Novos recursos do Microsoft Entra reforça a proteção de identidade

Na grande maioria dos casos de invasão de sistemas sempre há identidades comprometidas. De todas as maneiras pelas quais um agente mal-intencionado pode invadir um patrimônio digital, o comprometimento da identidade ainda é o mais comum, o que torna a proteção da identidade a primeira linha de defesa. No blog da companhia, Joy Chik, presidente de Identidade e Acesso à Rede da Microsoft, contou sobre as novas funcionalidades do Microsoft Entra.

“No recente evento Microsoft Secure, compartilhei maneiras de fortalecer as defesas de identidade usando as inovações mais recentes que estamos oferecendo no Microsoft Entra. Isso inclui novos controles de governança e proteções de acesso em tempo real para ajudar a proteger identidades e os recursos que elas acessam”, comentou.

Segundo o executivo, boas práticas de identidade começam durante a integração do funcionário, um processo que muitas vezes frustra administradores de TI e usuários. O objetivo da integração é dar aos novos usuários o acesso certo aos recursos certos pelo tempo certo – aderindo ao princípio Zero Trust de “acesso com privilégios mínimos” – no primeiro dia. No entanto, a integração tradicional ainda requer muita papelada redundante e formulários online, que exigem revisão e aprovação manuais antes que novos usuários possam começar a trabalhar e obter acesso aos recursos. Isso pode atrasar a contratação e aumentar o tempo de aceleração.

“Oitenta e dois por cento das organizações pesquisadas pela Microsoft desejam uma maneira melhor – e menos manual – de fazer a verificação de identidade, e agora elas têm uma. Microsoft Entra Identity Governance e Microsoft Entra Verified ID agora trabalham juntos para simplificar a integração. Em vez de passar semanas coletando e verificando a documentação pré-contratação, como certificações educacionais e do setor, as organizações podem validar tudo digitalmente usando credenciais de ID verificadas emitidas por autoridades confiáveis”, explicou Chik.

“Ao usar o gerenciamento de direitos no Identity Governance para criar um pacote de acesso com aplicativos específicos e configurações de expiração, agora você pode exigir uma ID verificada como parte do fluxo de trabalho de aprovação. Com o gerenciamento de direitos, você pode tornar o processo de integração totalmente digital e de autoatendimento, sem necessidade de administrador. Novos usuários recebem um e-mail automático de boas-vindas com um link para o portal My Access. Depois que eles compartilham a ID verificada necessária e o gerente aprova a solicitação de acesso, eles obtêm todas as permissões de acesso ao local de trabalho de uma só vez. Quando suas permissões expiram, eles podem facilmente provar sua identidade novamente usando sua ID verificada sem passar por um longo processo de renovação”, observou Chik.

Esse processo simplificado de integração é mais rápido, seguro e consome menos recursos. As organizações gastarão menos tempo validando credenciais em papel e aprovando solicitações de acesso manualmente e mais tempo colaborando e inovando. Além disso, outros recursos de controle de identidade, como a automação de tarefas de entrada, saída e transferência de rotina, ajudam a manter as permissões do tamanho certo ao longo do tempo.

Novas proteções de acesso

Uma vez que um novo usuário está a bordo, o Microsoft Entra ajuda a proteger o acesso. Isso começa com controles proativos, como a aplicação da autenticação multifator. “As fortes defesas de login tornam você menos atraente – e menos vulnerável – para a maioria dos invasores, que não possuem a proeza técnica, o financiamento ou os recursos de grupos mais sofisticados. Os ataques de credenciais são os mais comuns porque custam relativamente pouco para serem executados, mas você pode interrompê-los com a autenticação multifator. Nossos dados mostram que mais de 99,9% das contas comprometidas não têm a autenticação multifator habilitada”, informou Chik.

No entanto, invasores sofisticados estão tentando contornar a autenticação multifator com técnicas como SIM jacking e ataques de fadiga de autenticação multifator. Para combater essas técnicas, o Microsoft Entra oferece suporte a métodos de autenticação multifator resistentes a phishing. Isso inclui opções sem senha, como Windows Hello for Business e chaves de segurança FIDO2. A autenticação baseada em certificado também está disponível para organizações padronizadas nela.

Outros recursos

Segundo chik, os recursos resistentes a phishing no Microsoft Authenticator fortalecem ainda mais as defesas de autenticação multifator. A correspondência de números exige que os usuários insiram um número exibido na tela de login, dificultando a aprovação acidental de uma solicitação. Para ajudar os usuários a confirmar que estão aprovando uma solicitação de acesso feita por eles (e não por um invasor), o contexto do aplicativo mostra em qual aplicativo eles estão entrando, enquanto o contexto de localização exibe o local de login com base no endereço IP do dispositivo

E agora, com os pontos fortes da autenticação de acesso condicional, os administradores podem definir políticas sobre a força da autenticação multifator necessária e basear essa política na confidencialidade dos aplicativos e recursos que um usuário está tentando acessar. “Em conjunto, estamos estendendo a autenticação multifator resistente a phishing para mais cenários. Por exemplo, você pode exigir autenticação multifator resistente a phishing para máquinas virtuais do Microsoft Azure para proteger entradas remotas e fornecer cobertura de ponta a ponta para ambientes de desenvolvimento, teste e produção. Você também pode exigi-lo para usuários externos e para usuários que precisam se mover entre diferentes instâncias de Nuvem da Microsoft para colaborar, por exemplo, entre Nuvens governamentais e comerciais.

Além disso, com acesso condicional para ações de alto risco, agora vé possível exigir autenticação multifator resistente a phishing para ações confidenciais, como modificar políticas de acesso e, em breve, adicionar uma nova credencial a um aplicativo ou alterar a configuração de confiança federada. Também é possível restringir ações de alto risco com base na conformidade ou localização do dispositivo.

Prevenindo o movimento lateral

Depois que um novo usuário entra, o Microsoft Entra ajuda a assumir uma postura proativa de “assumir violação” para proteger as credenciais e evitar movimentos laterais. Isso é essencial porque os ataques pós-autenticação, como roubo de token por meio de malware, mineração de logs mal configurados e comprometimento da infraestrutura de roteamento, estão aumentando.

Os invasores reproduzem tokens roubados para representar um usuário autenticado. Assim como os ladrões copiam um número de cartão de crédito ou leem seu código RFID e depois saem às compras até que o banco perceba e suspenda o cartão, os invasores roubam tokens para acessar seus recursos digitais – e causam muitos danos – até que o token expire .

Novos recursos no Microsoft Entra 

A aplicação estrita de políticas de localização permite que os provedores de recursos usem a avaliação de acesso contínuo (CAE) para revogar imediatamente os tokens que entram em conflito com as políticas de localização. Até agora, um token roubado poderia permanecer válido por uma hora ou mais, mesmo se um invasor tentasse reproduzi-lo fora do intervalo de localização permitido pela política.

Exchange Online, SharePoint e Microsoft Graph agora podem responder a eventos de alteração de rede revogando tokens quase em tempo real. Como o CAE faz parte da plataforma de identidade da Microsoft, centenas de aplicativos o adotaram para se beneficiar da imposição de políticas de localização e outros eventos do CAE. Isso inclui aplicativos do Microsoft 365, como Outlook, Microsoft Teams e OneDrive, bem como o aplicativo Mail integrado no Mac, iPhone e iPads. Aplicativos de terceiros podem adotar o CAE por meio da Biblioteca de Autenticação de Serviços Microsoft.

“Embora fechar a janela de repetição do token seja um grande passo à frente, também estamos trabalhando para garantir que ela nunca seja aberta por meio de um novo recurso chamado Proteção de Token. Isso adiciona uma chave criptográfica aos tokens emitidos que impede que invasores os reproduzam em um dispositivo diferente, o que é como ter um cartão de crédito que é desativado instantaneamente se alguém o roubar de sua carteira”, contou Chik. “Como primeira etapa, estamos adicionando esse recurso para sessões de login no Windows (versão 10 ou posterior). A seguir, estenderemos esse recurso a outras plataformas e abordaremos mais cenários do Windows, como sessões de aplicativos e cookies de carga de trabalho”, completou..

Serviço
www.microsoft.com