Executivo de TI: Sabe como evitar o acesso exposto a ativos críticos?

Uma vulnerabilidade é um erro de código de software que os hackers podem utilizar para obter acesso direto a um sistema informático. A "exposição" é um incidente em que uma fraqueza previamente detectada foi aproveitada por um ator não autorizado na rede.  

Estudos recentes sugerem que apenas 2% de todas as exposições dão aos atacantes acesso direto a activos críticos, enquanto 75% dos incidentes de exposição ao longo dos caminhos de ataque conduzem a "becos ", impedindo os cibercriminosos de chegar a informações sensíveis. Outra informação importante fornecida por este estudo é que 71% das organizações expuseram redes locais que colocam em risco os seus activos críticos na Cloud. Isto significa que, quando um hacker obtém acesso à rede local, 92% destes activos críticos tornam-se vulneráveis.

As 3 principais exposições que são frequentemente ignoradas  

Para além de explorarem as vulnerabilidades, os cibercriminosos tiram partido de exposições combinadas para lançar ataques furtivos à infraestrutura de uma organização e roubar os seus dados críticos.

1. Ambiente de rede local: Como a atenção se desviou para a Cloud, muitas empresas estão a ignorar a importância de investir na criação de controlos eficazes e ágeis nas redes locais. Isto colocou activos críticos em risco, mesmo que estejam na Cloud.
2. Acesso privilegiado a identidades: as contas de utilizador, as funções e os serviços em cloud continuam a conceder demasiadas permissões para facilitar a sua gestão, mas também permitem que os cibercriminosos expandam as suas rotas de ataque quando conseguem ultrapassar a primeira camada de defesa. É por isso que a zero trust, que implementa o acesso restrito, é vista como a estratégia de eleição por muitos CIO. No entanto, a perceção de que acrescenta fricção à workload diária do utilizador dissuade por vezes as empresas de aplicar esta abordagem. É necessário encontrar um equilíbrio, porque operar com a filosofia de que cada utilizador é um utilizador privilegiado também desencadeia ataques bem sucedidos. As contas com permissões limitadas reduzem significativamente a capacidade de um hacker causar danos ou roubar informações valiosas.  
3. Configurações incorrectas: os controlos de segurança mal configurados continuam a ser comuns e os cibercriminosos tiram partido deste erro. Num comunicado, a CISA refere que os agentes maliciosos utilizam ferramentas de scanning para detetar portos abertos e utilizam-nos frequentemente como vetor de ataque inicial. Afirma também que utilizam frequentemente os seguintes serviços para aceder às redes: RDP, Server Message Block (SMB), Telnet e NetBIOS.

Como evitar o acesso exposto a ativos críticos? 

Atualmente, as equipas de segurança são frequentemente inundadas com demasiados alertas de vulnerabilidade benignos e não relacionados. Perante esta pesada workload, as organizações têm de se concentrar na identificação de áreas onde a exposição converge para um caminho de ataque.  

Com pessoal limitado, estas equipas precisam de ajuda para dar prioridade aos patches a aplicar com base na classificação de gravidade na Escala Comum de Gravidade das Vulnerabilidades (CVSS) para evitar a fadiga do diagnóstico. A implementação de uma ferramenta de gestão de patches como a da WatchGuard fornece a solução para este problema, uma vez que simplifica a gestão de vulnerabilidades e permite o agendamento de instalações de patches de acordo com a sua criticidade, aliviando a pressão das equipas para manterem constantemente todas as versões de software actualizadas.

Existe outra forma de garantir que as exposições não representam um risco para a segurança de uma organização que complementa a gestão tradicional de patches: o threat hunting comportamental. Esta é a procura proactiva de sinais de atividade pós-exploração centrada nos comportamentos do adversário que indicam uma ameaça ativa. Isso ajuda a priorizar e equilibrar a necessidade de aplicar patches, permitindo que as organizações gerenciem seus recursos de forma eficiente para ficar um passo à frente das ameaças potenciais.  

A adoção desta abordagem é mais fácil se implementar a tecnologia XDR, que correlaciona a telemetria de diferentes soluções para fornecer o contexto de ameaça necessário para evitar que se torne um incidente de cibersegurança.

Saiba mais sobre a gestão de vulnerabilidades ou as capacidades da tecnologia XDR visitando os seguintes artigos do blogue:

• Patching: a questão de segurança inacabada da indústria transformadora
• XDR: o que é, como funciona e como é que os MSP o utilizam?
• A maior ameaça que o acesso remoto representa: expor o seu servidor na Internet