0
0
Costumava ser que as pessoas eram a maior vulnerabilidade de segurança cibernética, mas isso não é mais verdade.
A ascensão da internet tornou as pessoas mais conectadas do que nunca. Os invasores capitalizaram esse fato e visaram os funcionários diretamente para obter acesso a uma organização. Aproveitando métodos altamente automatizados (como phishing que redireciona os usuários para sites comprometidos), os invasores só devem enganar um funcionário para iniciar um ataque catastrófico contra toda a organização. Esses métodos são extremamente eficazes e de baixo custo, pois exigem capacidades técnicas modestas. Assim, o mantra dos funcionários-são-nosso-elo mais fraco tornou-se um ditado inquestionável da indústria, adotado tanto por defensores quanto por atacantes.
Mas nos últimos 10 anos, as defesas para os funcionários melhoraram drasticamente, aumentando o custo e diminuindo a eficácia de tais ataques. Ao mesmo tempo, o volume e a variedade de sistemas de TI corporativos diretamente acessíveis pela Internet explodiram.
As organizações frequentemente executam sistemas de TI voltados para a Internet com software de anos que não foi corrigido e que não estão integrados em nenhuma estrutura de monitoramento de segurança. Esses sistemas expostos são altamente heterogêneos, incluindo tudo, desde servidores de banco de dados, aplicativos de negócios principais e estações de trabalho até sistemas embarcados, como câmeras, dispositivos IoT e até mesmo sistemas de controle de construção; tudo espalhado pelo mundo onde quer que a empresa esteja presente.
O número e a variedade de sistemas de TI acessíveis à Internet superaram a capacidade das equipes de segurança e das tecnologias de segurança de monitorar e proteger totalmente esses ativos. Os invasores perceberam que esses sistemas não monitorados apresentam a mesma oportunidade de acesso que os funcionários já tiveram – ou seja, uma superfície de ataque que pode ser encontrada e explorada usando métodos altamente automatizados e de baixo custo. Assim, os ativos de TI da empresa expostos na Internet pública tornaram-se o novo elo mais fraco.
Se uma vulnerabilidade como a descoberta há alguns anos na biblioteca Log4j fosse encontrada novamente em outra biblioteca amplamente utilizada amanhã, quanto tempo levaria para sua organização identificar todos os seus sistemas vulneráveis? Você estaria confiante de que encontrou todos eles? Os invasores saberiam mais sobre seus sistemas do que você?
As organizações devem priorizar o gerenciamento da superfície de ataque para lidar com essa nova ameaça, porque, se não o fizerem, os invasores saberão sobre essas fraquezas antes de fazê-lo.
Phishing deixou de ser fácil
Era uma vez, enganar as pessoas para que clicassem em links ou abrissem mensagens que pudessem conceder acesso aos agentes de ameaças era uma tática de ataque simples e eficaz. Mas como as empresas de segurança cibernética trabalharam tão duro para resolver esse problema, os golpes de phishing não são tão eficazes quanto costumavam ser. Eles ainda acontecem, mas seu sucesso depende de os invasores serem capazes de contornar muitas defesas – e a tecnologia moderna permite que a maioria desses ataques seja interceptada antes de chegar ao destinatário pretendido. E se uma mensagem de phishing conseguir chegar à caixa de entrada de um funcionário, o treinamento antiphishing e de conscientização de segurança ajudará a mitigar o risco.
Embora a tecnologia tenha ajudado a bloquear ataques de phishing recebidos, ela também pode ajudar a identificar e capturar um agente de ameaça se ele passar por essas defesas. E-mails e links podem ser vinculados a um indivíduo, a menos que o agente da ameaça tenha tomado muito cuidado e esforço para se esconder. Essa possibilidade fez com que muitos maus atores evitassem essa tática para garantir que não fossem pegos. Em vez disso, eles analisam o comprometimento de ativos de TI, onde há menos chances de serem pegos. Pense nisso como você pensaria em um assalto a banco: por que os agressores escolheriam passar pela porta da frente, que é fortemente monitorada por câmeras e guardas de segurança, quando uma entrada lateral que eles descobriram tem pouco ou nenhum monitoramento no lugar?
Alvo de tendência: ativos de TI na Internet
Perguntei a todas as OSCs com quem trabalhei: Quantos servidores você tem na internet e por que está confiante nesse número? Houve apenas um caso na minha carreira em que uma OSC esteve perto de saber o número real.
No mundo digital de hoje, existem milhares de ativos na internet que deixam uma organização vulnerável, e muitos deles não foram criados pela TI. O Gartner projeta que, até 2026, apenas 20% das empresas terão mais de 95% de visibilidade de todos os seus ativos. Embora isso se mostre promissor porque isso está acima de menos de 1% das empresas em 2022, isso ainda está longe.
A próxima peça do quebra-cabeça é identificar os proprietários do sistema final e, em seguida, fazer com que os ativos se tornem parte da linha de base de segurança padrão. Na maioria das vezes, esses ativos de TI não são seguros porque o ônus é da equipe de TI, não da equipe de segurança. A equipe de segurança muitas vezes não é capaz de ajudar a identificar e proteger os ativos porque eles não sabem que eles existem.
Protegendo sua superfície de ataque
Embora os ativos de TI apresentem um risco maior de ataque, existem maneiras de melhorar o gerenciamento da superfície de ataque para proteger sua organização.
Primeiro, volte ao básico. Compile uma lista de todos os seus endereços IP e domínios. Se você já tem isso em mãos, quanta confiança você tem de que é preciso e atualizado? Tome as medidas necessárias para garantir que você compilou uma lista completa e colocou um processo em prática para que ela seja atualizada regularmente. Isso lhe dará uma visibilidade maior e contínua da sua superfície de ataque.
Você também deve realizar inventário de ativos. Você está confiante de que todos os sistemas vulneráveis são conhecidos e protegidos? Estas são perguntas difíceis, mas vitais para responder para se proteger e evitar milhões de dólares em perdas.
FONTE: HELPNET SECURITY