Como automatizar a resposta a violações de credenciais

Quando as empresas implementam soluções de automação de segurança de baixo código, Eles têm a oportunidade de amadurecer como equipe de segurança, expandindo a capacidade de ação para além do centro de operações de segurança (SOC). Isso significa que eles automatizam casos de uso que vão além dos casos básicos de orquestração, automação e resposta de segurança (SOAR), como phishing. Quando as equipes de segurança transferem o trabalho de alto volume para outras áreas, elas conseguem automatizar processos de segurança relacionados a identidade, gerenciamento de riscos, rede, privacidade, DevOps e muito mais.

Um cliente da Swimlane, que chamarei de Banco Mega, melhorou sua postura de risco automatizando a resposta a comprometimentos de credenciais para prevenir fraudes. Esse caso de uso surgiu de uma situação em que detectaram uma tentativa de fraude por transferência bancária. Ao automatizar completamente a investigação e a resposta a comprometimentos de credenciais, o Banco Mega reduziu significativamente o tempo de permanência da vulnerabilidade, melhorou sua postura de risco e economizou tempo dos analistas. Somente com a automação de comprometimentos de credenciais e phishing, clientes como o Banco Mega geralmente economizam o equivalente a um funcionário em tempo integral.

O evento de fraude em transferências bancárias

Um cliente do Bank Mega relatou ter recebido uma fatura por e-mail, solicitando o redirecionamento do pagamento. Felizmente, o cliente percebeu que o e-mail era uma tentativa de phishing e, portanto, não efetuou o pagamento. Em vez disso, entrou em contato com o Bank Mega e enviou uma avaliação de segurança de fornecedores atualizada e mais completa, utilizando credenciais que haviam sido expostas em um site de despejo de dados na Dark Web.

Automação de segurança de baixo código para monitoramento de credenciais

O Bank Mega sabia que precisava de uma solução gerenciável para garantir que ele e seus clientes não fossem expostos novamente a possíveis fraudes em transferências eletrônicas como essa. Para fortalecer sua segurança, eles assinaram um serviço de monitoramento de comprometimento de credenciais, por meio de Futuro gravado, que eles integraram com Pista de natação, sua ferramenta de automação de segurança de baixo código.

Swimlane e Demo Futuro Gravado

Esse Swimlane e demonstração do Futuro Gravado Nosso cofundador e diretor de estratégia, Cody Cornell, e nosso diretor de arquitetura de soluções, Bryon Page, mostram como esse caso de uso funciona em 5 etapas simples.

1. Domínio recuperado

Banco Mega alavancado O plugin de API do Recorded Future e a segurança de baixo código do Swimlane Plataforma de automação para escanear identidades e domínios específicos que precisam ser monitorados. Agora, as varreduras em busca de tentativas de roubo de credenciais ocorrem automaticamente a cada 24 horas. O sistema Swimlane classifica os resultados como baixo, médio, alto ou crítico, com base na identidade encontrada.

2. Identidade Investigada

Uma das maneiras pelas quais a Swimlane enriquece a inteligência de ameaças da Recorded Future sobre credenciais comprometidas é consultando o Sistema de Gestão de Recursos Humanos (HRMS) do Bank Mega para determinar se as credenciais comprometidas pertencem a um usuário ativo ou ex-funcionário. Se a Swimlane identificar que o comprometimento envolve um usuário ativo, ela consulta o provedor de Gestão de Identidade e Acesso (IAM) do Bank Mega para determinar a quais sistemas ou aplicativos o usuário tem acesso. Ela obtém essa informação com base no perfil do usuário, se ele é administrador de sistemas, profissional de RH, jurídico, colaborador individual, etc. Essas descobertas são um exemplo de como a Swimlane avalia a criticidade do comprometimento de credenciais.

3. Hash da senha validado

Simultaneamente a isso, o Swimlane executa outras consultas para investigar se as credenciais comprometidas são válidas. Ele faz isso analisando os hashes extraídos de diversas fontes, como a Dark Web ou listas de coleções, para verificar se o hash é válido.

4. Notificação do Slack enviada

Nos casos em que a vulnerabilidade afeta um funcionário atual e as credenciais são confirmadas como válidas, o Bank Mega não quer esperar que o analista resolva o problema. Por isso, utiliza o Swimlane para enviar uma mensagem automática ao usuário via Slack, informando que suas credenciais serão redefinidas em 30 minutos. Mensagens automáticas também podem ser enviadas por e-mail ou SMS.

5. Redefinição de senha

Em seguida, conforme indicado na notificação do Slack, o Swimlane redefine a senha em 30 minutos. Essa ação conclui o fluxo de trabalho e resolve efetivamente a violação de credenciais.

Resultados que reduzem o risco de terceiros

O vídeo de demonstração mostra o valor do monitoramento de credenciais para os próprios funcionários do Bank Mega. Cada vez mais, vemos clientes aplicando esse caso de uso para monitorar credenciais pertencentes a provedores de serviços ou parceiros terceirizados. Esses parceiros geralmente têm acesso a ambientes corporativos, como portais de fornecedores e parceiros. Quando as empresas adicionam parceiros à sua lista de monitoramento, elas podem reduzir significativamente o risco de terceiros associado à interconexão de sistemas.

Entre em contato conosco aqui. Para saber mais sobre como o Swimlane e o Recorded Future trabalham juntos para automatizar seus casos de uso de inteligência de ameaças, clique aqui.

Destaque da integração: Módulo de Inteligência de Identidade Futura Gravado

Monitoramento, avaliação e resposta a vazamentos de credenciais

Ler mais