Protegendo endpoints remotos

Views: 167
0 0
Read Time:7 Minute, 22 Second

Embora as empresas tenham sido encarregadas de abordar uma série de ativos remotos associados a recursos fora do local, como uma força de vendas que muitas vezes é móvel, o número de pontos finais remotos cresceu exponencialmente. Os laptops e dispositivos móveis necessários para facilitar o trabalho em casa em tempo integral para uma grande porcentagem de seus trabalhadores, dado os recentes eventos globais, explodiram. Empresas de todos os espectros são desafiadas a estabelecer e manter uma postura de segurança adequada de forma holística em todo o seu ambiente de Tecnologia da Informação.

Embora um dos principais fatores primários recentes para esse aumento da força de trabalho remota possa ser a pandemia atual, pelo menos um estudo recente sugere que 67% das organizações que responderam esperam que as políticas de trabalho em casa (WFH) que foram implementadas em resposta à pandemia permaneçam em vigor a longo prazo ou talvez permanentemente. Como tal, é imperativo que as organizações não apenas abdoem essas questões no curto prazo, mas também incorporem práticas para fornecer posturas aceitáveis de segurança de ponto final remoto em seus planos estratégicos de governança avançando com a expectativa de que este seja o novo normal.

A segurança do ponto final é frequentemente dividida em três (3) fases distintas com metas e ações específicas presentes em cada fase. As fases são:

Um programa de segurança de ponto final eficaz abordará todas as três fases. Este post no blog se concentrará na primeira fase e em como abordá-los utilizando o Programa de Vulnerabilidade Gerenciada da AT&T e as soluções que oferecemos. Por favor, note que isso não é de forma alguma destinado a classificar a fase de Prevenção como a mais /mais importante do que as outras duas fases de proteção de ponto final. Futuras postagens de blog se expandirão sobre isso para abordar as outras duas fases de segurança de ponto final e, juntas, abordarão coletivamente essa questão em sua totalidade.

Prevenção

A prevenção é uma fase pré-ataque que se concentra em impedir a exploração de fraquezas de segurança. As atividades incluem estabelecer e manter estoques precisos e atualizados de hardware/software, bem como fornecer que os ativos inventariados tenham configurações altamente seguras e todos os patches relevantes aplicados. As atividades de alto nível que compõem esta fase são ilustradas abaixo:

Em essência, essas atividades são muitas vezes a base de todos os Programas de Gerenciamento de Vulnerabilidades e Patches.

Estoques de ativos

Ao executar varreduras periódicas de descobertas usando mecanismos de varredura fornecidos com soluções de gerenciamento de vulnerabilidades, as organizações são capazes de manter estoques de ativos precisos e atualizados. Além disso, as soluções que incluem a capacidade de implantar motores de varredura passiva são especialmente úteis na manutenção de um inventário de ativos, dada a sua capacidade de monitorar constantemente o tráfego de rede e alertar em quase tempo real à medida que identificam ativos desconhecidos em uma rede. Observe que, embora os motores de varredura passiva sejam úteis, eles não são um requisito para manter estoques de ativos eficazes. Ao executar varreduras regulares de descobertas em uma cadência agressiva, um resultado semelhante pode ser alcançado apenas com motores de varredura ativos. Tenha em mente que, comparando as varreduras de descobertas ou utilizando alertas gerados por mecanismos de varredura passiva, as empresas também podem usar essa atividade para ajudar a identificar quaisquer dispositivos desonestos que possam estar presentes dentro de um ambiente.

Esta não é apenas uma prática recomendada que todas as organizações devem implementar, inventários e detecção de dispositivos desonestos são um requisito incluído em muitas estruturas de segurança comuns e mandatos de conformidade (ou seja, PCI DSS 2.4, controle CIS 1 para inventários e PCI DSS 11.1 e controle CIS 15 para detecção de dispositivos sem fio desonestos).

Inventários de software

Embora os inventários de ativos possam ser derivados por varreduras de descobertas de motores de varredura ativos ou pela implantação de mecanismos de varredura passiva que monitoram constantemente o tráfego de rede, manter inventários de software precisos requer o equivalente a uma varredura autenticada para compilar uma lista completa de software instalado. Esse tipo de varredura pode ser alcançado utilizando um mecanismo de varredura ativo ou implantando um agente host. Embora isso possa ser realizado por qualquer método, a AT&T Cybersecurity recomenda o uso de agentes sempre que possível, a fim de fornecer que as atualizações do inventário ocorram periodicamente durante qualquer dia.

Varredura de vulnerabilidade / detecção de patches

A capacidade de detectar vulnerabilidades associadas a patches pendentes e configurações inseguras que requerem remediação de ativos é crucial para proteger pontos finais altamente, independentemente de onde esses sistemas são implantados. Agendar varreduras regulares de vulnerabilidades é fundamental para manter uma lista atual de patches pendentes e alterações de configuração que precisam ser implantadas. Uma pergunta comum que muitas vezes somos feitas por nossos clientes é “Com que frequência a varredura deve ocorrer”? A recomendação padrão da AT&T Cybersecurity é que os ativos críticos e externos de negócios devem ser digitalizados pelo menos diariamente. Todos os outros ativos devem ser escaneados pelo menos semanalmente.

Por que recomendamos que você escaneie com tanta frequência? Lembre-se disso, que até 14 de agosto de 2020 havia 10.363 vulnerabilidades de segurança associadas aos CVEs publicados até agora apenas em 2020. Em comparação com 2019, houve um total de 16.033 vulnerabilidades publicadas associadas aos CVEs. Dado que novas vulnerabilidades são identificadas quase todos os dias, uma cadência de varredura diária para ativos críticos de negócios e aqueles expostos à Internet não é, em nossa opinião, excessivamente agressivo. Especialmente porque a digitalização desta maneira não é intrusiva ou impactante quando os scans estão devidamente sintonizados.

Embora as varreduras não autenticadas possam identificar patches pendentes em serviços expostos ao mecanismo de varredura, o método preferido é executar varreduras autenticadas que são capazes de identificar todos os patches necessários, independentemente de o software incluir o uso ativo de portas de rede. Além de ser capaz de identificar patches que não foram instalados associados a um software que não inclui um componente de rede, as varreduras autenticadas ajudarão a melhorar consideravelmente a precisão do motor de varredura e reduzir o número de problemas classificados como potenciais, já que a solução não precisa depender da impressão digital do serviço.

Digitalização de configuração

A digitalização de configuração é um componente igualmente importante de qualquer Programa de Gerenciamento de Vulnerabilidades e Ameaças. Embora muitas empresas se concentrem em se manter em dia com patches que suas várias plataformas exigem, configurações inseguras podem ser tão arriscadas quanto. Embora a maioria das soluções de varredura de vulnerabilidades identifique configurações comuns inseguras, complementando varreduras de vulnerabilidade com varreduras de configuração regularmente programadas que baseiam um ativo contra controles de segurança específicos, as organizações podem ajudar a reduzir consideravelmente o risco potencial de um ativo.

A incorporação de varreduras de conformidade que baseiam ativos contra estruturas comuns de segurança, como NIST ou CIS (e potencialmente alguns controles de segurança específicos definidos internamente), fornece que as empresas mantenham seu perfil de risco desejado ao longo do tempo.

Remediação

O elemento final para a fase de Prevenção é a remediação de todos os problemas identificados tanto na vulnerabilidade quanto nas varreduras de configuração. As atividades de remediação são, na maioria das vezes, uma combinação de esforços para implantar patches pendentes, mudanças de configuração e, possivelmente, até mesmo compensação de controles. Destas, as opções preferidas são aplicar patches e/ou implementar alterações de configuração que abordam as vulnerabilidades identificadas nas varreduras. Dito isto, há circunstâncias em que isso pode não ser possível. Nesses casos, a compensação de controles pode ser uma opção para ajudar a reduzir o risco associado às vulnerabilidades identificadas nas atividades de varredura de vulnerabilidade e configuração.

Validação de remediação

Uma coisa importante a ser lembrada é que uma vez que a remediação ocorre, ela não está completa até que um esforço de validação confirme que o esforço de remediação foi eficaz. Na maioria das vezes, a validação da remediação pode ser alcançada rescanando um ativo. Ao fazê-lo, a varredura subsequente deve indicar que os esforços de remediação foram eficazes no enfrentamento da questão associada. A validação da remediação também pode ser alcançada usando métodos de teste manual, mas uma varredura automatizada não só fornecerá a validação … também fornecerá uma trilha de auditoria memorializada documentando sua eficácia.

Resumo de encerramento

Embora esta entrada no blog seja ostensivamente direcionada para a proteção de pontos finais remotos, essas recomendações também são aplicáveis a todas as implantações de ponto final, sejam elas no local, na nuvem ou remotas. Independentemente da maturidade de cibersegurança de uma organização, as atividades definidas acima podem ser empregadas para ajudar a monitorar a postura de segurança e conformidade dentro de qualquer ambiente e ajudar a manter um perfil de risco aceitável.

FONTE: AT&T

Previous post Serviços on-line da Prefeitura de Vitória ficam indisponíveis após ataque hacker
Next post SecurityScorecard 10 fatores de risco explicados

Deixe um comentário