Publicidade

Superfície de ataque e os pontos cegos

Por| 03 de Março de 2023 às 10h00

Link copiado!

Elements/twenty20photos
Elements/twenty20photos

Abrangente como está, a superfície de ameaças de uma organização vem exigindo muita disciplina e uma boa gestão por parte da área de TI e de Segurança. O gerenciamento de superfície de ataques (ASM) inclui a descoberta, análise, correção e monitoramento contínuo das vulnerabilidades e dos vetores de ataques.

Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades foram desenvolvidos quando as redes corporativas eram mais estáveis e centralizadas. Essas ferramentas não conseguiram acompanhar a velocidade das transformações digitais, principalmente quando falamos de trabalho híbrido, nuvem, IoT, OT e outras inovações. Com essas novas tecnologias, chegaram novos vetores de ataque e ameaças.

Por exemplo, os tradicionais Pentest (teste de intrusão) verificam vulnerabilidades suspeitas em ativos conhecidos, mas não são capazes de ajudar as equipes de segurança a identificar riscos e vulnerabilidades que surgem todos os dias. Ao contrário de outras disciplinas de segurança cibernética, o ASM é conduzido inteiramente a partir da perspectiva de um atacante, em vez da perspectiva do defensor. Ele identifica os alvos e avalia os riscos com base nas oportunidades que se apresentam a um invasor.

Continua após a publicidade

Proliferação de ativos na internet

Em uma recente pesquisa da Tenable, após examinar um inventário de superfície de ataques externos de 22 das 50 maiores organizações do Reino Unido, foi descoberto que, em média, elas tinham impressionantes 76.600 ativos voltados à internet. Uma organização tinha mais de meio milhão. Em média, essas organizações tinham ativos hospedados ou passando por 51 países.

Mesmo com diversas pesquisas, artigos e entrevistas apontando que as empresas classificam o risco cibernético como sua principal preocupação, a grande maioria delas não está tomando as devidas precauções no que se refere ao gerenciamento de exposição. Para se ter uma ideia, perguntamos durante um webinar sobre segurança de aplicações web e o número de apps que cada participante gerencia: 47% das empresas não sabem ou não têm certeza de quantos apps web possui sob sua gerência.

IoT

Continua após a publicidade

Quando o cenário é Internet das Coisas, entramos em um outro nível de preocupação. Dentre as empresas que comercializam essas soluções, apenas um pequeno número tem uma política de divulgação de vulnerabilidade em vigor. Pois, especificamente entre os 332 fornecedores de produtos IoT pesquisados, apenas 27% possuem uma política de divulgação de vulnerabilidades, mesmo com o aumento da legislação e regulamentação sobre o assunto. Essa é a principal descoberta do quinto relatório anual “State of Vulnerability Disclosure Policy Usage in Global Consumer IoT in 2022” da IoT Security Foundation.

A porcentagem de fornecedores de IoT com uma política de divulgação de vulnerabilidades, embora maior do que no ano passado (21,6%), ainda é “decepcionantemente baixa” e “muito abaixo” do nível desejado de quase 100%, de acordo com a IoT Security Foundation. Essas políticas descrevem como pesquisadores terceirizados podem relatar vulnerabilidades que descobrem em produtos IoT para os fornecedores, bem como como o fornecedor lidará com o processo de divulgação.

Ainda, é preciso ficar atento aos ativos não administrados (recursos de nuvem ou aplicações IaaS, PaaS, SaaS, as ferramentas com conectividade etc); os ativos abandonados (repositórios de código fonte, ferramentas de desenvolvimento, certificados digitais etc); ativos desconhecidos (sistemas e dispositivos utilizados sem o conhecimento do departamento de TI – shadow IT) e os ativos mal configurados (com logins/parâmetros não configurados de forma adequada).

Ou seja, é importante ter boa clareza e grande visibilidade da superfície de ataque. Pois, é a partir dessa visão que se torna possível qualquer aprimoramento no sentido de entender quais operações e ativos serão impactados em caso de um ataque bem-sucedido. Atualmente, não cabe mais para as empresas ter pontos cegos.