0
0
A segurança cibernética tem sido comparada a um jogo interminável de bater em uma toupeira, com um elenco em constante mudança de ameaças e atores de ameaças. Embora os ataques que fazem manchetes possam mudar de ano para ano, o fato básico permanece: qualquer rede, não importa quão obscura seja a organização que ela suporta, provavelmente será atacada em algum momento. Assim, alcançar e manter uma postura de segurança forte é de importância crítica para organizações de qualquer tamanho.
A postura de segurança de uma organização, no entanto, está mudando constantemente. Os funcionários entram ou saem da empresa; endpoints são adicionados e descartados; e as tecnologias de rede e segurança são implantadas, desativadas, configuradas e atualizadas. Cada alteração nos elementos da rede pode representar um possível vetor de ataque para malware e outras ameaças.
É por isso que as equipes de segurança devem revisar seus processos de segurança periodicamente e manter-se alinhadas com os novos desenvolvimentos em testes e modelos defensivos e ofensivos. Isso pode ajudar a mudar a maturidade da segurança da postura de segurança mais básica para a mais avançada e muito mais forte, e de um modelo reativo para um modelo proativo.
O básico: verificação de vulnerabilidades
A primeira etapa que a maioria das organizações de TI realiza é a verificação de vulnerabilidades , que busca possíveis pontos fracos na rede e nos terminais que podem ser explorados por invasores. Há uma grande variedade de scannersdisponíveis como software de código aberto ou comercial, como serviços gerenciados e em plataformas de nuvem como AWS e Alibaba. Alguns dos scanners mais populares incluem Nessus, Burp Suite, Nmap e Qualys, embora cada um tenha sua própria área de foco. Vários também oferecem correção automática de patches.
Outra consideração é realizar uma verificação externa – que pode descobrir vulnerabilidades potenciais que os hackers podem explorar – ou uma verificação interna que pode encontrar possíveis caminhos que os invasores seguiriam uma vez dentro da rede. Muitas, se não a maioria, equipes de TI farão as duas coisas.
Embora a verificação de vulnerabilidades seja relativamente fácil de usar, ela não é o objetivo final de uma estratégia de segurança. Por exemplo, a verificação pode não detectar configurações incorretas sutis ou os caminhos de ataque mais complicados que as ameaças persistentes avançadas (APTs) podem seguir. Eles também são propensos a falsos positivos e devem ser atualizados de forma consistente.
No geral, porém, a verificação de vulnerabilidades é uma etapa importante da linha de base. Uma vez que está funcionando bem, o próximo passo é o teste de penetração.
Teste de penetração
O teste de penetração normalmente envolve hackers éticos humanos que tentam obter acesso ao interior da rede, da mesma forma que um hacker externo faria. Aqui também há uma grande variedade de ferramentas e serviços disponíveis – muitos dos scanners de vulnerabilidade mencionados acima oferecem ferramentas que podem ser usadas em testes de caneta. Outros incluem Metasploit, Kali Linux, Cobalt.io e Acunetix.
Executado periodicamente, o teste de caneta pode descobrir pontos fracos que não são encontrados pelos scanners de vulnerabilidade. Além disso, testes de caneta gerenciados por humanos podem explorar caminhos mais complexos e combinações de técnicas que os hackers aproveitam cada vez mais para explorar vítimas, como phishing.
Não surpreendentemente, as maiores tendências que afetam a rede e a segurança cibernética são essencialmente as mesmas observadas nos testes de penetraçãodeste ano: ataques de ransomware desenfreados, força de trabalho recém-distribuída e aumento de aplicativos da Web e uso da nuvem para dar suporte a trabalhadores remotos. Cada uma dessas tendências exigirá uma consideração cuidadosa na escolha de ferramentas e na criação de planos para testes de penetração.
Embora o teste de penetração possa fornecer muitos benefícios, é uma boa ideia revisar periodicamente a riqueza de informações sobre as melhores práticas disponíveis online.
Equipe Vermelha/Equipe Roxa
O terceiro passo na busca pela maturidade da segurança geralmente é o estabelecimento de uma equipe vermelha que tentará manualmente atacar e penetrar nas defesas de segurança da organização. Este pode ser um time completamente separado, ou pode estar intimamente aliado ao time azul (os defensores) em uma combinação chamada de time roxo . Como outra opção, alguns fornecedores oferecem serviços de equipe vermelha por assinatura ou uma única vez.
Uma equipe vermelha imitará as táticas, técnicas e procedimentos (TTPs) que os invasores usam – o que geralmente revela mais pontos de vulnerabilidade do que os testes de penetração podem revelar. A equipe azul pode então começar a resolver esses pontos fracos, fortalecendo ainda mais a rede contra ataques.
Mas, muitas vezes, as equipes vermelhas e azuis se transformam em um relacionamento contraproducente que é contraproducente. Também é muito caro montar uma equipe vermelha e, dada a escassez de profissionais de segurança cibernética, pode não ser viável. Portanto, muitos CISOs estão investigando duas tendências mais recentes: emulação de adversários e simulação de adversários.
Usando TTPs Adversários para o Bem
Existem vastas bibliotecas disponíveis gratuitamente de táticas, técnicas e procedimentos comuns usados durante ataques, como a estrutura ATT&CK do MITRE . A emulação e simulação de adversários aproveitam essas bibliotecas para avaliar a segurança com base na inteligência para ataques específicos e, em seguida, simular os TTPs usados.
Por exemplo, a MITRE desenvolveu um exemplo de plano de emulação de adversários para o APT3 , uma ameaça persistente avançada que anteriormente visava principalmente entidades dos EUA. O plano de emulação abrange três fases, desde a configuração de comando e controle até o acesso inicial; desde o comprometimento do host até a execução; e coleta de dados por exfiltração. O Center for Threat-Informed Defense publicou outros planos de emulação.
A emulação de adversários permite que as equipes de segurança avaliem suas defesas contra ataques do mundo real. Também pode ser usado para testar as taxas de detecção e resposta da infraestrutura de segurança.
Olhando para o futuro
Os fornecedores de segurança estão indo além da simples defesa do conceito do ATT&CK e do MITRE Shield da MITRE . Muitos fornecedores estão aproveitando um ou ambos para melhorar seus próprios produtos e serviços. Por exemplo, alguns fornecedores de segurança mapeiam anomalias e eventos para a estrutura ATT&CK, facilitando a resposta das equipes de segurança.
A CALDERA do MITRE também merece atenção. Ele fornece um sistema de emulação de adversário inteligente e automatizado que pode ser programado para um perfil de ataque específico e lançado na rede para testar suas defesas. O Caldera também pode ser usado para treinar equipes azuis na detecção e remediação de ataques específicos.
Há também projetos de código aberto para simulação de comportamento de adversários em desenvolvimento. Alguns deles são Metta da Uber, APT Simulator da Nextron Systems , Red Team Automation da Elastic/Endgame , Invoke-Adversary da CyberMonitor e Atomic Red Team da Red Canary .
Conclusão
Manter-se a par dos desenvolvimentos nos principais processos de segurança é importante para as equipes de segurança enquanto se esforçam para defender a rede contra ameaças em constante mudança. Ao fazer isso, eles podem aproximar a organização de uma postura de segurança muito mais forte.
FONTE: DARK READING