As organizações modernas dependem dos endereços IP e dos dispositivos, serviços web e ativos de nuvem associados a eles. No entanto, muitas vezes elas acumulam inúmeros elementos digitais, criando uma situação desorganizada que dificulta a vida das equipes de TI e de segurança. Quando se esquece de um único ativo digital, isso se torna uma ameaça potencial à segurança cibernética.
É de grande importância monitorar e administrar todos os elementos digitais na sua rede. Estes provavelmente são o componente que mais cresce na infraestrutura da sua empresa. Gerenciar os ativos digitais de forma adequada – incluindo a capacidade de identificar os endereços IP – é essencial para prevenir a entrada de invasores na sua rede.
Nos últimos vinte anos, a segurança foi focada na ameaça de ativos internos. A DMZ, uma área fortificada e restrita, se concentrava em ativos digitais e endereços IP abertos ao público. Porém, com a chegada da revolução digital, motivada pela pandemia e o aumento do trabalho remoto, os limites de rede desapareceram e deram lugar ao modelo moderno de serviços de tudo-em-um hospedado.
Ativos digitais: inativos, ignorados e potencialmente perigosos.
A mudança digital nos negócios ao longo dos últimos dois anos gerou uma grande quantidade de novas aplicações web, bancos de dados e dispositivos IoT. Estes criaram um novo grande foco para ataques, incluindo uma infraestrutura complexa de TI na nuvem. Isto pode colocar potencialmente em risco milhares de APIs, servidores, dispositivos IoT e ativos de SaaS.
Um ativo digital inadequadamente controlado é uma fonte de preocupações. Por exemplo, aplicações web oferecem grandes riscos potenciais. Uma análise recente da CyCognito descobriu que as organizações da Global 2000 têm uma média de 5.000 interfaces web acessíveis ao público, representando até 7% de sua superfície de ataque externa. O aplicativo web oferece problemas com bibliotecas abertas de código JavaScript vulneráveis, como jQuery, jQuery-UI e Bootstrap. Além disso, a oferta é curta para injeções SQL, vulnerabilidades de exposição XSS e PII.
Qualquer recurso que se encontre desconhecido ou mal administrado pode servir como uma oportunidade para um invasor violar sua rede. Estes agressores podem pilhar informação, propagar vírus, interromper os serviços e adquirir acesso contínuo sem permissão.
Quando falamos com empresas a respeito de sua área de exposição a ameaças, raramente os ouvimos expressarem confiança quanto ao domínio de seus ativos digitais. Muitas organizações ainda controlam seus endereços IP e, consequentemente, seus ativos conectados por meio de uma planilha do Excel. Eficaz? Só para as menores empresas. Um estudo de 2021 da ESG descobriu que 73% dos profissionais de segurança e TI dependem disso.
A segurança de dados deve ser a principal prioridade da sua empresa. É necessário adotar uma abordagem de gerenciamento atualizada para identificar problemas antes que eles se tornem críticos, com foco em proteger os ativos conectados e endereços IP.
As melhores intenções podem dar errado.
Ainda assim, as companhias com boas intenções podem cometer erros. Por exemplo, se um helpdesk corporativo criar um sistema interno de tickets acessível por uma URL interna, um adversário pode usar o endereço IP subjacente da URL para abrir uma porta traseira, adicionando “:8118”.
É assim que os endereços IP, juntamente com técnicas relacionadas como portas, domínios e certificados, podem representar tanto um significativo nível de segurança quanto um grande risco para a reputação.
O resultado pode ser um cemitério de áreas fracas de ativos digitais que muitas vezes se tornam portas de entrada para inimigos, tais como ferramentas negligenciadas ou mal administradas DevOps ou SecOps, itens de nuvem e interfaces web de dispositivos.
Os administradores de sistema de empresas complexas de hoje geralmente são limitados ao monitoramento de apenas um subconjunto de dispositivos que estão sob sua responsabilidade. Se esse ativo não estiver dentro do campo de visão dos gestores, as ameaças não podem ser minimizadas.
Por que administrar dispositivos IP-Connected é como possuir gatos?
No último ano, o número de endereços IP (e ativos digitais relacionados) presentes nas bases de clientes da CyCognito aumentou em 20%. Isto foi provocado, pelo menos em parte, pelo uso cada vez maior da nuvem, bem como pela confiança em dispositivos conectados e aplicativos que estão presentes nas redes das empresas. Entretanto, a expansão da infraestrutura quando uma companhia muda de tamanho é muitas vezes negligenciada.
A fusão e aquisição (M&A) tem o potencial de deixar empresas sem conhecimento sobre como gerenciar seus endereços IP. Por exemplo, se um grande hotel adquirir uma companhia menor, também herdará um conjunto de endereços IP não gerenciados e desconhecidos.
Domínios abandonados e esquecidos – um tipo diferente de ativo digital – frequentemente são alvos de um que é denominado de um host DNS descontrolado, onde um oponente pode reivindicar um subdomínio esquecido ao re-registrá-lo. Esses subdomínios, que foram anteriomente conectados aos recursos da organização, mas agora são completamente controlados por um indivíduo malicioso, podem ser usados então para redirecionar o tráfego web de uma empresa, contribuindo para a perda de informação e danos à reputação.
Da mesma maneira, as vendas de subsidiárias podem acarretar em infraestrutura descartada e ativos digitais órfãos e aplicativos web correlacionados. Estes bens esquecidos são frequentemente desconsiderados pelos setores de Tecnologia da Informação, porém não pelos hackers ávidos.
Portas desprotegidas deixam dispositivos vulneráveis a ataques de senhas genéricas. Em suma, um inimigo que deseja localizar e explorar portas que não estão devidamente protegidas necessita de serviços de nuvem mal administrados ou equipamentos conectados a um IP.
Por fim, a falta de gerenciamento de infraestrutura de TI e os ativos adquiridos por meio de uma aquisição podem ser um grande desperdício de tempo. Imagine como um endereço IP mal administrado poderia lançar equipes de segurança de TI em alarme ao descobrir que os bens da empresa estão sendo usados em um país onde não atua.
Para preservar os dados essenciais, impedir infecções por malware e prevenir violações, uma das respostas é um eficiente gerenciamento de ativos digitais e visibilidade do endereço IP. Apesar disso, ainda existem muitos administradores de sistema fazendo uso de sistemas de gerenciamento de ativos baseados em planilhas obsoletas.
Além disso, os scanners legados que ignoram vetores de ataque e detectam apenas CVEs em ativos conhecidos, não estão prontos para avaliar o risco vinculado à multidão de ativos digitais dentro de uma empresa. Por exemplo, no caso anterior do sistema de tickets internos – acidentalmente sendo exposto à internet através do URL https://X.X.X.X[:]8118 – a digitalização de portas nesse IP não encontrará nada além de um serviço HTTPs na melhor das hipóteses. Os scanners definitivamente não entenderão o contexto e a criticidade da exposição. O mesmo acontece com diretórios abertos acidentalmente em ativos de nuvem de propriedade da empresa, que podem conter credenciais de funcionários e terabytes de dados confidenciais.
A ignorância não é algo positivo e ter provas é a solução.
Certamente, os ativos digitais não são inerentemente arriscados. A ameaça está vinculada à manutenção de uma pilha de Tecnologia da Informação e à habilidade de um administrador de sistema de eliminar as múltiplas ferramentas conectadas ligadas às tecnologias locais, remotas, gerenciadas ou não gerenciadas.
Enigma: Como lidar com aquilo que não é conhecido?
Aplicar segmentação de rede, com soluções de segurança cibernética e digitalização intensa de IP e porta, juntamente com identificar os ativos, são todas as soluções necessárias para reduzir a ameaça. No entanto, essas medidas não lidam completamente com o problema.
É como se você estivesse dando à comunidade um certificado de saúde COVID limpando ao testar 20% dos moradores. Sem testar os outros 80%, você não terá uma noção de quão seguro é realmente.
Mesmo com a administração ideal da vulnerabilidade de 90% de uma área de alvo, não há como se precaver quando 10% pode passar despercebido e não controlado.
Ferramentas ineficientes de descoberta e recursos de TI limitados para corrigir problemas encontrados são obstáculos que dificultam a administração eficiente da superfície de ataque.
É necessário desenvolver uma nova mentalidade a respeito da identificação de ativos críticos desprotegidos. Continuar a descobrir os caminhos mais simples para que os invasores consigam alcançar objetivos em grande escala, aliado aos testes de segurança e ao entendimento do risco de comprometimento de ativos de grande valor, é fundamental. A CyCognito é a primeira a abordar essa ideia de exposição e controle de riscos ao invés da lenta, cara e limitada gestão de falhas.
Imagina ter acesso a todos os seus ativos de segurança – assim como as de suas subsidiárias – e poder priorizar ações de correção com base em um perfil de risco que informa a probabilidade de um determinado ativo ser violado. A capacidade de ter visibilidade em toda a sua topologia de IP e priorizar o que precisa ser tratado primeiro é essencial para obter um ambiente de TI mais seguro.
Os conselheiros sempre visam o que é menos problemático. Eles evitam caminhos de ação mais difíceis, porque eles tendem a ser barulhentos e aumentam o risco de um defensor detectar e reagir. Uma abordagem atual para a gestão da superfície de ataque externo deve aplicar os princípios de caminho de menor resistência da priorização de ativos de remediação, MTTR médio e responder à pergunta: “Estamos seguros?”
Rob Gurzeev é o CEO e co-criador da CyCognito, uma empresa de gestão de exposição a ataques externos. Como especialista em segurança ofensiva, ele se dedica a fornecer soluções de segurança cibernética que possam ajudar as organizações a identificar e remover os caminhos que os invasores exploram.
Aproveite os conhecimentos aprofundados da comunidade Infosec Insiders na Threatpost acessando nosso microsite.
Mande esse artigo para seus amigos.
- O InfoSec Insider é um portal especializado em notícias e tendências relacionadas à segurança da informação que oferece os últimos desenvolvimentos em seu campo.
- Internet das Coisas é abreviada como IoT.