segurança. As defesas tradicionais já não são suficientes para proteger contra adversários que exploram credenciais e configurações falhas para se moverem livremente dentro das redes. O monitoramento proativo e a resposta rápida são essenciais.
O Sophos ITDR, integrado ao ecossistema Sophos, se apresenta como a solução definitiva para reduzir a superfície de ataque de identidade, detectar credenciais comprometidas antes que sejam usadas e permitir uma resposta rápida e eficaz a incidentes. Não espere que uma credencial vazada se torne a próxima violação de dados. Assuma o controle do seu perímetro de identidade e proteja o coração do seu negócio.
Sua Identidade é Seu Ativo Mais Valioso. Vamos Protegê-la Juntos.
Entre em contato com os especialistas da SN Informática para agendar uma demonstração e discutir como o Sophos ITDR pode fortalecer a postura de segurança da sua organização.
