0
0
Os principais provedores de serviços em nuvem são cerca da metade da probabilidade (46%) para experimentar uma violação de dados em comparação com grandes empresas, sugere um novo estudo.
O fornecedor de avaliação de segurança Coalfire analisou recentemente dados de cerca de 800 testes de penetração que emulavam ataques cibernéticos nas redes de clientes. O exercício mostrou que os provedores de serviços em nuvem – pelo menos os grandes – fizeram melhorias significativas na segurança nos últimos anos e são mais resistentes a violações de dados do que grandes organizações empresariais.
Os provedores de nuvem no estudo do Coalfire apresentaram vulnerabilidades substancialmente menores de alto risco em comparação com organizações de tamanho semelhante com infraestruturas de TI no local. Apenas 19% das vulnerabilidades encontradas pelo Coalfire em infraestruturas pertencentes a grandes provedores de nuvem caíram na categoria de alto risco, em comparação com 35% em grandes redes corporativas. Da mesma forma, 25% das vulnerabilidades descobertas nas plataformas de provedores de nuvem de médio porte eram de alto risco, em comparação com 39% em redes pertencentes a empresas de médio porte.
Quando existem vulnerabilidades em ambientes de nuvem, uma pluralidade (27%) resultado de configuração insegura. Os erros de scriptagem entre sites são outro tipo de vulnerabilidade importante — e perene — representando 27% de todas as vulnerabilidades em infraestruturas de provedores de nuvem.
“À medida que os provedores de nuvem amadurecem seus programas de segurança, eles estão vendo um número global menor de problemas críticos durante os testes”, diz Mike Weber, vice-presidente da Coalfire. “No entanto, estamos vendo os mesmos tipos de problemas ocorrerem para os provedores de nuvem ano após ano, o que nos faz pensar se é preciso haver uma mudança fundamental em nossa abordagem para processos ou tecnologias de segurança.”
A pesquisa do Coalfire também mostrou que a maioria das organizações está mais preparada para lidar com atacantes externos do que com atacantes que já podem estar em sua rede. Em média, apenas cerca de uma em cada seis vulnerabilidades que os pesquisadores do Coalfire descobriram durante seus testes de caneta deram aos atacantes externos uma maneira de comprometer imediatamente a rede. Em contraste, 50% dos problemas que o Coalfire descobriu durante os testes de penetração interna eram críticos e teriam resultado em um compromisso imediato da rede. Outros 37% teriam dado aos atacantes já na rede uma oportunidade “significativa” de comprometer o meio ambiente.
“A coisa mais importante que uma empresa pode fazer para melhorar a segurança é endurecer suas redes internas”, diz Weber. “Desativar a Resolução de Nomes Multicast Local (LLMNR) e o NetBIOS Name Service (NBT-NS) e permitir a assinatura do bloco de mensagens de servidor (SMB) em toda a empresa são as maneiras mais eficazes de neutralizar o impacto dos adversários que têm acesso aos seus ambientes internos”, diz ele.
As principais vulnerabilidades corporativas que o Coalfire descobriu incluíam protocolos inseguros, falhas de senha, problemas com patches e software desatualizado. As vulnerabilidades de aplicativos continuam sendo uma preocupação, mas consideravelmente menor do que há alguns anos. Apenas 16% das vulnerabilidades que o Coalfire descobriu durante os testes de caneta de aplicativo este ano foram falhas de alto risco, em comparação com 36% no ano passado. O fornecedor de segurança atribuiu a queda a práticas de desenvolvimento mais seguras e à adoção de práticas de teste de segurança “shift-left” destinadas a pegar bugs de segurança no início do ciclo de desenvolvimento.
Descobertas semelhantes As
conclusões do Coalfire sobre as proteções relativamente fracas que a maioria das organizações têm contra os atacantes já na rede são semelhantes às que a Positive Technologies chegou recentemente também. Em testes de penetração interna, pesquisadores da Positive Technologies simularam ataques que teriam sido realizados por um informante malicioso ou alguém com acesso a privilégios típicos de funcionários. Em 61% das organizações, os pesquisadores conseguiram acesso fácil às credenciais de administradores de domínio. Trinta por cento das organizações tinham vulnerabilidades não reparadas a partir de 2017.
Quarenta e sete por cento das ações que os testadores de caneta tomaram para criar um vetor de ataque envolviam ações legítimas que os administradores de segurança provavelmente não prestariam atenção porque não podiam ser contadas além da atividade regular do usuário.
“Isso inclui, por exemplo, a criação de novas contas privilegiadas em nódulos de rede, a criação de um despejo de memória do processo lsass.exe, o dumping de agências de registro ou o envio de solicitações a um controlador de domínio”, diz Ekaterina Kilyusheva, chefe do grupo de pesquisa de análise de segurança da informação da Positive Technologies. “Como essas ações são difíceis de distinguir das atividades habituais dos usuários ou administradores, os ataques podem passar despercebidos.”
Kilyusheva diz que os testes da Positive Technologies em sistemas de informação corporativa descobriram um baixo nível de proteção contra invasores internos. Em testes internos de penetração no ano passado, os pesquisadores de segurança da empresa conseguiram obter controle total da infraestrutura em todas as empresas testadas. As vulnerabilidades mais comumente detectadas foram falhas de configuração, como proteção insuficiente contra recuperação de credenciais da memória do SISTEMA ou falta de controle de acesso e falhas na política de senha, diz ela. “Em quase todos os projetos, conseguimos forçar senhas de usuário, mesmo para usuários privilegiados.”
A mudança repentina para o trabalho remoto nos últimos seis meses como resultado da pandemia exacerbou algumas dessas questões. Anton Ovrutsky, engenheiro de colaboração contraditória da Lares LLC, diz que algumas áreas problemáticas incluem a extensão do perímetro com configurações de tunelamento dividido e o potencial para uma rede doméstica se tornar parte da rede corporativa. Acelerar o uso de nuvem é outra preocupação. “Você pode dizer quando um usuário externo foi adicionado ao bate-papo da sua equipe, por exemplo?”, observa.
FONTE: DARK READING