Phil Spencer
Global Owner do portfólio de segurança e conformidade da Getronics
Neste artigo:
Um dos maiores desafios para manter uma rede de TI segura é que não importa quão fortes sejam suas defesas, há sempre mais vulnerabilidades não descobertas à espreita, em algum lugar do sistema. Nossas equipes de segurança frequentemente encontram sistemas que têm sido vulneráveis durante anos, fazendo tic-tac de bombas-relógio apenas esperando que um criminoso cibernético os encontre e os detone.
3 Ameaças ocultas recentes
Três das ameaças ocultas mais recentemente descobertas (e que podem estar em seu sistema) são:
1. SolarWinds
Em dezembro de 2020 foi revelado que a plataforma de gerenciamento de infraestrutura SolarWinds Orion havia sido invadida e usada para violar a segurança das agências governamentais dos EUA. A violação permite que os atores da ameaça se façam passar por qualquer conta de usuário de uma organização, inclusive aquelas com acesso privilegiado. Até agora, mais de 250 organizações foram informadas como afetadas, incluindo tanto agências governamentais quanto empresas privadas. Embora os ataques tenham sido relatados pela primeira vez em 2020, acredita-se que os atores da ameaça tenham vendido o acesso ao sistema desde pelo menos 2017.
2. Linux Sudo
Em uma das mais antigas vulnerabilidades conhecidas, um grande bug foi descoberto no aplicativo de linha de comando Linux Sudo, depois de estar presente por quase uma década. A vulnerabilidade, conhecida como "Baron Samedit", permite aos atacantes transformar qualquer conta de usuário em um superusuário, permitindo-lhes mover-se facilmente através do sistema para acessar dados sensíveis ou executar qualquer número de atividades maliciosas.
3. Malwares Android Oscorp
Os atores das ameaças estão cada vez mais visando os dispositivos móveis, além dos pontos finais de trabalho padrão, sendo mais provável que os usuários simplesmente aceitem mensagens como permissões de instalação e aplicação. Um dos exemplos mais recentes é um malware apelidado de Oscorp que visa os dispositivos Android.
A Oscorp engana os usuários para que eles tenham acesso ao Serviço de Acessibilidade do Android. A partir daqui, os atacantes podem realizar qualquer número de ações maliciosas, incluindo keylogging, fazer chamadas, enviar SMS, roubar 2FA PINs e muito mais. Recentemente advertimos nossos clientes italianos sobre a Oscorp, mas é provável que o malware também apareça internacionalmente.
Gerenciando Ameaças Ocultas
Devido à necessidade de interconectividade, ameaças não descobertas como as mencionadas acima à espreita em antigos sistemas legados podem criar um caminho de ataque fácil para acessar até mesmo os ativos mais recentes das nuvens e móveis.
E, é CTECHro, qualquer novo software pode ter sua própria parcela de vulnerabilidades ocultas.
Então como as empresas podem manter seus sistemas seguros contra essas ameaças?
1. O Fator Higiene: Comece com o básico
O impacto da maioria das vulnerabilidades ocultas pode ser mitigado pela implementação de uma boa higiene de segurança cibernética. Algumas das atividades centrais mais importantes incluem:
- Senhas fortes e bem gerenciadas para evitar que os atacantes seqüestrassem facilmente as contas de usuários.
- Implementar a gestão de acesso privilegiado (PAM), o menor privilégio e modelos de confiança zero para reduzir grandemente as capacidades dos atores da ameaça dentro do sistema.
- Correções regulares para manter todos os ativos atualizados e totalmente seguros, priorizando as novas vulnerabilidades relevantes.
É essencial acertar todas as coisas básicas, pois uma corrente é tão forte quanto seu elo mais fraco. Na maioria das vezes, nossos clientes estão fazendo quase tudo certo - mas perdeu uma coisinha que poderia ser explorada por um cibercriminoso.
2. Encontrar vulnerabilidades ocultas
Embora uma boa higiene de segurança reduza o impacto de uma ameaça oculta, você também pode ser mais proativo em buscá-los antes que sejam explorados.
O mais importante é estar atento ao que está no sistema. Nossas equipes frequentemente se deparam com softwares antigos que foram esquecidos, mas que ainda estão conectados e colocando seus ambientes em risco.
Uma vez entendida a extensão total dos ativos da rede, a varredura regular de vulnerabilidade pode identificar problemas conhecidos, apoiada por informações atualizadas sobre ameaças à segurança cibernética. As coisas podem ser levadas um passo adiante, conduzindo testes de penetração para encontrar vulnerabilidades mais complexas.
A capacidade de responder rapidamente e fechar vulnerabilidades recém descobertas é cada vez mais importante, incluindo a revisão de dados históricos para violações anteriormente não detectadas.
Por exemplo, nosso Security Operations Centre (SOC) atuou com base em uma consultoria e usou uma busca estruturada contra arquivos de registros que identificou um pequeno número de correspondências para um de nossos clientes. Uma mudança de emergência foi realizada imediatamente para conter o impacto, seguida de mais investigações para determinar se se tratava de uma violação genuína de segurança e para compreender plenamente o escopo do compromisso. Isto garantiu que a mitigação e erradicação da ameaça fosse completa e que o impacto para o negócio fosse totalmente compreendido.
3. Resposta em caso de quebra de segurança
Finalmente, é importante ter um playbook sólido para saber como responder caso ocorra uma violação. Em nossa opinião, o framework NIST fornece um grande guia e uma base sólida para que as organizações construam uma gestão e uma resposta eficazes aos riscos.
Ainda assim, mesmo com os frameworks em vigor, muitas organizações acham difícil construir e manter uma capacidade de resposta, especialmente quando ela só é usada com pouca freqüência, e preferem a terceirização a um MSSP especializado estabelecido que pode oferecer uma resposta 24×7 redundante, com tratadores de incidentes altamente treinados e experientes que podem entrar em ação rapidamente.
Vamos proteger seu negócio
Seguir essas etapas pode ajudar você e sua equipe a encontrar vulnerabilidades ocultas antes que elas possam ser exploradas e reduzir o impacto em caso de violação. Se precisar de mais experiência, ferramentas e recursos para manter suas propriedades protegidas contra bombas-relógio de segurança, entre em contato com nossos especialistas e descubra como a equipe da Getronics Security pode ajudá-lo.
Não apenas defendemos o framework NIST, mas o integramos em nosso modelo global de prestação de serviços baseado no ITIL, quando construímos nossa equipe dedicada a respostas de incidentes de segurança (GTN-CERT).
Com processos testados em batalha, exercícios conjuntos de equipe e cursos de ação pré-planejados, prontos para serem adaptados ao contexto específico do cliente e à natureza da violação, a Getronics pode proporcionar a tranquilidade de saber que a sua organização terá assistência especializada, especialmente quando ela for mais necessária.
