Hoje em dia, em muitas notícias sobre ataques cibernéticos, podemos observar que alguns especialistas em segurança falam em "superfície de ataque" ou algo similar. Entender como os ataques funcionam e onde as organizações correm maior risco é fundamental para tomar as medidas correspondentes. Durante a pandemia, pode-se dizer que a superfície de ataque cresceu mais rápido do que em qualquer outro momento no passado. E isso trouxe seus próprios problemas. Infelizmente, as organizações hoje são cada vez mais incapazes de definir o tamanho real e a complexidade de sua superfície de ataque, deixando seus ativos digitais e físicos mais expostos aos agentes de ameaças.
Felizmente, ao implementar algumas boas práticas, é possível melhorar a visibilidade da superfície de ataque de uma organização, e assim obter uma melhor compreensão do que é necessário para minimizá-la e gerenciá-la.
O que é a superfície de ataque corporativa?
A superfície de ataque pode ser definida como os ativos físicos e digitais que uma organização possui e que podem ser comprometidos por um invasor e assim facilitar um ataque cibernético. O objetivo final dos agentes de ameaças pode ser qualquer coisa, desde implantar ransomware e roubar dados, recrutar máquinas para uma botnet, baixar de trojans bancários ou até mesmo instalar malware para realizar a mineração de criptomoedas. Resumindo: quanto maior a superfície de ataque, mais opções os criminosos cibernéticos têm para atacar seus alvos.
Vamos dar uma olhada nas duas principais formas de classificar as superfícies de ataque:
A superfície de ataque digital
A superfície de ataque digital é composta por todo o hardware, software e componentes relacionados que estão conectados à rede de uma organização. Ela inclui os seguintes elementos:
Aplicativos: as vulnerabilidades em aplicativos são comuns e podem ser usadas por atacantes como porta de entrada para sistemas e dados críticos de TI.
Código: um risco importante agora que grande parte do código usado é compilado a partir de componentes de terceiros, pois eles podem conter malware ou vulnerabilidades.
Portas: os atacantes estão cada vez mais à procura de portas abertas e se houver algum serviço escutando em uma porta específica (por exemplo, RDP na porta TCP 3389). Se esses serviços estiverem mal configurados ou contiverem vulnerabilidades, eles podem ser explorados.
Servidores: estes podem ser atacados por meio da exploração de vulnerabilidades ou da saturação do tráfego em ataques DDoS.
Sites: outra parte da superfície de ataque digital que oferece múltiplos vetores de ataque, incluindo falhas de código e erros de configuração. Um ataque bem-sucedido pode levar a um defacement, que é quando o site é comprometido, deixando uma nota afirmando ser o responsável pelo ataque, ou a implantação de código malicioso para realizar outros ataques (ou seja, formjacking).
Certificados: as organizações geralmente permitem os deixam expirar, permitindo que os atacantes se aproveitem disso.
Isto está longe de ser uma lista exaustiva. Para ter uma noção da magnitude que uma superfície de ataque digital pode representar, veja os números abaixo que surgiram de uma pesquisa realizada em 2020 sobre empresas que compõem a lista FTSE 30. A pesquisa descobriu:
- 324 certificados expirados
- 25 certificados que usam o algoritmo de criptografia SHA-1 obsoleto
- 743 possíveis sites de teste expostos à internet
- 385 formulários inseguros, dos quais 28 foram usados para autenticação
- 46 frameworks para aplicativos web com vulnerabilidades conhecidas
- 80 instâncias do extinto PHP 5.x
- 664 versões de servidores web com vulnerabilidades conhecidas
A superfície física de ataque
A superfície física de ataque inclui todos os dispositivos de endpoint que um atacante pode acessar "fisicamente", como por exemplo:
- Computadores desktop
- Unidades de disco rígido
- Laptops
- Telefones/dispositivos móveis
- Pen drives
Também há motivos para dizer que seus funcionários são uma parte importante da superfície de ataque físico da organização, pois podem ser manipulados por meio de engenharia social (phishing e suas variantes) durante um ataque cibernético. Eles também são responsáveis pela Shadow IT, ou seja, o uso não autorizado de aplicativos e dispositivos que contornam os controles de segurança corporativos. Ao usar essas ferramentas para trabalhos que não foram aprovados pela equipe de TI, e geralmente não são seguros, os funcionários podem estar expondo a organização a ameaças adicionais.
A superfície de ataque está crescendo?
As organizações vêm desenvolvendo sua estrutura digital e de TI há muitos anos. Mas com o início da pandemia viu investimentos em grande escala para apoiar o trabalho remoto e manter as operações comerciais em um momento de extrema incerteza no mercado. Esta expansão da superfície de ataque ocorreu das seguintes maneiras:
- Endpoints de trabalho remoto (por exemplo, laptops, desktops)
- Infraestrutura e aplicativos em nuvem
- Dispositivos IoT e 5G
- Uso de código de terceiros e DevOps
- Infraestrutura de trabalho remoto (VPN, RDP, etc.)
Não há caminho de volta. Segundo especialistas, muitas empresas atingiram um ponto de inflexão digital que mudará suas operações para sempre. Isso é potencialmente uma má notícia em termos de superfície de ataque, pois pode atrair:
- Ataques de phishing que tentam explorar a falta de conscientização dos funcionários sobre temas de segurança
- Uso de malware e explorações de vulnerabilidade em ataques direcionados a servidores, aplicativos e outros sistemas
- O uso de senhas roubadas ou obtidas através de força bruta para obter logins não autorizados
- Exploração de configurações incorretas (por exemplo, em contas na nuvem)
- Uso de certificados web roubados
...e muito mais. Na verdade, existem centenas de vetores de ataque que os criminosos cibernéticos podem usar, alguns dos quais são muito populares. A ESET detectou 71 bilhões de tentativas de acesso às redes de uma organização através de serviços RDP mal configurados entre janeiro de 2020 e junho de 2021.
Como mitigar os riscos da superfície de ataque
Conhecer a superfície de ataque é fundamental para estabelecer as melhores práticas de segurança cibernética, pois compreender seu tamanho e tomar medidas para reduzi-la ou gerenciá-la é o primeiro passo para uma proteção proativa. Aqui estão algumas dicas:
- Primeiro, entenda o tamanho da superfície de ataque por meio de auditorias de ativos e inventário, testes de penetração, varredura de vulnerabilidade e muito mais.
- Sempre que possível, reduza o tamanho da superfície de ataque e o risco cibernético associado por meio das seguintes ações:
- Gerenciamento de configuração e patches baseados em risco
- Consolide endpoints, livre-se de hardware herdado
- Atualização de software e sistemas operacionais
- Segmente as redes
- Siga as melhores práticas recomendadas pelo DevSecOps
- Gestão contínua de vulnerabilidades
- Mitigação de risco da cadeia de fornecimento
- Implementar medidas de segurança de dados (por exemplo, criptografia forte)
- Boa gestão de identidade e acesso
- Abordagem Zero Trust
- Monitoramento contínuo dos registros e sistemas
O ambiente corporativo de TI está em estado de constante mudança, graças ao uso generalizado de máquinas virtuais, contêineres e microserviços, e à contínua chegada e saída de funcionários e novos hardwares e softwares. Isso significa que qualquer tentativa de administrar e entender a superfície de ataque deve ser feita com ferramentas ágeis e inteligentes que funcionem a partir de dados em tempo real. Como sempre, "visibilidade e controle" devem ser suas palavras-chave nessa jornada.