0
0
A tradição antiga dizia que atirar em um lobisomem, vampiro ou até mesmo em um vilão desagradável comum com uma bala de prata era uma queda infalível: um golpe, não mais bandido.
Como profissionais de segurança cibernética, entendemos – assim como as pessoas do Velho Oeste sabiam – que não existem panacéias, nem balas de prata. No entanto, os humanos gravitam em direção a soluções simples para desafios complexos, e estamos constantemente (ainda que inconscientemente) buscando a tecnologia bala de prata.
As ferramentas de Detecção e Resposta de Endpoint (EDR) tornaram-se Procedimentos Operacionais Padrão para regimes de segurança cibernética. Eles são o ponto de partida de todo CIO, e não há nada de errado nisso. Em um estudo recente da Cymulate de mais de um milhão de testes realizados por nossos clientes em 2021, o vetor de teste mais popular foi o EDR.
No entanto, as partes interessadas em segurança cibernética não devem presumir que o EDR é uma bala de prata. O fato é que a eficácia e a capacidade de proteção do EDR como uma solução autônoma diminuíram lentamente ao longo da década desde que o termo foi cunhado pela Gartner. Mesmo tendo se tornado um dos pilares da postura de segurança corporativa e SMB/SME – os ataques dispararam em frequência, gravidade e sucesso. Hoje, o EDR enfrenta alguns de seus maiores desafios, incluindo ameaças direcionadas a sistemas EDR como o bem-sucedido trojan bancário Grandoiero .
Não é uma bala de prata, mas ainda é altamente relevante
Embora o EDR não deva ser sua única linha de defesa contra ameaças avançadas, incluí-lo em um conjunto de soluções de defesa é fundamental. Ele deve ser instalado em todos os servidores organizacionais – incluindo os baseados em Linux. No entanto, a instalação não é suficiente. Sua organização corre um risco significativo se o SO e o EDR subjacentes não forem implementados e ajustados. Por quê? Com base em nossas descobertas no estudo mencionado acima, aqui estão três razões pelas quais o ajuste fino do EDR e do sistema operacional subjacente é crucial:
1. Vulnerabilidades
Um dos principais desafios do EDR é que nem tudo relacionado à segurança depende do EDR. O EDR é uma solução de terceiros fornecida pelo fornecedor que está subjacente aos controles de segurança de terceiros, como controles de aplicativos em nuvem ou sistemas operacionais. Por causa disso, há certas coisas que as soluções EDR não farão por medo de interferir nos ativos de produção. O fato é que os hackers frequentemente aproveitam as vulnerabilidades nos controles primários para contornar o EDR.
2. Permissões excessivas
Em muitas empresas, as permissões do sistema operacional ainda não estão em conformidade com o princípio do privilégio mínimo. Frequentemente, os funcionários de campo que têm funções comerciais ou não técnicas desfrutam de permissões excessivas. Quando esses atores confiáveis podem fazer coisas como abrir o PowerShell para manipular o painel de controle, executar arquivos DLL e acessar diretórios que não são o diretório do Windows – a organização acaba exposta. Quando permissões excessivas permitem o carregamento e injeções de DLL, várias vulnerabilidades baseadas em JavaScript ou certificados que permitem curingas – tudo o que as soluções de EDR podem fazer é reproduzir a recuperação pós-ataque. A razão? O EDR é baseado em uma mentalidade de “assumir violação”. E a remediação pós-execução, por definição, só é relevante depois que o ataque ocorre.
3. Protocolos legados
Todo ambiente corporativo possui ativos legados. Aplicativos herdados, protocolos TCP IP, sistemas operacionais… todos eles têm formas herdadas de fazer coisas que frequentemente permanecem habilitadas por padrão. Às vezes é um caso de necessidade, mas frequentemente essas portas dos fundos são deixadas abertas porque ninguém pensou em fechá-las.
Por exemplo, em um patch recente, a Microsoft solicitou que os administradores do Exchange desabilitassem a autenticação básica, que tem sido o padrão desde sempre. Não há como evitar ataques man-in-the-middle com a autenticação básica habilitada, portanto, é necessário mudar para a autenticação avançada. Este é um protocolo legado que permaneceu exposto… até que alguém fechou a porta.
Outro exemplo são os arquivos herdados do Microsoft HTA. Esses são arquivos binários nativos do Windows que são usados para chamar aplicativos Microsoft HTML e ficam na pasta Windows System32. Um clique e esses arquivos podem ser substituídos por malware – com o EDR nem um pouco.
A linha de fundo
Mesmo que continuem sendo a pedra angular da maioria das defesas de segurança cibernética, os sistemas EDR claramente não são uma bala de prata. Eles não são suficientes para proteger a organização como primeira linha de defesa contra violações de segurança. Dito isto, o EDR – se implementado de forma otimizada junto com o teste e ajuste do SO – tem um papel importante a desempenhar. Para maximizar o retorno do investimento em segurança das soluções de EDR, as organizações precisam garantir que o EDR não seja prejudicado por vulnerabilidades primárias, permissões excessivas ou protocolos herdados.
FONTE: HELPNET SECURITY