Como o monitoramento de credenciais da Axur protege a sua empresa?
Sempre que identificamos a exposição de credenciais que contêm os seus domínios ou aplicativos mobile na internet, uma nova detecção é criada no espaço de trabalho Vazamento de Dados.
Que empresas podem beneficiar deste monitoramento?
O monitoramento de credenciais da Axur é adequado para empresas com áreas de login para clientes ou funcionários por meio de aplicativos móveis, ou aplicativos da Web. Além disso, ele beneficia as empresas que buscam minimizar o risco de vazamento de credenciais de funcionários por meio de logins em outras plataformas, já que as pessoas costumam usar a mesma senha em vários serviços. A exposição dessas credenciais por terceiros também pode levar a tentativas de acesso fraudulento aos sistemas internos da empresa.
Como evitar o roubo de credenciais?
Orientando seus clientes e funcionários a alterar suas senhas periodicamente, reforçando o uso de senhas fortes e garantindo o uso de autenticação de dois fatores em todas as plataformas (próprias e contratadas). Além disso, o uso de ferramentas de gerenciamento de identidade e a atualização regular dos aplicativos podem ajudar a reduzir as vulnerabilidades e melhorar a segurança.
Como configurar o monitoramento de Credenciais diretamente na plataforma Axur?
O formato de configuração foi atualizado. Para iniciar o monitoramento de exposição de dados da sua empresa, basta seguir o passo a passo disponível neste artigo: Ativos Monitorados – Vazamento de Dados.
Após cadastrar os termos de monitoramento, posso alterar ou adicionar mais domínios, aplicações ou subdomínios?
Sim, pode fazer alterações aos domínios e aplicações monitorados em qualquer altura nas definições do seu Ativo de Marca. É importante que cada URL (domínio, site, host, subdomínio, aplicação) esteja diretamente relacionado com a sua marca.
Como a plataforma funciona?
Diferente dos outros tipos de detecção com visualização em tickets, as detecções de credenciais aparecem em formato de lista. Essa nova abordagem permite que nossos usuários estabeleçam um fluxo de trabalho muito mais fluido ao lidar com grandes volumes de informação.
Atenção: Credenciais que contenham senhas com menos de 4 dígitos são automaticamente desconsideradas e não são registradas como detecções na plataforma Axur.
Nesta nova aba, encontrará novos filtros que o podem ajudar a navegar facilmente pela lista de credenciais. Sabendo que, por vezes, ao efetuar uma análise mais profunda de uma detecção pode necessitar de mais informações, agora é possível encontrar todos os seus metadados disponíveis apenas clicando e expandindo a detecção desejada.
Se for necessária uma análise mais complexa, pode exportar os resultados da sua consulta para um arquivo CSV. O arquivo será disponibilizado o mais rapidamente possível no seu e-mail.
Como identificar informações importantes: fonte, grupo e nome do arquivo?
Ao clicar em um caso reportado na aba de credenciais, uma guia lateral será aberta automaticamente no lado direito da tela. Nessa guia, você encontrará detalhes essenciais sobre a detecção, incluindo:
Fonte: Origem da credencial exposta, como fóruns, grupos ou plataformas de compartilhamento.
Grupo: Nome do grupo ou comunidade onde os dados foram identificados.
Nome do arquivo: caso os dados estejam armazenados em um arquivo, o nome será exibido para facilitar a identificação.
Além dessas informações, a guia lateral pode conter metadados adicionais sobre a exposição, auxiliando na análise e na tomada de decisão.
Acessando Logs de Infostealer Durante uma Investigação
As credenciais podem aparecer em vários formatos, como Logs de Infostealer, Combolists, Dumps de Banco de Dados e outros.
Quando um incidente está relacionado a um Infostealer, muitas vezes é crucial revisar o arquivo original onde a credencial foi exposta, juntamente com informações adicionais como:
IP da máquina infectada
Cookies
Histórico de navegação
Outros dados coletados pelo malware
Nós fornecemos tanto o arquivo específico que contém a credencial exposta quanto, quando disponível, o pacote original em que o arquivo foi encontrado. Esses podem ser baixados diretamente na seção Informações do arquivo nos detalhes da credencial.
Ao revisar o caminho do arquivo, você pode inspecionar todas as informações coletadas para apoiar a investigação e a resposta. Os arquivos permanecem disponíveis por um ano após a coleta.
Os arquivos permanecem disponíveis por um ano após a coleta e são limitados a 1
terabyte de download por cliente por mês.
O uso é restrito apenas para fins de investigação e nenhuma API ou soluções de
download automatizadas são recomendadas
Todos os arquivos são fornecidos conforme coletados e não foram inspecionados quanto a malware. A Axur recomenda fortemente a utilização de um ambiente Sandbox durante a investigação.
Qual é o ciclo de vida de uma detecção de Credenciais?
As detecções entram como “Novas”, depois podem ser tratadas internamente, resolvidas ou descartadas. Os casos considerados não relevantes podem ser descartados.
O que é uma detecção duplicada?
Desde dezembro, implementamos melhorias para garantir que apenas credenciais únicas sejam registradas na plataforma, eliminando ocorrências duplicadas.
Atualmente, a deduplicação segue a seguinte regra:
Username + Password + URL → Se esses três parâmetros forem idênticos a uma detecção anterior, a credencial será considerada duplicada e não será registrada novamente.
Essa abordagem evita alertas redundantes e mantém o monitoramento mais preciso e eficiente.
Quais são as fontes?
Telegram
Whatsapp
Discord
Mega.io
Paste sites
Deep/Dark Web Forums
IntelX
O que fazer após a detecção?
Aconselhe as pessoas que tiveram suas credenciais expostas a alterar suas senhas o mais rápido possível, onde quer que elas sejam usadas, e instrua os funcionários sobre os riscos do uso de credenciais corporativas em serviços de terceiros;
Se uma credencial interna for exposta, examine imediatamente a máquina afetada quanto a acesso não autorizado, verifique os registros de segurança e atualize as credenciais para evitar possíveis violações.
Ao alterar as credenciais, incentive a criação de palavras-passe únicas e fortes para cada conta. Uma palavra-passe forte tem pelo menos 8 caracteres e inclui letras maiúsculas e minúsculas, números e caracteres especiais.
Realize periodicamente revisões das políticas de senha e reset de senhas internas.
Ativar a autenticação de dois fatores em todo o lado. Esta atuará como uma barreira de segurança adicional.
Quando todas as senhas tiverem sido alteradas, altere seus status para resolvido.
Não é possível solicitar o Takedown destas detecções.
API
Com nossa API de exposições é possível criar fluxos de trabalho automatizados e coleta de dados, permitindo:
Buscar credenciais usando filtros personalizados
Contar credenciais usando filtros personalizados
Atualizar o status de uma detecção
Adicionar e remover tags
Para grandes volumes de detecções, recomendamos o uso das operações em lote, com até 1000 credenciais por requisição.
A documentação da API de Credenciais está disponível em: https://docs.axur.com/en/axur/api/#tag/Credential-Search-Operations
Webhooks
Também fornecemos notificações via webhook para detecção e atualização de credenciais em quase tempo real, através dos webhooks padrão da plataforma.
Eventos suportados:
Exposure.created
exposure.updated
A documentação dos webhooks está descrita em Axur Platform webhooks.
Safelist
Adicionar um endereço de e-mail à sua Safelist impedirá novas detecções de credenciais para esse nome de usuário específico.
Atualmente, apenas nomes de usuário baseados em e-mail são suportados.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊