Nesta entrevista da Help Net Security, Patrice Auffret, CTO da Onyphe , explica como a visão tradicional de segurança baseada em perímetro está se tornando obsoleta. Ele sugere que as organizações redefinam seu conceito de superfície de ataque e discuta medidas proativas que podem tomar para fortalecer sua solução de gerenciamento de superfície de ataque (ASM).
Como o ASM ajuda a responder questões essenciais sobre a natureza e as vulnerabilidades da superfície de ataque de uma organização? Você pode fornecer alguns insights sobre as principais perguntas que as organizações deveriam fazer?
Primeiro, vamos definir ASM . O termo foi cunhado pelo Gartner em algum momento de 2020. É uma nova ferramenta no arsenal defensivo de segurança cibernética das organizações. O ASM deve ajudar as organizações a ter uma visão melhor dos seus ativos expostos à Internet, bem como ajudá-las a identificar os desconhecidos. Muitas soluções surgiram desde então na categoria ASM, mas nem todas são iguais. Uma boa solução ASM deve incorporar o Attack Surface Discovery (ASD), que é a capacidade de encontrar ativos desconhecidos. Atuamos nas categorias ASD e ASM há 6 anos, antes mesmo que esses termos existissem.
Em 2023, as organizações não poderão corrigir tudo rapidamente, o tempo todo. O ASM deve permitir que as equipes de TI se concentrem nas ameaças mais importantes: aquelas exploradas pelos cibercriminosos para penetrar nas redes e implantar ransomware. Sabemos, graças aos relatórios de inteligência de ameaças, que a grande maioria das intrusões ocorre devido a serviços RDP (Remote Desktop Protocol) expostos à Internet, dispositivos VPN e vulnerabilidades críticas ( CVEs ). Um relatório da Unidade 42 de Palo Alto de 2022 destaca que esses três vetores de acesso iniciais são responsáveis por 46% das intrusões em redes baseadas na Internet.
Do ponto de vista do gerenciamento da superfície de ataque externo, pelo menos as empresas deveriam se concentrar nesses três vetores.
Dado que a visão tradicional de segurança baseada em perímetro está se tornando obsoleta, como as organizações devem redefinir seu conceito de superfície de ataque no mundo atual centrado na nuvem?
A superfície de ataque de uma organização pode incluir toda a tecnologia que sustenta seus processos e dados de negócios, incluindo infraestrutura e aplicativos terceirizados. É por isso que o TEA é tão essencial e um pré-requisito para um MAPE eficaz. Além disso, argumentamos que, para muitas organizações, a ASM é a parte mais fácil, e o desafio é ter um inventário completo dos seus activos expostos. É aí que entra uma solução ASD.
Outro benefício importante do ASD é que ele pode alimentar um scanner de vulnerabilidade tradicional com uma lista de endereços IP ou nomes de domínio totalmente qualificados (FQDNs) como complemento às soluções ASM.
Além disso, a abordagem obsoleta baseada na propriedade intelectual para o inventário de activos deve ser proibida. Hoje, é necessário adotar uma abordagem baseada em domínio para inventário de ativos. Por quê então? Simplesmente porque com a infraestrutura efêmera baseada em nuvem, os endereços IP estão sujeitos a alterações, enquanto os nomes de domínio devem permanecer consistentes ao longo do tempo, com novos domínios adicionados constantemente. Como podemos acompanhar mudanças e novos domínios? Uma boa solução ASD precisa coletar dados de diversas fontes, como DNS, registros de transparência de certificados (CTL), varredura baseada em IP em toda a Internet e, ainda mais importante, varredura baseada em URL. A última é crucial porque cada vez mais empresas protegem os seus websites com soluções CDN, como a Cloudflare. Se você verificar apenas os endereços IP do Clouflare, não conseguirá obter visibilidade de seus hosts da web reais, que podem ter problemas de segurança ocultos.
Ao aproveitar todas essas fontes de informação, uma organização pode começar a partir de um único nome de domínio, basear-se em palavras-chave e provedores de serviços conhecidos e, em seguida, iterar para criar um inventário de todos os ativos expostos. Então, você deve usar as ferramentas certas para encontrar endereços IP vinculados a todos os seus domínios e outros pivôs, como o campo de organização em certificados TLS ou rastreadores HTTP, como Google Analytics e Meta Pixels, encontrados em sites. Essa lista de padrões se torna seu inventário de ativos e você deve atualizá-la regularmente para encontrar novos ativos expostos.
Uma boa solução ASM deve ser independente de IP e, ao mesmo tempo, ser capaz de pesquisar por blocos de rede organizações com seus intervalos de IP ou datacenters.
Com a natureza dinâmica das empresas, especialmente aquelas que estão migrando para a nuvem, como o ASM interno e externo diferem em sua abordagem e importância?
O ASM interno é mais simples: você já deve ter a lista dos seus endereços IP ou blocos de rede. A varredura de seus intervalos deve ser feita regularmente, o que tem sido feito há décadas.
O ASM externo é mais difícil porque você precisa identificar seus ativos, conforme descrevemos anteriormente, e depois atualizar a lista de pivôs crescentes. Além disso, para ASM externo, queremos afirmar que o endereço IP encontrado é um dispositivo VPN, uma câmera ou um sistema de tickets. É importante saber que tipo de ativo está exposto. Você conhece todos os seus servidores VPN expostos? Você tem uma solução que pode facilmente fornecer essa lista? Esse é um dos objetivos da ASM.
O fato de um ativo estar hospedado na nuvem ou em outro lugar realmente não importa, no final das contas, os criminosos são agnósticos quanto ao provedor de hospedagem quando procuram alvos. Ao mesmo tempo, uma solução ASM deve ser capaz de indicar a que tipo de instalação de hospedagem um endereço IP está vinculado, pois pode ajudar a impor uma política de segurança interna, por exemplo.
Métodos tradicionais, como exercícios de equipe vermelha ou testes de penetração, geraram inventários de ativos. Por que estes métodos estão se tornando menos eficazes, especialmente em ambientes de nuvem?
Eles estão se tornando menos eficazes porque, como argumentado anteriormente, os endereços IP estão sujeitos a alterações e você precisa acompanhar essas atualizações quase diariamente. Os testes de penetração tradicionais geralmente estão estritamente vinculados a um determinado escopo (endereços IP e nomes de domínio, no cenário mais comum) fornecido pelo cliente final. A pessoa que fornece essa lista pode não conhecer todos os bens relevantes. Um teste de penetração mais realista seria baseado em “sem escopo”, pois é assim que os cibercriminosos trabalham. O pentest baseado em “sem escopo” deve usar uma solução ASD antes de começar. Por que os pentests legítimos deveriam ser limitados por um escopo estreito desde o início, enquanto os “pentests” ilegítimos realizados por criminosos não o são?
Além disso, em relação aos scanners de vulnerabilidades tradicionais que as organizações utilizam há décadas, seu objetivo é gerar um relatório com todas as vulnerabilidades, críticas ou não, o que pode impor uma enorme carga às equipes de remediação. Além disso, os scanners de vulnerabilidades devem encontrar algo, mesmo quando não explorável ou inútil, do ponto de vista do invasor. Consideramos esta abordagem de “encontrar tudo” obsoleta simplesmente porque as equipes não conseguem priorizar adequadamente a carga de trabalho que ela gera, e isso leva ao cansaço da remediação. Finalmente, não se deve esperar que um problema seja encontrado por um scanner de vulnerabilidade para iniciar a correção; pode já ser tarde demais.
Os scanners de vulnerabilidade tradicionais são perfeitos para criar KPIs para gerenciamento, enquanto as soluções ASD/ASM são úteis para equipes de segurança operacional que estão sob ataque todos os dias. Eles precisam de soluções eficientes para se concentrarem nas ameaças críticas atuais, e não em relatórios extensos e painéis coloridos.
Dado que muitas organizações sofreram um ataque cibernético a um ativo desconhecido ou não gerido, que medidas proativas podem ser tomadas para minimizar esse risco?
A primeira medida proativa é manter um inventário de ativos atualizado com base na correlação entre múltiplas fontes de informação, conforme descrevemos: DNS, CTL, verificação de IP e verificação de URL. Essa abordagem permite que as organizações identifiquem o que as soluções básicas de ASM não conseguem.
Em segundo lugar, a ASM deve aproveitar a Inteligência contra Ameaças Cibernéticas (CTI) para se concentrar fortemente naquilo que os cibercriminosos procuram. Estamos fazendo inteligência interna sobre ameaças para que possamos nos concentrar na detecção do que é importante. Portanto, o ASM deve ser capaz de identificar sistemas e serviços atualmente alvo de criminosos.
Em terceiro lugar, no que diz respeito às vulnerabilidades críticas (CVEs), as organizações devem compreender que a utilização do atual sistema de pontuação CVSS para priorizar a aplicação de patches é falha. Argumentamos que as equipes de segurança deveriam definir um sistema de pontuação binário: um CVE é explorado para penetrar nas redes ou não. Essa é a abordagem adotada pelo catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA, e estamos totalmente alinhados com essa excelente iniciativa. Depois de décadas de tentativas, mesmo as grandes organizações não conseguem corrigir todos os seus softwares e hardwares. Focar em vulnerabilidades críticas e servidores RDP/VPN definitivamente melhoraria a postura de segurança da maioria dos cenários de TI. Ao mesmo tempo, ajude as equipes de segurança operacional a se concentrarem no que é mais importante.
Finalmente, uma última e crítica consideração ao realizar ASD e ASM é identificar seus fornecedores e subsidiárias. Eles lidam com seus dados? Nesse caso, eles devem fazer parte do inventário de ativos e ser integrados ao seu programa ASM. Temos visto frequentemente relatos de empresas comprometidas por causa de um fornecedor ou subsidiária. Eles devem ser considerados parte da sua organização.
FONTE: HELP NET SECURITY