Tech

Gerenciamento de exposição e sua superfície de ataque

Photo of LifeTechWeb LifeTechWebAugust 23, 2024
0 8 minutos lidos
Gerenciamento de exposição e sua superfície de ataque
Gestão de Exposição

Leia o artigo completo para os principais pontos da palestra recente do VP de Produto da Intruder, Andy Hornegold, sobre gerenciamento de exposição. Se você quiser ouvir os insights de Andy em primeira mão, assista ao webinar sob demanda da Intruder. Para saber mais sobre como reduzir sua superfície de ataque, entre em contato com a equipe deles hoje mesmo.

Gerenciamento de superfície de ataque vs gerenciamento de exposição

Gerenciamento de superfície de ataque (ASM) é o processo contínuo de descoberta e identificação de ativos que podem ser vistos por um invasor na web, mostrando onde existem lacunas de segurança, onde podem ser usadas para executar um ataque e onde as defesas são fortes o suficiente para repelir um ataque. Se há algo na web que pode ser explorado por um invasor, isso normalmente se enquadra no âmbito do gerenciamento de superfície de ataque.

O gerenciamento de exposição leva isso um passo adiante para incluir ativos de dados, identidades de usuários e configuração de conta na nuvem. Ele pode ser resumido como o conjunto de processos que permite que as organizações avaliem de forma contínua e consistente a visibilidade, acessibilidade e vulnerabilidade de seus ativos digitais.

A jornada contínua de gerenciamento de ameaças

O gerenciamento contínuo é essencial por vários motivos. Seu negócio, sua superfície de ataque e o cenário de ameaças não são estáticos, eles estão constantemente mudando e evoluindo. Novas vulnerabilidades são divulgadas a cada hora, novos exploits para vulnerabilidades antigas são divulgados publicamente e os agentes de ameaças estão atualizando suas técnicas continuamente. Além disso, novos sistemas e serviços são frequentemente expostos à web e, se você estiver executando processos de CI/CD, seus aplicativos são atualizados com frequência, o que pode criar lacunas de segurança exploráveis.

Indo além dos CVEs

Cada vez mais, o gerenciamento de vulnerabilidades está sendo visto por uma lente estreita de vulnerabilidades que têm CVEs. A equipe do Intruder discordou dessa abordagem e acredita que, se houver uma fraqueza na sua superfície de ataque, é uma vulnerabilidade, independentemente de ter um CVE associado ou não.

Então, diferentemente da abordagem estreita para gerenciamento de vulnerabilidades, o gerenciamento de exposição abrange toda a vista – incluindo configurações incorretas e potenciais fraquezas que não têm um CVE associado. Veja a injeção de SQL, por exemplo. Ela não tem um CVE, mas ainda é uma vulnerabilidade em seu aplicativo que pode levar a consequências sérias se explorada. Além disso, ter o Home windows Distant Desktop exposto à web não tem um CVE associado, mas introduz o risco de que um invasor possa tentar explorar. Por fim, o gerenciamento de exposição fornece um nome comum para como percebemos e gerenciamos essas ameaças.

1
2
3

Priorizando vulnerabilidades: a necessidade de contexto

Atualmente, a maioria dos scanners de vulnerabilidade fornece uma lista de vulnerabilidades, cada uma como um ponto de dados independente. Por exemplo, eles podem relatar: 'O sistema X tem a vulnerabilidade Y; você deve consertá-la.' No entanto, ao lidar com um grande número de vulnerabilidades, essas informações por si só não são suficientes.

A priorização eficaz requer mais contexto para garantir que o recurso limitado da sua equipe esteja focado em problemas que realmente farão a diferença. Por exemplo, é essential entender quais ativos dão suporte às suas funções comerciais críticas, quais vulnerabilidades podem ser encadeadas para impactar funções comerciais críticas e onde um invasor poderia potencialmente entrar na sua rede se esses ativos fossem explorados.

Esta abordagem transforma a gestão de vulnerabilidades de tarefas isoladas e compartimentadas numa estratégia coesa, fornecendo o contexto necessário para determinar não só se uma vulnerabilidade deve ser corrigida, mas também quando.

Assim como a meditação ajuda a filtrar o bombardeio diário de pensamentos e distrações, a abordagem do Intruder para gerenciamento de exposição visa filtrar o ruído para focar nas questões mais importantes.

Por que o gerenciamento de exposição é importante

O gerenciamento de exposição importa porque nem tudo que pode ser corrigido, deve ser corrigido imediatamente. Sem uma abordagem estratégica, você corre o risco de desperdiçar um tempo valioso resolvendo problemas de baixo impacto, como um certificado TLS não confiável em uma rede interna, em vez de abordar vulnerabilidades que podem levar ao comprometimento de um sistema de missão crítica.

É possível para você e sua equipe causar um impacto desproporcional e até mesmo mais significativo no perfil de risco da sua organização ao ter mais tempo para focar em atividades estrategicamente importantes que protegem sua organização de forma mais eficaz. Isso pode ser alcançado evitando uma reação impulsiva a cada vulnerabilidade (semelhante a brincar de whack-a-mole), que é o que o gerenciamento de exposição visa alcançar.

É possível reduzir o quantity de tarefas que sua equipe está realizando analisando seu ambiente, entendendo quais ativos dão suporte a processos críticos de negócios, estabelecendo equipes dedicadas responsáveis ​​pela correção desses ativos e definindo limites ou gatilhos que especificam quando os problemas precisam ser resolvidos.

A necessidade de gestão da exposição

Há muitos exemplos recentes de invasores obtendo controle complete por meio de pontos de entrada aparentemente inócuos.

Um desenvolvedor da Microsoft descobriu um backdoor deliberadamente colocado no xz-utils, um utilitário essencial de compressão de dados para sistemas operacionais Linux e Unix-like. Essa vulnerabilidade, encontrada nas versões 5.6.0 e 5.6.1, permitiu que um agente de ameaça desconhecido executasse comandos em sistemas que estavam executando essas versões do xz-utils e tinham SSH exposto à web. O momento da descoberta foi incrivelmente sortudo, foi descoberto antes que as versões comprometidas do xz-utils pudessem chegar a muitas distribuições Linux tradicionais, como Debian e Pink Hat.

Embora não houvesse casos relatados de exploração, os riscos potenciais eram substanciais. Um agente de ameaça teria obtido acesso a esses sistemas, dando a eles um ponto de partida para comprometer outros sistemas em qualquer rede conectada para extrair todos e quaisquer dados sensíveis.

As equipes de segurança terão gasto tempo e esforço para descobrir se foram expostas. Com o gerenciamento de exposição, teria sido fácil identificar quaisquer versões afetadas dentro de seus ambientes e estabelecer rapidamente que a exposição foi mínima, já que as versões comprometidas do xz-utils não são tão disseminadas.

Curiosamente, o esforço para incorporar o backdoor levou quatro anos, revelando um esquema calculado e de longo prazo para comprometer software program de código aberto. Isso não é necessariamente novo, mas destaca o fato de que ameaças persistentes avançadas não estão focadas apenas em grandes empresas; se os agentes de ameaças podem comprometer um pacote de código aberto como o xz-utils e fazê-lo atingir distribuições tradicionais, então todos estão em risco.

Depois, há a Palo Alto Networks. Ela emitiu um chamado urgente para que as empresas corrijam uma vulnerabilidade crítica de dia zero, conhecida como CVE-2024-3400, em seu software program PAN-OS amplamente usado que alimenta os produtos de firewall GlobalProtect. Essa falha, encontrada nas versões mais recentes do software program, permite que os invasores assumam o controle complete de um firewall afetado remotamente sem exigir autenticação, representando assim uma ameaça significativa para milhares de empresas que dependem desses firewalls para segurança. Dado seu potencial para exploração remota direta, a Palo Alto deu a essa vulnerabilidade a classificação de gravidade mais alta. Usando ferramentas de gerenciamento de superfície de ataque disponíveis para você, a identificação de ativos vulneráveis ​​deve ser quase instantânea e, com um processo de gerenciamento de exposição em vigor, o limite para remediação deve ter permitido que os responsáveis ​​pela remediação ou mitigação entrassem em ação rapidamente.

Esses exemplos demonstram como as ameaças podem ser efetivamente eliminadas se as organizações mudarem de uma abordagem reativa e de pressa para corrigir problemas para uma gestão proativa de exposição, na qual gerenciam continuamente sua superfície de ataque.

‍Iniciando sua jornada em direção ao gerenciamento eficaz da exposição

Começar com o gerenciamento de exposição começa com etapas práticas e gerenciáveis:

  1. Use o que você já tem: Primeiro, lembre-se de que você pode aproveitar os serviços que já está usando. Por exemplo, se estiver usando uma ferramenta como o Intruder, você já tem um provedor de gerenciamento de vulnerabilidades e gerenciamento de superfície de ataque que pode dar o pontapé inicial em sua abordagem para gerenciamento de exposição. Como alternativa, um serviço de consultoria pode conduzir exercícios de mapeamento de caminho de ataque e workshops de perfil de ameaça.
  2. Defina seu escopo: Ao definir o escopo do que seu processo de gerenciamento de exposição cobrirá, concentre-se primeiro nos ativos que estão expostos à Web, pois eles geralmente são mais vulneráveis ​​a ataques. O Intruder pode ajudar fornecendo uma visão dos seus sistemas voltados para a Web, que você pode usar como ponto de partida para seu processo de gerenciamento de exposição. Você também pode usar a marcação de alvos do Intruder para segmentar sistemas em seus escopos definidos. No processo de escopo, você também está procurando identificar indivíduos que são responsáveis ​​por remediar o risco quando uma vulnerabilidade é detectada; você pode adicionar esses usuários ao Intruder e capacitá-los a corrigir e validar que quaisquer problemas foram resolvidos. Se os dados estiverem disponíveis, lembre-se também de manter o controle dos aplicativos SaaS que você usa, pois eles podem conter dados e credenciais confidenciais.
  3. Descubra e priorize seus ativos: Use uma ferramenta para identificar ativos conhecidos e desconhecidos e identificar quais são críticos para os negócios e oferecem suporte ao escopo que você definiu anteriormente. O Intruder descobre automaticamente novos ativos de nuvem integrando-se com suas contas de nuvem e executa verificações automatizadas para subdomínios. Você também pode adicionar contexto aos seus ativos usando tags para especificar como os sistemas contribuem para seus processos de negócios e qual risco eles representam para esses processos se forem comprometidos.
  4. Realizar descoberta de fraquezas e priorização: O foco muda para avaliar quais desses ativos correm mais risco de serem comprometidos e quais seriam os alvos mais atraentes para invasores cibernéticos. Com o Intruder, você pode encontrar vulnerabilidades em sua infraestrutura, aplicativos e APIs, e receber uma lista priorizada de problemas para saber o que fazer primeiro. O Intruder também fornece uma abordagem contínua para descoberta e priorização de vulnerabilidades monitorando sua rede, mostrando o que está exposto e iniciando varreduras quando algo muda.
  5. Ato: Então é hora de agir, seja por meio de remediação, mitigação ou aceitação de risco. O Intruder facilita o gerenciamento e a verificação de seus esforços de remediação. Execute varreduras de remediação, exporte problemas para seus sistemas de tickets, configure alertas no Slack e no Groups e muito mais.

Trazendo tudo de volta para casa

No ultimate das contas, todos nós temos uma quantidade limitada de tempo.

Ao minimizar distrações e permitir que sua equipe se concentre no que realmente importa, o gerenciamento de exposição permite que você alcance o maior impacto com o mínimo de tempo investido.

Se sua equipe estiver se concentrando nos 25% das vulnerabilidades que realmente importam, ela terá 75% de tempo further para se concentrar nas atividades que são essenciais para manter sua empresa segura.

O Intruder tem como objetivo equipar as organizações para se concentrarem no que é significativo, impactante e, finalmente, proteger seu cenário digital no mundo acelerado de hoje.

E se isso significa fins de semana mais tranquilos e sair confiantemente de nossas mesas sabendo que nossos ativos estão protegidos, então acredito que estamos no caminho certo. Talvez não seja tanto sobre gerenciar vulnerabilidades ou exposições, mas sobre gerenciar nosso foco no fluxo interminável de ameaças à segurança cibernética.

Tags
Photo of LifeTechWeb LifeTechWebAugust 23, 2024
0 8 minutos lidos
Photo of LifeTechWeb

LifeTechWeb

Artigos relacionados

Servidor de fornecedor de ERP sul-coreano é hackeado para espalhar malware Xctdoor

Servidor de fornecedor de ERP sul-coreano é hackeado para espalhar malware Xctdoor

July 3, 2024
Ferramentas de automação de IA testadas Magical vs Zapier

Ferramentas de automação de IA testadas Magical vs Zapier

July 18, 2024
Samsung mostra seus mais recentes dispositivos de IA no World of Samsung

Samsung mostra seus mais recentes dispositivos de IA no World of Samsung

February 21, 2024
DOJ acusa homem de Nashville por ajudar norte-coreanos a conseguir empregos em tecnologia nos EUA

DOJ acusa homem de Nashville por ajudar norte-coreanos a conseguir empregos em tecnologia nos EUA

August 9, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button