O conceito de Modern Workplace está cada vez mais próximo dos usuários finais no dia a dia, seja trabalhando de um smartphone ou tablet, corporativo ou BYOD acessando as informações em nuvem.

Nesse novo conceito de trabalho o foco da proteção das informações sensíveis se tornou a identidade do usuário, porque uma vez descoberto o login e a senha o acesso à informação pode ser feito de qualquer lugar.

Em teoria, salvo algumas exceções em empresas que possuem um controle mais granular, porém no geral é assim.

E onde entra a questão do título nesse conceito? Vou explicar…

Em certos ambientes notamos uma defasagem neste novo conceito de trabalho onde a identidade é o foco de segurança atual, e com isso identificamos também a falta de conhecimento sobre como tratar os logs e eventos de segurança para a camada de identidade. É então que entra o Modern Workplace para os administradores de TI.

Devido nosso tempo ser cada vez mais curto para tantas tarefas, valorizamos as ferramentas que façam uma parte do trabalho por nós, e nisso as soluções de nuvem facilitam muito nosso lado. Vejamos um caso real onde o trabalho do administrador de TI/Segurança foi facilitado devido ao trabalho inteligente de várias ferramentas trabalhando de forma integrada e inteligente.

Na ferramenta de CASB (shadow IT) houve um alerta de viagem impossível, ou seja, a identidade do usuário fez login por um endereço IP no Brasil e aproximadamente 60 minutos depois houve login deste mesmo usuário no Reino Unido.

Você pode estar pensando que o usuário se conectou em uma VPN que utiliza um IP de outro país, mas olhando um pouco mais as coisas começou a ficar interessante.

Devido a integração dessa solução CASB com o provedor de autenticação, foi possível analisar no dashboard que para esse mesmo usuário também houve eventos de brute force.

Para finalizar a investigação, identificamos também que o acesso foi feito de três dispositivos com sistemas operacionais diferentes, sendo Windows 7, Windows 8.1 e Windows 10 (este último é o dispositivo verdadeiro do usuário).

Com todas essas informações disponíveis em alguns minutos, não foi difícil concluir que este não se tratava de um falso positivo, mas sim de um vazamento real da credencial do usuário e a ação tomada foi o reset de senha.

Este usuário já possuía o Multi Fator de Autenticação ativado, portanto, o atacante não teve acesso as informações da empresa, mas a credencial já estava comprometida.

Essa agilidade em ter todas as informações necessárias para a investigação só foi possível porque todas as ferramentas estavam integradas, e a própria inteligência embutida soube agrupar e gerar um único alerta dos vários logs coletados para que o administrador de TI/Segurança pudesse tomar a decisão.

Se os administradores deixarem que as ferramentas trabalhem na coleta e correlação de diversos logs vindos de diferentes sistemas, gerando os alertas de forma inteligente e automatizada, será possível permitir que o tempo seja gasto com as tratativa dos alertas do que com o design e tratativa de logs de forma separada.

O cenário real apresentado neste artigo contemplou as ferramentas Azure AD, Microsoft Cloud App Security, Azure ATP e Azure Identity Protection.  A Redbelt é especialista em projetos de segurança em produtos Microsoft, consulte nosso time comercial para uma visita.