Agências de cibersegurança dos Estados Unidos, Canadá, Nova Zelândia, Holanda e Reino Unido compilaram em conjunto uma lista com as falhas mais exploradas pelos atacantes para ter acesso aos sistemas de uma organização. Essas falhas são principalmente erros de configuração, controles fracos e outras práticas de segurança deficientes que contribuem para uma higiene cibernética deficiente.
O relatório inclui as práticas e controles e mais comumente utilizados, bem como recomendações para mitigar os problemas apontados.
Antes de analisar os pontos fracos e/ou falhas de segurança mais comuns, o relatório também explica quais técnicas são mais usadas pelos cibercriminosos para explorar essas falhas e obter acesso aos sistemas de uma organização:
A exploração de aplicativos que são publicados de forma pública na internet: tais como sites ou servidores, bancos de dados ou protocolos e serviços usados para a administração de serviços de rede. Em resumo, qualquer aplicativo acessível pela internet. Para mais informações, veja a descrição do Mitre ATT&CK.
Serviços de acesso remoto expostos à internet: esta técnica está relacionada ao uso de VPNs e outros serviços que permitem que um usuário se conecte a uma rede corporativa a partir de um local externo. Os atacantes muitas vezes têm como alvo esses serviços de acesso remoto para obter acesso a uma rede.
Phishing: a velha e familiar técnica de enviar e-mails para enganar potenciais vítimas com anexos e links maliciosos continua sendo eficaz. Através do phishing, muitas organizações são infectadas com alguma forma de código malicioso depois que um funcionário desatento cai na armadilha elaborada através de técnicas de engenharia social.
Exploração de relações de confiança: esta técnica consiste em obter acesso a uma organização através de terceiros que tenham um vínculo ou conexão, como um provedor que gerencia serviços de segurança ou TI, e aproveitar o acesso que eles têm à rede da organização alvo.
Contas válidas: a quinta técnica mais usada envolve o uso de dados de login válidos para obter acesso inicial, permanecer dentro de uma rede, tentar escalar privilégios ou modificar a configuração dos mecanismos de defesa da vítima.
Vetores de acesso inicial mais usados por cibercriminosos
Com relação às falhas nos controles de segurança, configurações fracas ou inseguras e práticas errôneas exploradas por cibercriminosos, as 10 mais comuns são:
- Não ativar a autenticação multifator
A autenticação multifator é fundamental para evitar o sequestro de contas. De fato, vários estudos têm mostrado como esta camada adicional de segurança é eficaz para impedir que atacantes tenham acesso a contas através de dados de acesso roubados.
- Atribuição de acessos e permissões de forma incorreta
A gestão inadequada de acessos e permissões pode permitir que alguém interno realize ações que representem um risco para a organização ao ter acesso desnecessário e permissões para informações sensíveis.
- Uso de software desatualizado
A exploração de vulnerabilidades em softwares é algo bastante comum. Em muitos casos, os atacantes obtêm rapidamente acesso a exploits poucos dias após uma vulnerabilidade se tornar conhecida, mas é também o caso de muitas organizações usarem softwares desatualizados expostos a vulnerabilidades de longa data. Em 2021, um alerta conjunto de várias agências de cibersegurança revelou as vulnerabilidades mais exploradas nos últimos anos, enquanto em 2021, os pesquisadores criaram uma lista de 42 vulnerabilidades em 17 tecnologias diferentes que foram exploradas em ataques de ransomware.
- Uso de dados de login padrão
Manter o mesmo nome de usuário e senha padrão que vêm com o software e hardware que compramos é assumir um enorme risco, pois dá aos atacantes uma maneira fácil de acessar remotamente os sistemas através destas soluções.
- Falta de controle dos serviços de acesso remoto
Tanto atacantes como grupos de ransomware muitas vezes exploram configurações inseguras ou vulnerabilidades sem correções em soluções de acesso remoto às redes de uma organização, como as soluções VPN.
- Uso de senhas fracas
Os cibercriminosos usam uma variedade de métodos para obter dados de login válidos e aproveitá-los para obter acesso inicial aos sistemas de uma organização. De ataques por força bruta, compra de dados de acesso roubados em fóruns na dark web, entre outros.
- Serviços em nuvem desprotegidos
O crescimento da demanda e a adoção de serviços em nuvem, especialmente com o trabalho remoto e híbrido, também atraiu o interesse de atacantes que procuravam maneiras de explorar erros de configuração e vulnerabilidades nesta superfície de ataque para roubar informações.
- Serviços mal configurados expostos na internet ou portas abertas
Os atacantes usam ferramentas para descobrir portas abertas de serviços expostos na internet que podem permitir o acesso à rede de uma organização, como os serviços RDP ou o protocolo Server Message Block (SMB).
- Erro ao detectar um phishing via e-mail
A falta de capacitação pode aumentar o risco de que os funcionários não sejam capazes de detectar um e-mail de phishing malicioso, tornando ainda mais provável que a organização se torne vítima de um incidente. Os atacantes normalmente recorrem a essa técnica de longa data que permanece eficaz devido à falta de conscientização e educação sobre segurança.
- Péssima resposta sobre os produtos de segurança instalados
Os atacantes muitas vezes conseguem escapar dos controles de segurança estabelecidos pelos produtos de segurança instalados no computador comprometido e assim realizam seus ataques efetivamente sem serem detectados. Existem diferentes alternativas usadas pelos cibercriminosos para conseguir isso, como o uso de droppers ou fileless malware.
Dicas para minimizar os riscos
As agências de cibersegurança sugerem algumas dicas que podem ajudar as organizações a minimizar as chances de atacantes obtenham acesso a seus sistemas, algumas das orientações são:
- Adotar o modelo de segurança zero trust;
- Limitar a possibilidade de acesso remoto a uma conta de administrador;
- Controlar as permissões e o acessos atribuídos a diferentes dados e serviços, incluindo a aplicação do princípio do privilégio do menor privilégio para que cada funcionário tenha acesso às informações de que precisa para realizar sua tarefa e nada mais;
- Estabelecer mudanças de senha;
- Gerenciar os processos de entrada e saída de funcionários e mudanças de posição interna;
- Verificar se nenhum computador tem a porta do RDP aberta;
- Implementar a autenticação multifator;
- Modificar ou desativar nomes de usuário e senhas padrão;
- Monitorar o uso de dados de login comprometidos em sistemas internos;
- Gerenciamento centralizado de logs;
- Uso de soluções antimalware.
A lista completa de medidas que podem ser implementadas para minimizar os riscos pode ser encontrada no relatório publicado pela agência de cibersegurança dos EUA.