Relatório ‘Estado dos Estados’ do SecurityScorecard explicado

Views: 605
0 0
Read Time:10 Minute, 37 Second

Hoje, o SecurityScorecard divulgou um relatório que analisa a postura global de segurança cibernética, incluindo infraestrutura relacionada à eleição, de todos os 56 estados e territórios dos EUA que antecedem a eleição presidencial. O relatório infográfico “Estado dos Estados” constatou que a grande maioria (75%) mostrou sinais de uma infraestrutura de TI vulnerável. Uma vez que a maioria dos sites estatais oferecem acesso a informações eleitorais e eleitorais, essas descobertas podem indicar questões imprevistas que antecedem e após a eleição dos EUA.

Metodologia

A pontuação do SecurityScorecard para cada estado reflete a postura global de segurança cibernética para todo o estado, que inclui o escritório eleitoral estadual relevante, conforme identificado através dos seguintes dois recursos:

O “escritório” eleitoral da maioria dos estados faz parte de seu site do Secretário de Estado, que em si faz parte da pegada digital global de uma entidade. No entanto, examinar a segurança apenas para o gabinete do Secretário de Estado provavelmente estaria incompleto, uma vez que registros de registro de eleitores e informações relacionadas aos eleitores poderiam ser mantidos em outra parte da infraestrutura de TI de um estado.

Apenas sete estados (Pensilvânia, Idaho, Carolina do Norte, Carolina do Sul, Arizona, Dakota do Sul e Nevada) mantêm sites independentes dedicados à eleição e informações relacionadas aos eleitores. No entanto, estes ainda estariam digitalmente associados ao site de guarda-chuva de um estado.

Cinco territórios dos EUA (Samoa Americana, Porto Rico, Guam, Ilhas Marianas do Norte e Ilhas Virgens Americanas) foram incluídos apesar de não terem representação eleitoral no Congresso dos EUA ou votos eleitorais para presidente. No entanto, esses territórios ajudam a escolher o candidato de cada partido e os partidos políticos têm a capacidade de incluí-los no processo de seleção primária. Mais de três milhões de pessoas residem nesses territórios combinados. Mais importante, qualquer um desses territórios é um cidadão americano.

O SecurityScorecard calculou as pontuações do período de setembro ao início de outubro de 2020 com dados não intrusivos, disponíveis publicamente e com base em pontuações individuais dentro de 10 categorias: segurança de rede, saúde DNS, cadência de patching, segurança de ponto final, reputação de IP, segurança de aplicativos, pontuação de cubit, conversas com hackers, vazamentos de informações e engenharia social.

Para obter mais informações sobre como o SecurityScorecard “pontua” cada estado, consulte a seção “significado de pontuações e probabilidade de violação” na parte inferior desta ficha técnica.

Achados de alto nível

  • 75% dos estados e territórios dos EUA são classificados como “C” ou inferior. 35% têm um ‘D’ e abaixo
    • Estados com grau ‘C’ são 3x mais propensos a sofrer uma violação (ou incidente, como ransomware) em comparação com um ‘A’ com base no estudo de três anos do SecurityScorecard de dados históricos
    • Aqueles com um ‘D’ são quase 5x mais propensos a experimentar uma brecha
  • Estados com as maiores pontuações: Kentucky (95) Kansas (92) Michigan (92)
  • Estados com as menores pontuações: Dakota do Norte (59) Illinois (60) Oklahoma (60)
  • Entre estados e territórios, há tantos escores ‘F’ quanto há ‘A’s
  • O efeito pandemia: A pontuação de muitos estados caiu significativamente desde janeiro. Por exemplo, Dakota do Norte marcou um 72 em janeiro e agora tem um 59
    • O queé isso? Os mandatos de trabalho remoto deram às redes estaduais uma superfície de ataque maior (por exemplo, milhares de trabalhadores estatais em Wi-Fi doméstico), tornando mais difícil garantir que os funcionários estejam usando software atualizado
  • O SecurityScorecard observou preocupações significativas de segurança com dois estados de “campo de batalha” criticamente importantes, Iowa e Ohio, ambos com nota 68, ou uma classificação ‘D’.
  • De acordo com especialistas políticos, os seguintes estados são considerados “campo de batalha” e ajudarão a determinar o resultado da eleição, mas metade da infraestrutura geral de TI desses estados está em falta
  • Michigan: 92 (A)
  • Wisconsin: 88 (B)
  • Texas: 85 (B)
  • Pensilvânia: 85 (B)
  • Carolina do Norte: 81 (B)
  • Arizona: 81 (B)
  • New Hampshire: 77 (C)
  • Geórgia: 77 (C)
  • Nevada: 74 (C)
  • Flórida: 73 (C)
  • Iowa: 68 (D)
  • Ohio: 68 (D)

Resultados Técnicos

  • A segurança do ponto final foi a categoria de menor pontuação (entre 10 categorias) em todos os 50 estados e cinco territórios, com pontuação média de 61. Ao marcar a segurança do ponto final, o SecurityScorecard mediu versões detectadas para sistemas operacionais, navegadores da Web e outros pontos de dados notáveis que compreendem a segurança do ponto final
    • As taxas de Massachusetts duram em segurança de ponto final, com quase 2.000 resultados desatualizados do sistema operacional (OS). Illinois vem em segundo lugar com mais de 1.000 descobertas
    • Por que isso importa: O software desatualizado é vulnerável contra as ameaças de segurança mais recentes, tornando mais fácil para os atacantes implantar malware, seja através de um ataque drive-by-download ou ataque de spear-phishing
    • A boa notícia: os Estados podem aumentar sua segurança atualizando navegadores web e sistemas operacionais para as versões mais recentes disponíveis
  • Malware é um grande problema: West Virginia, Idaho e Indiana têm a maior contagem de malware presente em várias famílias de malware
  • Exemplos comuns de malware presentes na infraestrutura de um estado: Conficker, Emotet, Trickbot, Matsnu e Qrypter.rat
  • Por que isso importa: Atores mal-intencionados podem ser capazes de obter acesso a redes estatais simplesmente comprando acesso de grupos criminosos que ganharam uma posição através de infecções de malware pré-existentes
  • No que parece ser um problema contínuo,o SecurityScorecard observou um alto volume de SMB (Server Message Block, bloqueio de mensagens do servidor), particularmente protocolos SMB expostos à internet pública. Isso permite que aplicativos e usuários acessem arquivos (ou outros recursos como impressoras) em servidores remotos. Quando isso é exposto à internet pública, os atores podem ter acesso rápido e fácil a uma rede
  • Foi assim que os infames ataques de ransomware WannaCry e Petya foram executados
  • A Microsoft lançou um patch em 2017 e é considerada práticas recomendadas restringir esse protocolo apenas a conexões internas. Três anos depois, isso não deve ser explorado mais

Consequências potenciais de pontuações mais baixas

  • Entrega direcionada de phishing/malware por e-mail e outros meios, potencialmente como um meio de infectar redes e espalhar desinformação
    • Atores mal-intencionados muitas vezes vendem acesso a organizações que infectaram com sucesso
  • Ataques via fornecedores terceirizados – muitos estados usam os mesmos fornecedores, então o acesso a um pode significar acesso a todos
    • Na verdade, terceiros são a principal área de foco para campanhas políticas porque uma quantidade significativa de informações é realizada por lojas de compra de anúncios e roupas de pesquisa. Não é sobre as campanhas sendo atacadas a si mesmas, mas um de seus fornecedores
  • Os bancos de dados de registro de eleitores podem ser impactados, mas mais informações sobre a infraestrutura de TI de um estado precisariam ser descobertas para determinar como essas informações são mantidas dentro da arquitetura geral de TI do estado, ou seja, uma pontuação baixa pode não necessariamente significar que essas informações são facilmente comprometidas
    • Na pior das hipóteses, os atacantes poderiam remover registros de eleitores ou alterar informações da delegacia de eleitores ou tornar sistemas cruciais totalmente indisponíveis no dia da eleição através de ransomware

Como estados e territórios podem melhorar: Estamos aqui para ajudar

A segurança eleitoral é uma prioridade significativa para o SecurityScorecard porque a missão da empresa é tornar o mundo um lugar mais seguro. A empresa já fornece campanhas federais e partidos políticos federais, em ambos os lados do corredor, seu produto e serviços de cibersegurança sem nenhum custo. No dia da eleição, o SecurityScorecard deu a todos os funcionários o dia de folga como parte do movimento não partidário Make Time to Vote, unindo mais de 1.000 empresas para aumentar a participação dos eleitores.

Este relatório é parte desse esforço mais amplo, e estamos aqui para ajudar cada estado – não assustá-los ou envergonhá-los. Qualquer estado que deseje receber uma versão gratuita de seu Scorecard pode entrar em contato com elections@securityscorecard.io e receberá prontamente uma versão gratuita do produto da empresa expandida além do que é oferecido publicamente.

Um conjunto de melhores práticas para estados e territórios

  • Crie sites dedicados de eleitores e eleições nos domínios do domínio oficial do estado, em vez de usar nomes de domínio alternativos que podem ser submetidos a erros de digitação
  • Tenha uma equipe de TI especificamente encarregada e responsável por reforçar a segurança cibernética do site eleitoral e eleitoral: definida como confidencialidade, integridade e disponibilidade de todas as informações processadas
  • Os Estados devem estabelecer linhas claras de autoridade para atualizar as informações nesses sites que incluem a regra “duas pessoas” — nenhum indivíduo deve ser capaz de atualizar informações sem que uma segunda pessoa as autorize
  • Estados e municípios devem monitorar continuamente a exposição à segurança cibernética de todos os ativos associados a sistemas eleitorais e garantir que os fornecedores que fornecem equipamentos e serviços para o processo eleitoral passem por processos rigorosos

Conclusão

Desde 2016, os Estados têm, sem dúvida, feito melhorias em sua infraestrutura de TI na esteira da interferência de atores de ameaças estrangeiras, particularmente durante as eleições de 2016. Mas, a pandemia trouxe desafios significativos para os Estados, com muitos enfrentando congelamentos de contratações e déficits orçamentários significativos. Os Estados não podem fazer isso sozinhos.

Recomendamos que o Congresso e o governo federal forneçam aos Estados maiores recursos e financiamento, particularmente dado o subinvestimento crônico em TI na maioria dos estados. A infraestrutura de votação e a próxima eleição são apenas uma pequena parte de uma história muito maior: os Estados estão em uma posição ainda mais difícil dada a pandemia e precisam de ajuda federal.

Finalmente, como os eleitores consideram eleger (ou reeleger) funcionários estaduais e membros do Congresso de seu estado, eles também podem considerar a pontuação de segurança desse estado. Isso não seria diferente do que um conselho de administração de uma empresa avaliaria em termos de ciberaúsão dessa empresa em particular.

Lista completa de pontuações

*estados em azul são vermelhos de inclinação democrata são republicanos de inclinação, e preto são campo de batalha

  • Illinois: 60
  • Connecticut: 62
  • Havaí:64
  • Delaware: 65
  • Maryland:66
  • Oregon: 74
  • Califórnia: 74
  • Massachusetts: 74
  • Washington: 74
  • Distrito de Columbia: 75
  • Nova Iorque: 76
  • Rhode Island: 76
  • Montana: 77
  • Vermont: 77
  • Virgínia: 78
  • Nova Jérsei: 80
  • Colorado 81
  • Novo México: 81
  • Dakota do Norte: 59
  • Oklahoma: 60
  • Indiana: 60
  • Arkansas: 65
  • Alabama: 66
  • Louisiana: 67
  • Mississippi: 67
  • Wyoming: 68
  • Carolina do Sul: 72
  • West Virginia: 73
  • Utah: 73
  • Idaho: 74
  • Tennessee: 79
  • Missouri: 82
  • South Dakota: 83
  • Alaska: 84
  • Kansas: 92
  • Kentucky: 95
  • Iowa: 68
  • Ohio: 68
  • Minnesota: 68
  • Florida: 73
  • Nevada: 74
  • Nebraska: 75
  • Maine: 76
  • New Hampshire: 77
  • Georgia: 77
  • Arizona: 81
  • North Carolina: 81
  • Pennsylvania: 85
  • Texas: 85
  • Wisconsin: 88
  • Michigan: 92
  • (Território) Samoa Americana: 43
  • (Território) Porto Rico: 53
  • (Território) Guam: 69
  • (Território) Ilhas Marianas do Norte: 75
  • (Território) Ilhas Virgens: 76

Significado de pontuações e probabilidade de violação

As classificações do SecurityScorecard fornecem insights e uma análise detalhada da postura de segurança de uma organização ou entidade. A “pontuação total” consiste em uma letra de letra de fácil compreensão nota A (100) a F (0) e transmite rapidamente uma avaliação geral da higiene da segurança. A ‘pontuação total’ é uma média ponderada de 10 ‘Pontuações de Fatores’, que fornecem insights úteis sobre vulnerabilidades detectadas agrupadas em diferentes categorias. Os fatores (ou categorias) incluem segurança de rede, saúde DNS, cadência de patches, segurança de ponto final, reputação de IP, segurança de aplicativos, pontuação de cubit, conversas com hackers, vazamentos de informações e engenharia social.

Quão precisas são as classificações de segurança do SecurityScorecard?

Os sistemas de negócios on-line acharam que a pegada do SecurityScorecard era muito precisa. Ao longo dos testes, o Online avaliou os dados do SecurityScorecard para um total de 13 domínios únicos, não relacionados e selecionados aleatoriamente e encontrou o processo de atribuição do SecurityScorecard com uma precisão de 95%. A precisão para atribuir positivamente endereços IP foi de 94%, e para a DNS Records foi encontrada em 100%. Leia aqui o relatório completo de avaliação de validação de resumo do SecurityScorecard. Para obter mais informações, consulte nossa página de precisão,um mergulho profundo em nossa metodologia de pontuação e no SecurityScorecard Trust Portal, bem como uma explicação de como o SecurityScorecard coleta dados e calcula classificações.

As classificações de segurança cibernética podem ser comparadas com as classificações de crédito financeiro.

Assim como uma classificação de crédito ruim está associada a uma maior probabilidade de inadimplência, um escore de nota ruim avalia os perfis de segurança das organizações de forma não intrusiva, usando uma metodologia “fora de instintiva”. Essa abordagem permite que o SecurityScorecard opere em escala, medindo e atualizando as classificações de segurança cibernética diariamente em mais de 1,5 milhão de organizações em todo o mundo. A probabilidade de violação relativa aumenta à medida que o grau do SecurityScorecard diminui. Por exemplo, empresas com classificação ‘F’ têm 5,6x mais chances de sofrer uma violação de dados em comparação com aquelas com classificação ‘A’.

FONTE: SECURITY SCORECARD

POSTS RELACIONADOS