[:pb]Gerenciamento da superfície de ataque[:]

[:pb]Em ambientes digitais, uma superfície de ataque é a soma de todos os pontos sujeitos a possíveis riscos de segurança, como vulnerabilidades conhecidas, desconhecidas e potenciais em hardware, software e redes. As superfícies de ataque estão em constante crescimento e evolução, tornando-se cada vez mais dinâmicas e complexas. Entender o que a superfície de ataque da sua empresa representa é importante, mas é apenas a primeira etapa.

O gerenciamento da superfície de ataque (Attack Surface Management, ASM), também conhecido como mapeamento ou monitoramento da superfície de ataque, refere-se a um método cada vez mais popular e altamente eficaz de segurança cibernética. Especificamente, trata-se da vigilância contínua da superfície de ataque e das vulnerabilidades que contêm, transmitem ou processam seus dados. O gerenciamento da superfície de ataque vai te mostrar:

• quais são os componentes da sua superfície de ataque;
• onde os vetores de ataque e pontos sujeitos a risco estão localizados;
• como proteger sua organização contra futuras violações de dados e ataques cibernéticos.

Com o aumento da ocorrência e da gravidade das violações, o monitoramento cuidadoso de seu ambiente online é vital para a sobrevivência da sua organização. Frequentemente, sua superfície de ataque é maior do que você pensa e qualquer ativo digital pode ser potencialmente vulnerável, portanto, o gerenciamento deve ser uma prioridade e uma medida de segurança básica para todas as empresas.

 

Ambiente legal

Quase todas os requisitos de conformidade, padrões regulatórios e leis de proteção de dados atuais, incluindo a LGPD, GDPR, NIST, PCI DSS e HIPAA, exigem gerenciamento contínuo da superfície de ataque de uma forma ou de outra. Por exemplo, a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 18/09/2020, aborda o assunto em seu Artigo 50, que define regras de boas práticas e governança para o tratamento dos dados pessoais. No caso da HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde, promulgada nos EUA em 1996), sua implementação adequada pode simplificar significativamente a adoção da ISO 27001 e dos padrões internacionais relacionados da família ISO 2700x.

 

Prevenção e redução de riscos

O gerenciamento da superfície de ataque ajuda a prevenir e mitigar os riscos originados por:

• Ativos corporativos;
• Erro humano e omissões;
• Software vulnerável e desatualizado;
• Software de código aberto desconhecido (Open Source Software – OSS);
• Ataques em grande escala em sua indústria;
• Ataques direcionados ao seu negócio;
• Violação de propriedade intelectual;
• Tecnologia herdada em decorrência de aquisições e fusões (Mergers and Acquisitions -M&A).

Etapas do gerenciamento da superfície de ataque

Um gerenciamento de superfície de ataque moderno geralmente consiste das seguintes etapas consecutivas e interconectadas, que devem ser executadas continuamente (24/7):

1. Descoberta de ativos digitais

Este estágio inicial é essencial para a implementação adequada e abrangente do gerenciamento da superfície de ataque em sua organização. Seu objetivo final é descobrir todos os ativos digitais com contato externo, ou em outras palavras, conectados na Internet e que contêm ou processam seus dados corporativos. Os ativos podem ser de propriedade da sua organização ou operados por ela, bem como por terceiros confiáveis, como provedores de serviços de nuvem, fornecedores de IaaS e SaaS, parceiros de negócios, outros fornecedores ou consultores externos. Abaixo está uma lista não exaustiva dos ativos digitais que você deve considerar identificar e mapear dentro de seu processo de descoberta de ativos:

• Aplicativos móveis e seus backends;
• Aplicativos da web, serviços da web e APIs;
• Armazenamento em nuvem e NAS, dispositivos de rede;
• Nomes de domínio e certificados SSL;
• IoT e objetos conectados;
• Repositórios de código público;
• Servidores de e-mail.

O processo de descoberta varia da simples varredura dos endereços IP e sub-redes fornecidos até o rastreamento mais abrangente da OSINT (Open Source Intelligence) e da Dark Web. Da mesma forma, é imperativo considerar os ativos digitais de terceiros que processam, transmitem ou armazenam seus dados.

2. Inventário e classificação de ativos digitais

Uma vez que seus ativos são conhecidos e visíveis, é preciso iniciar o inventário e a classificação dos ativos digitais, também conhecido como inventário dos ativos de TI. Esta parte do exercício envolve o registro e a rotulagem dos ativos com base em seu tipo, características técnicas e propriedades, criticidade para o negócio, requisitos de conformidade e equipe responsável.

É essencial designar uma pessoa ou equipe responsável pela manutenção, atualização e proteção regulares dos ativos. A responsabilidade pouco clara ou dúbia inevitavelmente leva a um amplo espectro de omissões e falhas, causando eventualmente incidentes indesejados, como violações de dados. Portanto, a responsabilidade coerente e transparente sobre cada ativo, ou grupo de ativos, sustenta o conceito básico de um gerenciamento de superfície de ataque apropriado.

3. Classificação de risco de ativos digitais e avaliação de segurança

O gerenciamento da superfície de ataque seria uma tarefa ainda mais difícil sem um componente de classificação de risco. Muitas organizações têm milhares e até milhões de ativos digitais variáveis. A abordagem comum CI / CD (Continuous Integration / Continuous Development) para desenvolvimento de software adiciona cada vez mais novos aplicativos, servidores e outros sistemas em seu perímetro de superfície de ataque externo, muitas vezes repleto de vulnerabilidades perigosas de segurança ou mesmo expondo dados confidenciais sem proteção de senhas, nem qualquer outro mecanismo de segurança.

Sendo assim, a multiplicidade dinâmica de novos ativos digitais deve ser rapidamente detectada, verificada e classificada para reduzir os riscos de ameaças, de maneira consciente e baseada em prioridades. É crucial atribuir classificações de segurança com precisão, para garantir a alocação prudente de recursos escassos de TI e tempo humano, para enfrentar os perigos cibernéticos mais importantes com a prioridade certa e sem demora.

4. Monitoramento de segurança de ativos digitais

O monitoramento contínuo de segurança é o mais importante dos estágios de gerenciamento de superfície de ataque relacionados a ativos digitais corporativos ou de terceiros confiáveis. De acordo com o Gartner, mais de 90% das vulnerabilidades exploradas com sucesso foram divulgadas publicamente e eram conhecidas há mais de um ano. A rápida proliferação dos softwares de código aberto (Open Source Software, OSS) complica o gerenciamento de vulnerabilidades, criando novos pontos de vulnerabilidade facilmente exploráveis, todos os dias.

Portanto, é indispensável efetuar um monitoramento 24 horas por dia, 7 dias por semana de seus ativos digitais para identificar vulnerabilidades de segurança recentemente descobertas, fraquezas, configurações incorretas e problemas derivados de conformidade. Este componente do gerenciamento de superfície de ataque é particularmente difícil de executar de maneira suave e segura para a produção.

Muitas ferramentas de varredura de vulnerabilidade da web e scanners de segurança de rede podem desencadear uma vulnerabilidade de exploração de injeção de SQL ou Remote Command Execution (RCE), desativando o sistema remoto ou tornando-o indisponível. Por razões óbvias, esse efeito colateral é totalmente inaceitável ao lidar com sistemas de terceiros ou essenciais para os negócios.

5. Monitoramento de ativos maliciosos e incidentes

As etapas anteriores abrangeram ativos digitais conhecidos e desconhecidos operados por sua organização ou por terceiros autorizados. Nesse ponto, é importante ressaltar que o cenário atual de ameaças transcende o reino dos ativos de TI corporativos legítimos e incorpora ativos maliciosos implantados por cibercriminosos ou concorrentes inescrupulosos.

Esse tipo particular de ativos digitais envolve sites de phishing, recursos violados hospedando pacotes de exploit com ransomware, nomes de domínio cybersquatted, que são registros de domínio similares a um site de alguma marca conhecida, no intuito de fazer lucro com golpes ou com a revenda de produtos a um preço inflacionado e typosquatted, ou seja, registrar um domínio idêntico à marca de uma empresa, com erros propositais de digitação (exemplo: www.citibank.com.br e citybank.com.br, fazendo com que alguns clientes do banco entrem no site errado devido a um simples erro de digitação), aplicativos móveis que fingem ser seus, contas falsas em redes sociais e agentes maliciosos semelhantes, que supostamente infectam, fraudam ou roubam seus clientes abusando de marcas registradas ou explorando a boa vontade das pessoas.

Na Dark Web podem ser encontrados desde documentos corporativos vazados ou roubados a credenciais comprometidas em violações anteriores de uma rede. Esses dados são utilizados em campanhas de spear-phishing (quando os cibercriminosos estudam e aprendem sobre as suas vítimas e usam a engenharia social para dar mais credibilidade à mensagem), reutilização de senhas e ataques de “força bruta” (quando são feitas sucessivas tentativas para acertar uma senha ou chave de criptografia), muitas vezes eficientes e bem-sucedidos. Por esses motivos, o monitoramento contínuo de ativos maliciosos e incidentes é vital para garantir uma visibilidade abrangente dos vetores de ataque contra sua organização.

 

Estamos em um caminho em que os métodos conhecidos de violação de dados não sejam mais tolerados. Consumidores e órgãos reguladores punirão empresas que colocarem seus dados em risco. Aqueles que não conseguirem gerenciar toda a superfície de ataque (não apenas as redes internas) sofrerão prejuízos significativos. Adotar uma abordagem proativa e pensar além do perímetro corporativo para identificar ativos esquecidos, mal gerenciados ou vulneráveis, é a única maneira de proteger sua empresa, seus clientes e seus colaboradores.

 

Somos especialistas em segurança de dados sensíveis e análise preventiva da performance de aplicações corporativas. Da implementação, integração e consultoria a serviços gerenciados que complementam o suporte standard dos produtos, certamente temos uma solução que se encaixa na sua necessidade.

Conte com nossa experiência e conhecimento. Agende uma conversa aqui.[:]