Empresas descobrem que monitoramento de violação não protege contra roubo de credenciais
Empresas reconhecem o roubo de credenciais como um risco crítico, mas falham em proteger-se adequadamente. Um estudo recente mostra que 85% das organizações consideram credenciais roubadas uma ameaça de alto impacto, porém apenas 32% utilizam soluções dedicadas para detectar e prevenir esse tipo de ataque. Essa desconexão é explorada por cibercriminosos que empregam infestealers - malwares que roubam senhas, cookies e tokens de sessão - para obter acesso persistente a sistemas corporativos. O custo médio de um incidente de violação de dados pode chegar a US$ 4,88 milhões.
As soluções tradicionais de segurança, como EDR (Detecção e Resposta de Endpoint) e arquiteturas zero-trust, possuem limitações significativas nesse contexto. O EDR foca em atividades maliciosas no endpoint, mas não monitora efetivamente o roubo de credenciais em trânsito ou em sessões autenticadas. O zero-trust, por sua vez, exige verificação contínua de identidade, mas falha quando o acesso ocorre a partir de dispositivos remotos não gerenciados, como laptops pessoais de funcionários. Esses dispositivos, frequentemente fora do controle do departamento de TI, são vetores ideais para infestealers.
A ameaça dos infestealers
Infestealers são programas projetados para coletar informações sensíveis de navegadores e aplicativos. Eles capturam senhas salvas, cookies de autenticação e até tokens de dois fatores, permitindo que atacantes realizem movimentos laterais na rede sem disparar alertas. A disseminação ocorre via phishing, downloads maliciosos ou extensões de navegador comprometidas. Uma vez instalados, operam em silêncio, exfiltrando dados para servidores controlados por criminosos.
O problema é agravado pelo aumento do trabalho remoto e híbrido, que multiplica o número de dispositivos não gerenciados conectados a recursos corporativos. Muitas vezes, esses dispositivos não possuem agentes de segurança ou estão mal configurados, tornando-se pontos cegos. Além disso, as credenciais roubadas podem ser usadas para acessar aplicações SaaS, onde o controle de segurança é compartilhado com o provedor, dificultando a detecção.
Soluções inadequadas
EDR e XDR são eficazes contra malware e ataques conhecidos, mas não foram projetados para rastrear o vazamento de credenciais em larga escala. Eles podem detectar a presença de um infostealer no endpoint, mas não necessariamente identificar quais credenciais foram comprometidas ou como estão sendo usadas. Já o zero-trust, embora seja uma filosofia robusta, depende de controles de acesso rigorosos que nem sempre são aplicáveis a dispositivos pessoais.
Algumas organizações adotam gerenciamento de acesso privilegiado e autenticação multifator, mas mesmo essas medidas podem ser contornadas se o dispositivo já estiver comprometido. A proteção de credenciais requer abordagens específicas, como monitoramento de vazamentos na dark web, detecção de anomalias no comportamento de login e criptografia de credenciais em repouso e em trânsito.
Necessidade de novas abordagens
A indústria de segurança está respondendo com soluções de proteção de identidade e detecção de ameaças de credencial. Essas ferramentas monitoram atividades de autenticação em tempo real, analisam padrões de acesso e alertam para logins suspeitos, mesmo de dispositivos não gerenciados. Além disso, há um movimento em direção a security service edge que unifica controles de acesso para aplicações em nuvem, independentemente do dispositivo.
No entanto, a adoção ainda é baixa. O estudo mostra que a maioria das empresas confia em controles perimetrais tradicionais e não investe em camadas adicionais de proteção de identidade. Isso é um erro estratégico, pois o roubo de credenciais é frequentemente o primeiro passo em ataques complexos, como ransomware e espionagem corporativa.
Impacto no mercado
O alto custo das violações - com média de US$ 4,88 milhões - deve forçar as organizações a revisarem seus orçamentos de segurança. Espera-se um crescimento no mercado de soluções de proteção de identidade e monitoramento de credenciais. Provedores de segurança como Microsoft, CrowdStrike e Palo Alto Networks estão expandindo suas ofertas nessa direção, mas há espaço para especialistas e startups.
Para as empresas, a lição é clara: a segurança não pode mais se concentrar apenas no endpoint ou na rede. A proteção de identidade e credenciais deve ser uma prioridade, especialmente em ambientes com dispositivos não gerenciados. A falha em fazer isso resultará não apenas em custos financeiros, mas em danos à reputação e perda de confiança dos clientes.
O estudo expõe uma vulnerabilidade sistêmica na segurança corporativa moderna. À medida que os ataques evoluem para explorar identidades, as defesas tradicionais se mostram insuficientes. A era do simples monitoramento de violação acabou; agora é necessário proteger proativamente as credenciais em todos os pontos de uso.