Você não pode controlar quando a próxima vulnerabilidade crítica será lançada. Você pode controlar quanto do seu ambiente será exposto quando isso acontecer. O problema é que a maioria das equipes tem mais exposição à Internet do que imaginam. Intruso O chefe de segurança investiga por que isso acontece e como as equipes podem gerenciar isso deliberadamente.
O tempo de exploração está diminuindo
Quanto maior e menos controlada for a sua superfície de ataque, mais oportunidades existem para exploração. E a janela para agir sobre eles está diminuindo rapidamente. Para as vulnerabilidades mais graves, a divulgação para exploração pode durar apenas 24 a 48 horas. Relógio de dia zero projetos cujo tempo de exploração será de apenas alguns minutos até 2028.
Não é muito tempo quando você considera o que precisa acontecer antes de um patch ser implantado: executar varreduras, aguardar resultados, levantar tickets, concordar com prioridades, implementar aplicações para ‘a correção’ também, feliz em abandonar a ‘verificação’ se isso for mais fácil. Se a divulgação chegar fora do horário, demorará ainda mais.
Em muitos casos, os sistemas vulneráveis não precisam estar voltados para a Internet. Com a visibilidade da superfície de ataque, as equipes podem reduzir antecipadamente a exposição desnecessária e evitar a confusão quando uma nova vulnerabilidade surge.
Quando um dia zero cai em um sábado
Shell de ferramentas era uma vulnerabilidade de execução remota de código não autenticada no Microsoft SharePoint. Se um invasor conseguisse alcançá-lo, ele poderia executar código no seu servidor – e como o SharePoint está conectado ao Active Directory, ele começaria em uma parte altamente confidencial do seu ambiente.
Este foi um dia zero, o que significa que os invasores o exploraram antes que um patch estivesse disponível. A Microsoft divulgou no sábado e confirmou que grupos patrocinados pelo Estado chinês o exploraram por até duas semanas antes disso. Quando a maioria das equipes soube disso, os invasores oportunistas estavam verificando instâncias expostas e explorando em grande escala.
A pesquisa do Intruder encontrou milhares de instâncias do SharePoint acessíveis ao público no momento da divulgação – apesar do fato de o SharePoint não precisar estar voltado para a Internet. Cada uma dessas exposições era desnecessária – e cada servidor sem patch era uma porta aberta.
Por que as exposições são perdidas
Então, por que as exposições muitas vezes passam despercebidas pelas equipes de segurança?
Em uma varredura externa típica, as descobertas informativas ficam abaixo de centenas de pontos críticos, altos, médios e baixos. Mas essas informações podem incluir detecções que representam risco real de exposição, como:
- Um servidor SharePoint exposto
- Um banco de dados exposto na Internet, como MySQL ou Postgres
- Outros protocolos, que normalmente devem ser reservados para a rede interna, como RDP e SNMP
Aqui está um exemplo real de como é:
Em termos de verificação de vulnerabilidades, às vezes faz sentido classificá-los como informativos. Se o scanner estiver na mesma sub-rede privada que os alvos, um serviço exposto poderá ser genuinamente de baixo risco. Mas quando esse mesmo serviço é exposto à Internet, acarreta riscos reais, mesmo sem uma vulnerabilidade conhecida associada a ele. Ainda.
O perigo é que os relatórios de varredura tradicionais tratem ambos os casos da mesma maneira, de modo que os riscos reais passem despercebidos.
O que a redução proativa da superfície de ataque realmente envolve
Existem três elementos-chave para fazer com que a redução da superfície de ataque funcione na prática.
1. Descoberta de ativos: defina sua superfície de ataque
Antes de reduzir sua superfície de ataque, você precisa ter uma visão clara do que possui e do que pode ser acessado externamente. Isso começa com a identificação de shadow IT – sistemas que sua organização possui ou opera, mas que não está atualmente escaneando ou monitorando.
Preencher essa lacuna é importante e há três elementos principais que recomendamos implementar:
- Integração com seus provedores de nuvem e DNS para que, quando uma nova infraestrutura for criada, ela seja automaticamente coletada e verificada. Esta é uma área onde os defensores têm uma vantagem genuína: você pode integrar diretamente com seus próprios ambientes, os atacantes não.
- Usando enumeração de subdomínio para exibir hosts acessíveis externamente que não estão em seu inventário. Isto é importante especialmente após aquisições, onde você pode estar herdando uma infraestrutura da qual ainda não tem visibilidade.
- Identificação de infraestrutura hospedada em provedores de nuvem menores e desconhecidos. Você pode ter uma política de segurança que obriga as equipes de desenvolvimento a usar apenas seu provedor de nuvem principal, mas precisa verificar se a prática está sendo seguida.
Assista a um mergulho profundo nessas técnicas:
2. Trate a exposição como risco
O próximo passo é tratar a exposição à superfície de ataque como uma categoria de risco por si só.
Isso requer um capacidade de detecção que identifica quais descobertas informativas representam uma exposição e atribui a gravidade apropriada. Uma instância exposta do SharePoint, por exemplo, pode ser razoavelmente tratada como um problema de risco médio.
Significa também criar espaço para este trabalho em como você prioriza. Se esforços estratégicos como a redução da superfície de ataque estiverem sempre competindo com correções urgentes, eles sempre perderão. Isso pode significar reservar um tempo a cada trimestre para analisar e reduzir a exposição, ou atribuir uma responsabilidade clara para que alguém seja responsável por isso – não apenas quando ocorre uma crise, mas rotineiramente.
3. Monitoramento contínuo
A redução da superfície de ataque não é um exercício único. A exposição muda constantemente – uma regra de firewall é editada, um novo serviço é implantado, um subdomínio é esquecido – e sua equipe precisa detectar essas alterações rapidamente.
As verificações de vulnerabilidade levam tempo para serem concluídas e geralmente não é possível executar verificações completas diariamente. Verificação diária de portas é um ajuste melhor. É leve, rápido e significa que você pode detectar serviços recentemente expostos à medida que aparecem. Se alguém editar uma regra de firewall e expor acidentalmente a Área de Trabalho Remota, você descobrirá o dia em que isso acontecerá – e não na próxima verificação agendada, que pode ocorrer até um mês depois.
Menos serviços expostos, menos surpresas
Quando os serviços desnecessários não são expostos, é muito menos provável que sejam apanhados na exploração em massa que se segue a uma divulgação crítica. Isso significa menos surpresas, menos confusões urgentes e mais tempo para responder deliberadamente quando surgirem novas vulnerabilidades.
O Intruder automatiza esse processo – desde a descoberta de shadow IT e o monitoramento de novas exposições até alertar sua equipe no momento em que algo muda – para que sua equipe de segurança possa ficar à frente da exposição em vez de reagir a ela.
Se você quiser ver o que está exposto em seu ambiente, agende uma demonstração do Intruder.
Deseja saber mais sobre Segurança Clique Aqui!