Gestão de Credenciais Comprometidas | Decripte Security

Comprometimento de credenciais é vetor comum de ataques. Resposta rápida e abrangente minimiza janela de exploração e previne acesso não autorizado contínuo.

Tipos de Comprometimento

Phishing: Usuário fornece credenciais em página falsa. Comprometimento geralmente detectado por tentativas de acesso anômalas.

Credential Stuffing: Atacante usa credenciais vazadas de outros serviços. Afeta usuários que reutilizam senhas.

Malware/Keylogger: Malware captura credenciais durante digitação ou de armazenamento local.

Data Breach: Credenciais expostas em vazamento de base de dados. Pode afetar milhares simultaneamente.

Insider Threat: Colaborador malicioso compartilha ou vende credenciais.

Detecção de Comprometimento

Impossible Travel: Login de localizações geograficamente impossíveis em curto período (ex: São Paulo e Tóquio em 1 hora).

Anomalous Access Patterns: Acesso fora de horário habitual, de IPs desconhecidos, a recursos incomuns para o usuário.

Multiple Failed Attempts: Tentativas repetidas de login antes de sucesso podem indicar credential stuffing.

New Device/Browser: Login de dispositivo ou navegador nunca usado antes, especialmente com geolocalização suspeita.

Threat Intelligence: Credenciais da organização aparecem em pastes, fóruns underground ou databases vazadas.

Resposta Imediata

1. Desabilitar Conta: Suspender imediatamente conta comprometida para prevenir acesso adicional. Balance urgência com impacto operacional.

2. Revogar Sessões Ativas: Terminar todas sessões ativas do usuário em todos os sistemas (SSO, VPN, aplicações).

3. Revogar Tokens: Invalidar tokens de API, OAuth tokens, tokens de aplicativos móveis associados à conta.

4. Notificar Usuário: Informar usuário imediatamente sobre comprometimento e instruções para próximos passos.

5. Investigar Atividade: Analisar logs para identificar que sistemas foram acessados, dados visualizados, ações executadas.

Rotação de Credenciais

Contas de Usuário: Forçar reset de senha via self-service ou assistido. Implementar requisitos de senha forte temporariamente mais rigorosos.

Contas de Serviço: Rotacionar senhas de service accounts, especialmente aquelas com privilégios elevados ou acesso a sistemas críticos.

API Keys: Revogar e reemitir API keys comprometidas. Coordenar com equipes de desenvolvimento para atualizar aplicações.

Certificados: Se certificados comprometidos, revogar via CRL/OCSP e emitir novos certificados.

Secrets Management: Rotacionar secrets em vaults (HashiCorp Vault, AWS Secrets Manager) que possam ter sido acessados.

MFA Emergencial

Se MFA não estava habilitado, implementar emergencialmente:

Enrollment Forçado: Requer configuração de MFA antes de permitir novo login após reset de senha.

Priorização: Implementar primeiro para contas privilegiadas, depois contas com acesso a dados sensíveis, finalmente todos os usuários.

Métodos Seguros: Preferir authenticator apps (Google Authenticator, Microsoft Authenticator) ou hardware tokens (YubiKey) sobre SMS que é vulnerável a SIM swapping.

Verificação de Identidade

Antes de reabilitar conta comprometida, verificar identidade do usuário:

Multi-Channel Verification: Confirmar identidade via múltiplos canais (email corporativo, telefone cadastrado, verificação presencial/vídeo).

Knowledge-Based Authentication: Perguntas que somente usuário legítimo saberia (não informações facilmente descobertas).

Manager Approval: Para contas sensíveis, requerer aprovação do gestor direto antes de reativação.

Escopo de Comprometimento

Avaliar extensão do comprometimento:

Sistemas Acessados: Listar todos os sistemas que conta tinha permissão de acesso e verificar logs de acesso durante período de comprometimento.

Dados Visualizados: Identificar que dados sensíveis o atacante pode ter visualizado ou exfiltrado.

Alterações Realizadas: Procurar por modificações de dados, criação de backdoors, elevação de privilégios, adição de novas contas.

Lateral Movement: Verificar se credenciais foram usadas para acessar outros sistemas ou contas (pass-the-hash, pass-the-ticket).

Re-certificação de Acessos

Aproveitar incidente para revisar acessos:

Access Review: Revisar permissões da conta comprometida - remover acessos desnecessários antes de reativar.

Least Privilege: Aplicar princípio de menor privilégio - usuário deve ter apenas acessos necessários para função.

Role-Based Access: Transicionar de permissões ad-hoc para roles bem-definidos.

Periodic Re-certification: Estabelecer processo de re-certificação periódica de acessos (trimestral/semestral).

Contas Privilegiadas

Comprometimento de contas privilegiadas requer resposta mais agressiva:

Rotação Massiva: Considerar rotação de todas credenciais privilegiadas do ambiente, não apenas a comprometida.

PAM (Privileged Access Management): Implementar solução PAM para gerenciar, rotacionar e auditar uso de credenciais privilegiadas.

Just-in-Time Access: Transicionar para modelo JIT onde privilégios são concedidos temporariamente quando necessário.

Break-Glass Procedures: Manter procedimentos de break-glass documentados para acesso emergencial se contas administrativas comprometidas.

Comunicação

Usuário Afetado: Notificar clara e rapidamente. Explicar o que aconteceu, riscos, próximos passos, como obter suporte.

Equipe de TI: Alertar equipes técnicas sobre comprometimento para monitoramento de atividades relacionadas.

Gestão: Informar gestão sobre comprometimento de contas sensíveis ou em escala.

DPO/Jurídico: Envolver DPO e jurídico se dados pessoais podem ter sido acessados (obrigações LGPD).

Monitoramento Pós-Incidente

Após remediação, monitorar atentamente:

Enhanced Logging: Aumentar nível de logging para conta afetada temporariamente.

Alertas Dedicados: Criar alertas específicos para atividades da conta para detectar reinfecção rapidamente.

Behavioral Analysis: UEBA para detectar desvios de comportamento normal mesmo após remediação.

Prevenção Futura

MFA Universal: Implementar MFA para todas as contas, não apenas privilegiadas.

Phishing Training: Treinamento regular anti-phishing para todos os colaboradores com simulações.

Password Managers: Incentivar uso de gerenciadores de senha para gerar e armazenar senhas únicas e complexas.

Credential Monitoring: Serviços que monitoram pastes e databases vazadas para credenciais da organização (Have I Been Pwned Enterprise, SpyCloud).

Conditional Access: Políticas de acesso condicional baseadas em risco (localização, dispositivo, comportamento).

Ferramentas e Tecnologias

IAM Platforms: Azure AD, Okta, Auth0 com capacidades de detecção de anomalias e resposta.

PAM Solutions: CyberArk, BeyondTrust, Thycotic para gestão de credenciais privilegiadas.

Password Managers: 1Password, LastPass, Bitwarden para uso empresarial.

UEBA: Microsoft Sentinel, Exabeam, Splunk UBA para detecção comportamental.

Aspectos Legais

LGPD: Se credenciais comprometidas permitem acesso a dados pessoais, avaliar necessidade de notificação à ANPD e titulares.

Compliance: Frameworks como PCI-DSS, HIPAA têm requisitos específicos sobre gestão de credenciais e notificação de comprometimento.

Evidências: Preservar logs e evidências de comprometimento para potencial investigação legal ou regulatória.