FireEye Stories – Quão segura é sua infraestrutura de trabalho remoto?

Views: 353
0 0
Read Time:7 Minute, 53 Second

A maioria das organizações não conseguia sequer conceber uma força de trabalho completamente remota, mas no início deste ano o mundo experimentou uma circunstância imprevisível que forçou os profissionais a assumir uma nova forma de “negócios como de costume”. Reuniões virtuais e ferramentas de colaboração empresarial, antes utilizadas em segundo plano, de repente se tornaram a principal forma de comunicação. Essa transição do escritório físico para o trabalho de casa parecia instantânea, e foi particularmente difícil para as equipes de segurança que tiveram que equilibrar a capacitação dos negócios com o risco.

Avançamos até hoje, onde nós da Mandiant estamos vendo vários desafios de segurança trazidos pela mudança inesperada para o trabalho remoto. Vamos discutir alguns desses desafios em detalhes e, em seguida, explicaremos como nossa nova avaliação de segurança remota mandiante pode ajudar as organizações a identificar lacunas em sua infraestrutura remota — e, finalmente, colocá-las para descansar.

Problemas de segurança cibernética desencadeados pelo trabalho remoto

Hoje em dia, as equipes de segurança devem manter a infraestrutura em rápida mudança e conceder concessões relacionadas à segurança — que antes estavam fora dos limites e, às vezes, fora da alçada da equipe de segurança — para manter a continuidade dos negócios. Com essa mudança vem riscos significativos de segurança, a maioria dos quais se enquadram nas seguintes questões que continuam a permitir adversários cibernéticos:

  • Tecnologias de acesso remoto e colaboraçãomal configuradas : Uma introdução apressada de novas tecnologias de acesso remoto ou a ampliação da infraestrutura de acesso remoto existente levou ao uso de configurações fora da caixa ou inseguras. Muitas organizações não têm os recursos necessários para alterar sua infraestrutura após a implantação, e expressam hesitação em aplicar os patches de segurança mais recentes para ativos de trabalho remoto devido ao medo de afetar a disponibilidade.
  • Endurecimento inadequado das estações de trabalho do usuário ou dependência excessiva de controles de ponto final: A implantação da tecnologia para trabalhadores recém-remotos fez com que muitas medidas de segurança baseadas em endpoint fossem sacrificadas em nome da conveniência. Computadores ou outros ativos digitais são frequentemente enviados para trabalhadores remotos (ou outras partes interessadas) em um ritmo rápido para acompanhar a demanda, e, por sua vez, podem não implementar verificações de segurança como uma preocupação primária dentro do processo. Por exemplo, as estações de trabalho do usuário podem não possuir proteção de ponto final ajustada (ou ter proteção de ponto final em tudo), políticas de segurança configuradas adequadamente ou controles de segurança para proteger a propriedade intelectual de cair em mãos erradas se uma estação de trabalho for roubada ou comprometida.
  • Exposição de ações privilegiadas e interfaces administrativas: Muitos usuários privilegiados devem acessar ativos altamente sensíveis para cumprir suas responsabilidades no trabalho. Algumas organizações permitem que os usuários acessem tais ativos altamente sensíveis diretamente de suas estações de trabalho ou dispositivos pessoais através de um portal web exposto à Internet ou de um serviço administrativo acessível à Internet (como Serviços de Terminal/Serviços remotos de desktop). Outros podem exigir que usuários privilegiados usem o VDI (Virtual Desktop Infrastructure, infraestrutura de desktop virtual), que muitas vezes é propenso a compromissos e fugas de sessão. Se os serviços administrativos remotamente acessíveis não forem devidamente bloqueados, um invasor pode aproveitar esses controles de segurança frouxos para comprometer ativos comerciais críticos e redes corporativas internas.
  • Visibilidade reduzida ou monitoramento do tráfego vinculado à Internet: Para gerenciar o rápido aumento e as necessidades diárias de uma força de trabalho remota, os administradores de rede estão se movendo para abordagens anteriormente indesejáveis, como tunelamento dividido, remoção de listagem segura ip e acesso a dispositivos não gerenciados. O tráfego encaminhado para destinos maliciosos pela Internet pode ser desmarcado e não monitorado, juntamente com linhas de base previamente estabelecidas para detecção de anomalias, esquecendo sua precisão.

Consultores mandiantes estão na linha de frente das violações mais impactantes do mundo, vendo os riscos elevados dessas lacunas em primeira mão. Notavelmente, as ferramentas de acesso remoto e colaboração de negócios estão continuamente sendo comprometidas para lançar ataques de engenharia social direcionados contra funcionários que, quando bem-sucedidos, podem fornecer acesso à rede interna, o que poderia levar a um maior comprometimento dos recursos VDI e Cloud.

Uma avaliação dedicada

Para resolver essas preocupações imediatas, desenvolvemos a Avaliação de Segurança Remota mandiante para ajudar a avaliar a infraestrutura remota, políticas, procedimentos e postura geral de segurança de um cliente. Essa avaliação pode ser adaptada às necessidades de uma empresa e, ao contrário de muitas avaliações típicas, não requer grandes quantidades de tempo, recursos e coordenação. Os consultores mandiant começam a avaliação discutindo potenciais pontos de dor de segurança em torno das operações remotas do cliente. Em seguida, a Mandiant realiza testes específicos da infraestrutura remota do cliente, emulando táticas, técnicas e procedimentos de atacantes do mundo real para determinar quais lacunas (se houver) existem. Dependendo do escopo do serviço, a Mandiant pode realizar entrevistas com funcionários em diversos departamentos (ou seja, segurança, jurídico, marketing) e exercícios de mesa para entender melhor o ambiente específico, políticas, processos, procedimentos e controles de segurança específicos do cliente.

A Avaliação de Segurança Remota mandiant se concentra apenas em aspectos relacionados à infraestrutura remota, minimizando os riscos de impactar a continuidade dos negócios e, ao mesmo tempo, fornecer feedback de alto impacto que pode capacitar uma organização a identificar e remediar potenciais preocupações de segurança associadas à sua força de trabalho e operações remotas.

Uma História de Sucesso

In a recent assessment of a financial services industry client, Mandiant determined that client-related credentials within databases of publicly-leaked information could be used to successfully log in to several collaboration portals. This included access to the organization’s bring your own device (BYOD) portal (Figure 1), which possessed sensitive employee credentials such as registered mobile devices. Obtaining this information would enable the attacker to register additional devices and gain access to enterprise-wide resources.


Figure 1: Access to MDM solution

While evaluating other client-owned remote access portals, Mandiant experts identified an Internet-accessible ManageEngine employee password reset, self-service portal. Mandiant discovered they could identify valid usernames within the application to enumerate user password reset questions, as shown in Figure 2.


Figure 2: Sample password reset questions

Mandiant used this information to write a custom Python script to validate usernames within the client’s organization and obtain the respective user password reset questions (Figure 3).


Figure 3: Custom python script to scrape password reset questions from ManageEngine

Next, Mandiant consultants performed open source intelligence (OSINT) reconnaissance to identify the answers to several user password reset questions. Figure 4 illustrates our experts finding an employee’s grandmother’s first name on a genealogy site, and Figure 5 highlights how Mandiant successfully obtained the capability to reset the employee’s Active Directory password. , and Figure 5 highlights how Mandiant successfully obtained the capability to reset the employee’s Active Directory password.


Figure 4: Target employee family information obtained via a genealogy website


Figure 5: Successfully obtaining password reset capability of a targeted employee

Lastly, Mandiant performed password spray attacks against Internet-facing employee portals. Out of 1,873 employee usernames, Mandiant leveraged MailSniper to identify 27 users within the client’s Active Directory environment who all selected the same exact password (Figure 6).


Figura 6: Pulverização de senha via MailSniper

A Mandiant usou as credenciais obtidas através de sprays de senha para acessar vários ativos, incluindo um portal Citrix voltado para a Internet. Foi estabelecida uma sessão restrita dentro do portal Citrix, seguida por nossos especialistas que escaparam da sessão para possuir controle completo sobre o computador do alvo, permitindo acesso interno gratuito ao ambiente, recursos e ativos do cliente (Figura 7).


Figura 7: Compromisso e fuga da sessão Citrix

Após a conclusão do contrato, Mandiant forneceu um relatório detalhado de feedback delineando as vulnerabilidades do programa de segurança que os consultores da Mandiant descobriram. Instruções passo a passo de como recriar os testes e os resultados da Mandiant também foram incluídas no relatório, para que o cliente pudesse testar os ativos afetados no futuro após quaisquer atividades de remediação. A Mandiant também forneceu recomendações de boas práticas sobre como mitigar que tais vulnerabilidades sejam exploradas no futuro. Depois que o cliente recebeu esses dados, trabalhou com a Mandiant para implementar as técnicas de remediação sugeridas. Os consultores mandiant então realizaram testes de remediação para confirmar que as vulnerabilidades não persistiram dentro do ambiente do cliente.

Em Conclusão

As circunstâncias globais levaram muitas empresas, grandes e pequenas, a implementar soluções de trabalho remoto — e rapidamente. E essas mudanças não são susceptivelmente desaparecer tão cedo; a revolução do trabalho remoto é provável aqui para ficar de alguma forma ou de outra.

Desenvolver soluções de trabalho remoto com rapidez era uma necessidade no início, para manter a continuidade dos negócios, mas agora que as operações estão se estabelecendo na nova norma, podemos olhar para trás e ver como essas mudanças maciças introduziram vulnerabilidades não intencionais (e potencialmente desconhecidas) em ambientes corporativos digitais.

A Avaliação de Segurança Remota mandiante é um serviço focado em laser, apenas preocupado em avaliar as soluções de acesso remoto de um cliente. Devido à natureza enxuta e dedicada dessa avaliação, os clientes podem esperar receber resultados rápidos e impactantes e recomendações de melhoria em torno da postura de segurança remota de sua organização, mitigando, em última análise, a capacidade de um invasor de comprometer operações remotas e interromper a continuidade dos negócios.

Visite nossa página de Avaliação de Segurança Remota mandiante para saber mais.

FONTE: FIREEYE

POSTS RELACIONADOS