0
0
Apenas dois anos depois que a diretora da Agência de Segurança Cibernética e Infraestrutura (CISA), Jen Easterly, revelou a iniciativa Joint Cyber Defense Collective (JCDC), um esforço cooperativo entre os setores de segurança cibernética pública e privada, o grupo apresentou sua primeira orientação: um roteiro para fortalecer o ecossistema de sistemas de monitoramento e gerenciamento remoto (RMM) por trás da infraestrutura crítica do país.
As ferramentas RMM são usadas por provedores de serviços gerenciados (MSPs) para acessar remotamente muitos sistemas de infraestrutura crítica. Não é de surpreender que os agentes de ameaças tenham procurado ferramentas de RMM para obter acesso às organizações que as utilizam, explicou o JCDC em seu novo Plano de Defesa Cibernética de RMM . Uma vez violados, os agentes de ameaças podem evitar a detecção e manter o acesso persistente nesses sistemas de infraestrutura.
“Esses tipos de aplicativos são recursos populares de ‘viver da terra’ para invasores, porque é improvável que desativem EDR [detecção e resposta de endpoint] comuns ou detecções de antivírus e geralmente operam com um alto nível de permissões nos dispositivos que eles controlam”, diz Melissa Bischoping, diretora de pesquisa de segurança de terminais da Tanium. “Os esforços do JCDC para melhorar a educação, a conscientização e o gerenciamento de vulnerabilidades do software RMM reduzirão o risco de um agente de ameaça alavancar com sucesso essas ferramentas”.
Ferramenta RMM usada para atacar o abastecimento de água da Flórida
O TeamViewer é um exemplo dessas ferramentas RMM legítimas que podem ser abusadas com muita facilidade, de acordo com John Gallagher, vice-presidente da Viakoo Labs.
“O software de gerenciamento e monitoramento remoto é amplamente utilizado. O TeamViewer, por exemplo, tem mais de 200 milhões de usuários — e fornece acesso direto à infraestrutura de computação de uma organização”, diz Gallagher. “Ele fornece acesso seguro, mas se essa segurança for violada, pode ser devastador devido à capacidade de um agente de ameaça operar como se estivesse dentro da empresa e na frente desse computador”.
Em 2021, um agente de ameaças conseguiu obter controle sobre o TeamViewer para ajustar os produtos químicos usados para tratar o abastecimento de água da Flórida, acrescenta Gallagher.
Recomendações do plano de RMM
A CISA explicou que o Plano de Defesa Cibernética RMM visa facilitar a colaboração entre as operadoras e fornecer orientação para as equipes de segurança cibernética no espaço. Especificamente, o relatório constatou que o ecossistema RMM precisa promover o compartilhamento de informações sobre ameaças e vulnerabilidades, construir uma comunidade operacional RMM duradoura, educar os usuários e ampliar alertas e recomendações sobre ameaças em toda a comunidade RMM.
“Muitos MSPs ainda são relativamente novos no espaço de segurança, tendo apenas começado a oferecer serviços de segurança quando coisas como administração de rede se tornaram mercantilizadas”, diz Teresa Rothaar, analista de governança, risco e conformidade da Keeper Security. “Esta colaboração, se bem-sucedida, será altamente educativa para os MSPs. Eles aprenderão como executar suas próprias operações com segurança e, por sua vez, também ajudarão seus clientes a operar com segurança.”
Roger Grimes, com KnowBe4, é um pouco mais efusivo em seus elogios ao Plano de Defesa Cibernética do JCDC RMM.
“Sistemas de gerenciamento remoto têm sido uma fraqueza contínua e ininterrupta de vários anos em nossos sistemas”, diz Grimes. “Só o tempo dirá se o que a CISA está anunciando aqui trará os dividendos esperados, mas as ideias e a estrutura para o grande sucesso foram postas em prática.”
FONTE: DARKREADING