0
0
O gerenciamento de ativos de cibersegurança não vem com a emoção após as tecnologias de detecção de metaversos, blockchain ou cortina de fumaça, mas é essencial para a proteção da infraestrutura corporativa. Não é segredo que apenas um ponto final vulnerável e inseguro pode abrir o portão para os criminosos atravessarem, e à medida que os pontos de acesso aumentam exponencialmente, o mesmo acontece com o elemento de risco.
É por isso que a gestão de ativos de cibersegurança está transformando a maneira como as empresas gerenciam e protegem seus ativos. Ele funciona correlacionando dados de várias soluções dentro da infraestrutura de uma organização para fornecer um inventário completo e sempre atualizado de ativos. Dessa forma, as equipes de TI e de segurança podem facilmente identificar falhas de segurança, garantir que os ativos sigam as políticas de segurança e saibam imediatamente se um ativo se desviou dessa política de alguma forma. Também podemos automatizar ações baseadas em desvios.
As equipes de segurança enfrentam vários desafios, mas com a gestão de ativos à sua disposição, estes podem ser enfrentados com mais facilidade. Aqui identificamos cinco problemas potenciais que podem ser descobertos por um programa de gerenciamento de ativos de segurança cibernética.
Agentes de ponto final não sendo usados corretamente
Há uma infinidade de ferramentas sendo usadas para proteger ativos, incluindo desktops, laptops, servidores, máquinas virtuais, smartphones e instâncias de nuvem. Mas, apesar disso, as empresas podem ter dificuldades para identificar quais de seus ativos estão faltando o agente relevante de detecção e resposta de endpoint (EPP/EDR) definido por sua política de segurança. Eles podem ter o agente correto, mas não entendem por que sua funcionalidade foi desativada ou estão usando versões desatualizadas do agente.
A importância de entender quais ativos estão faltando a cobertura adequada da ferramenta de segurança e quais estão faltando a funcionalidade das ferramentas não pode ser subestimada. Se uma empresa investe em segurança e depois sofre um ataque de malware porque não conseguiu implantar o agente de ponto final, é um desperdício de recursos valiosos.
A saúde do agente e a higiene cibernética dependem de saber quais ativos não estão protegidos, e isso pode ser desafiador. O console administrativo de um EPP/EDR pode fornecer informações sobre quais ativos tiveram o agente instalado, mas não necessariamente prova que o agente está executando como deveria.
Bens desconhecidos não gerenciados
O desconhecido dos ativos não gerenciados é onde estão as vulnerabilidades. Sem gerenciamento ou agentes instalados, esses dispositivos – que podem incluir desktops raramente usados ou laptops que estão intermitentemente conectados à rede corporativa – representam uma ameaça.
Dispositivos não gerenciados podem ser identificáveis à rede ou a scanners de rede, mas isso não fornece informações úteis sobre eles, como se eles fazem parte de um cronograma de patches ou se precisam ter um agente EPP/EDR instalado.
Senhas e permissões
Entre as várias permissões do Active Directory (AD) que não devem ser definidas para os usuários estão três em que podemos nos concentrar: a senha do AD nunca expira, a senha do AD não é necessária e a não necessária pré-autenticação.
Há riscos para as equipes de segurança se os usuários tiverem uma conta em AD sem senha necessária, especialmente se for uma conta de administração de domínio em um controlador de domínio. O usuário também não estará sujeito a políticas relativas ao comprimento da senha e pode estar usando uma senha mais curta do que é necessário, ou pior, nenhuma senha, mesmo que isso seja permitido.
A dificuldade de não ter um conjunto de pré-autenticação é que um invasor cibernético pode enviar um pedido falso de autenticação, e o centro de distribuição de chaves (KDC) devolverá um Ticket de Concessão de Bilhetes criptografados (TGT) que o invasor pode forçar off-line. Tudo o que ficará evidente nos registros KDC é uma única solicitação para um TGT. Se uma pré-autenticação de timestamp Kerberos for aplicada, o invasor não poderá pedir aos KDCs o material criptografado para forçar a força off-line. O invasor deve criptografar um cartão de tempo com uma senha e fornecê-lo ao KDC, o que eles podem fazer repetidamente. Mas, ao impor isso, o registro do KDC gravará a entrada toda vez que a pré-autenticação falhar.
As ferramentas VA só podem digitalizar as instâncias de nuvem que eles conhecem
Com cada vez mais organizações se movendo para a nuvem, as soluções de segurança que foram implementadas para proteger seus ativos no local estão lutando para acompanhar.
As ferramentas de avaliação de vulnerabilidades (VA), por exemplo, foram projetadas para digitalizar uma rede para encontrar dispositivos com vulnerabilidades conhecidas, mas elas só podem digitalizar o que sabem. Devido à sua natureza dinâmica, a nuvem pode criar uma lacuna na qual há novas instâncias e as ferramentas de VA não estão cientes de que elas precisam ser digitalizadas.
É por isso que os atacantes têm sido capazes de explorar zero-dias para instalar ransomware em servidores de nuvem que não exigem que os usuários finais cliquem em qualquer coisa a ser lançada.
Mantendo-se atualizado com vulnerabilidades críticas
Os ativos com vulnerabilidades críticas são aqueles dentro da classificação Common Vulnerabilities and Exposures (CVE) e definidos como deficientes ou vulneráveis a um ataque direto ou indireto que criará efeitos decisivos ou significativos.
As vulnerabilidades publicadas são, obviamente, aquelas que são exploráveis e dispositivos que têm estes são um alvo comum para atacantes. Portanto, faz sentido que as equipes de segurança prestem atenção à remenda e atualização de seus ativos se forem encontradas vulnerabilidades críticas.
Este não é um resumo exaustivo, nem é uma lista de vulnerabilidades que agarram manchetes, mas aborda práticas fundamentais de segurança. Se as equipes de segurança puderem assumir o controle dos dispositivos que suas organizações estão adotando para inovação e melhor eficiência e garantir que estão protegendo todo o portfólio de ativos, eles reduzirão significativamente as vulnerabilidades e melhorarão sua postura de risco.
FONTE: HELPNET SECURITY