Riscos de VPN: O que significa o alerta de cibersegurança conjunto para os CISOs australianos

As VPNs surgiram como uma nova vulnerabilidade à medida que o trabalho remoto aumenta, enquanto os centros de segurança lutam para corrigir o software e identificar os pontos fracos, alertam as agências de segurança australianas, britânicas e americanas.

As VPNs surgiram como uma nova vulnerabilidade à medida que o trabalho remoto aumenta, enquanto os centros de segurança lutam para corrigir os softwares e identificar os pontos fracos, alertam as agências de segurança australianas, britânicas e americanas.

Trabalho remoto, VPNs, tecnologias baseadas em nuvem estão entre as vulnerabilidades mais visadas em 2020, de acordo com a recente consultoria conjunta de cibersegurança do Centro de Cibersegurança Australiano (ACSC), da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) e do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC).

Essa é mais um alerta sobre a complexa composição de riscos com os quais os CISOs estão lidando: vulnerabilidades amplamente conhecidas de aplicações e sistemas desatualizados e falhas incorporadas em softwares de toda a organização continuam a ser exploradas em ataques direcionados no ano de 2021.

Tem ocorrido um acréscimo desses conselhos de cibersegurança conjunto nos últimos 12 meses da aliança conhecida como Five Eyes (acordo de compartilhamento de inteligência que inclui EUA, Reino Unido, Austrália, Canadá e a Nova Zelândia), o que demonstra a importância desses ameaças, diz o professor Vijay Varadharajan, diretor do centro de pesquisa de engenharia de segurança cibernética avançada da Universidade de Newcastle, que também passou muitos anos na indústria na Microsoft e SAP.

Em particular, a rápida aceitação do trabalho remoto durante a pandemia tem dificultado as atualizações de segurança regulares, principalmente as relacionadas a falhas críticas, exigindo um rigoroso gerenciamento de patches. Varadharajan diz que os administradores precisam garantir que esses patches sejam instalados automaticamente.

Embora VPNs estejam em uso há anos, elas foram praticamente deixadas de lado por invasores, principalmente porque não eram amplamente usados. “As pessoas não atacavam este tipo de software. Mas agora ele se tornou um alvo atraente para invasores; essa é a diferença ”, disse Varadharajan ao CSO Australia. “Os invasores foram atrás dos softwares de VPN, em particular, nos primeiros meses da pandemia em 2020.”

E a pontualidade da correção é crítica, uma vez que estão sendo mais utilizados e se espera segurança na comunicação. “Os invasores foram atrás do software VPN, em particular, nos primeiros meses da pandemia em 2020, diz Varadharajan. “Este tem sido um problema com VPNs, e o software muda, assim como qualquer software. Portanto, é importante atualizar o software VPN com os patches mais recentes, bem como passar a utilizar uma VPN confiável.”

O problema da correção irregular

Agir rapidamente, no entanto é um grande desafio, pois com tantas vulnerabilidades potenciais acaba se criando uma longa lista de patches. “Os administradores muitas vezes acham difícil defender a necessidade de correção urgente quando há bugs mais críticos e de alta gravidade sendo anunciados dia sim, dia não”, diz Brett Winterford, que passou muitos anos na indústria da Symantec e CommBank e agora supervisiona a segurança cibernética estratégica na empresa Okta, especializada em gestão de identidade.

Ele diz que embora as informações nessas listas de patches possam não ser novidades, elas são úteis para ajudar a estabelecer uma segurança mais forte para quando bugs com características semelhantes surgirem novamente. “E ajuda as equipes de segurança a recalibrar sua avaliação de risco”, disse ele ao CSO Australia.

No entanto, apesar dos avisos, o processo de correções de patches ainda não está sendo realizado de maneira uniforme e regular em muitas organizações. Troy Heland, que chefia a engenharia de segurança no centro de operações de segurança da Verizon APAC, que conta com especialistas autorizados pelo governo que realizam monitoramento contínuo de segurança, diz que seu último relatório de violação de dados revela “o desempenho de patches nas organizações não tem sido a contento”.

“O aumento do uso de VPNs para trabalho remoto significa que a superfície de ataque agora é maior, então devemos esperar um aumento de ataques neste setor”, diz Heland.

Além dos patches: foco nas vulnerabilidades e em frustrar os invasores

As VPNs surgiram como uma nova vulnerabilidade à medida que o trabalho remoto aumenta, enquanto os centros de segurança lutam para corrigir o software e identificar os pontos fracos, alertam as agências de segurança australianas, britânicas e americanas.

Embora a correção de patches possa ser um procedimento comum na segurança, descobrir as vulnerabilidades é onde que as organizações precisam se concentrar – ir para além do método usual de varredura. “Uma porcentagem relativamente pequena de [vulnerabilidades] é usada em violações”, diz Heland. “Um invasor tentaria uma exploração de vulnerabilidade como uma tentativa de fácil alcance, mas o uso de credenciais válidas coletadas é o método de acesso preferido”, diz ele.

Heland aconselha as organizações a considerar a existência de vulnerabilidades não catalogadas e não inventariadas. “Isso significa que encontrar as vulnerabilidades existentes provavelmente não seria o resultado de um gerenciamento de vulnerabilidades consistente, mas sim da falta de gerenciamento de ativos.”

A autenticação de dois fatores, por exemplo, é um mecanismo ainda não implementado o suficiente. Se implementado, pode funcionar para ajudar a frustrar os invasores, criando obstáculos de segurança. “Os atacantes preferem caminhos curtos e raramente tentam os caminhos mais longos”, diz ele.

“Qualquer coisa que você possa facilmente colocar em seu caminho para aumentar o número de ações que eles devem tomar provavelmente diminuirá significativamente a chance de ataques. É imperfeito, mas ajuda ao adicionar uma etapa a mais ”, diz Heland.

Orçamento é uma vulnerabilidade de segurança

As VPNs surgiram como uma nova vulnerabilidade à medida que o trabalho remoto aumenta, enquanto os centros de segurança lutam para corrigir o software e identificar os pontos fracos, alertam as agências de segurança australianas, britânicas e americanas.

Os especialistas em segurança concordam, e todos os CISOs estão bem cientes, de que as organizações precisam adotar o Essential Eight como os padrões de segurança de toda a organização. Mas as restrições de orçamento e força de trabalho podem tornar isso um desafio, mesmo para o CISO mais comprometido.

Heland, da Verizon, diz que os CISOs devem seguir as dicas e sugestões da consultoria governamental conjunta e se concentrar, por exemplo, nas VPNs, identificando as quatro das vulnerabilidades mais visadas, e implementar quaisquer obstáculos para proteger essas ferramentas agora amplamente utilizadas. “Existem muitos motivos pelos quais essas ações não foram tomadas para proteger as redes. Pode ser orçamento limitado e investimento em medidas de segurança, que muitas vezes são reativas, ao invés de serem proativas ”, diz ele.

No entanto, encontrar profissionais de segurança cibernética está cada vez mais difícil na Austrália. Está também mais caro, com demanda crescente e um pool cada vez menor de talentos em segurança cibernética, graças ao fechamento de fronteiras.

Heland diz que os CISOs podem usar a enxurrada de ataques recentes como exemplos, junto com as sugestões da consultoria conjunta, para apresentar seus argumentos. “Isto serve para direcionar a necessidade de financiamento e receber os recursos adequados para fortalecer a segurança no desenvolvimento de uma infraestrutura de rede, a fim de apoiar as formas de como as empresas precisam trabalhar.”

Vilões da segurança nos detalhes de codificação e arquitetura

Quando se trata de entender as vulnerabilidades em um nível técnico, existem cerca de quatro ou cinco erros comuns nas linhas de código em softwares amplamente usados, diz Varadharajan da Universidade de Newcastle. “Então, quando você tem um software escrito assim, é provável que encontre bugs, falhas ou erros lógicos que precisam de patches o tempo todo.”

É difícil evitar esses erros de programação quando você tem 100 milhões de linhas de código. Depois, há de considerar os problemas dos erros de escalonamento de privilégios. “Com tantos programas interagindo uns com os outros em um mundo distribuído, [o software] pode dar a ele a capacidade ou o privilégio de fazer algo que não era pretendido”, diz ele.

Em alguns casos, os atores apoiados pelo estado estão sendo os primeiros a explorar algumas dessas vulnerabilidades comuns identificadas no comunicado conjunto do Five Eyes, diz Winterford da Okta.

E detectar e corrigir os patches, embora essenciais, são apenas parte do processo. Se as defesas forem violadas, a questão é até onde os invasores podem se aventurar. Winterford afirma que, em alguns casos, muito pouco impedirá os invasores, uma vez que um dispositivo de rede esteja comprometido.

Se o ataque e a violação já ocorreram, antecipar-se ao próximo movimento do invasor precisa fazer parte do manual do CISO. “Criamos oportunidades de detecção quando removemos as relações de confiança implícitas que fornecem uma fácil movimentação lateral ou escalonamento de privilégios assim que um dispositivo ou conjunto de credenciais são comprometidos”, diz ele. “Em um ambiente melhor arquitetado, você teria autenticação contextual e progressiva para acesso a aplicativos ou outros recursos de computação”.

Vetores de ataque emergentes

As VPNs surgiram como uma nova vulnerabilidade à medida que o trabalho remoto aumenta, enquanto os centros de segurança lutam para corrigir o software e identificar os pontos fracos, alertam as agências de segurança australianas, britânicas e americanas.

Pode ser padrão em muitas organizações grandes e departamentos do governo federal, mas organizações menores e até mesmo governos e conselhos locais não têm necessariamente a capacidade de segurança ou os administradores para lidar com novas linhas de ataque em potencial. Em particular, Varadharajan vê a saúde como uma área-chave de preocupação. O setor de saúde tem o maior número de casos relatados no último relatório de violação de dados australiano. “É nós ambulatórios, pequenos consultórios e hospitais menores”, diz ele.

O comunicado diz que as tecnologias baseadas em nuvem foram uma das vulnerabilidades mais visadas em 2020. Olhando para o futuro, Varadharajan aponta para a Internet das coisas (IoT) industrial como um vetor de ataque crescente. Onde antes as organizações podiam definir e identificar limites de rede e dispositivos de rede, o crescimento da IoT industrial está fazendo o número de dispositivos se multiplicar – e sem o nível necessário de proteções de segurança, isso sim é motivo de preocupação.

Se os dispositivos estiverem conectados a serviços, como os que fornecem eletricidade ou água, os invasores podem causar interrupções – com consequências muito maiores. “Se um invasor pode violar um dispositivo onde os dispositivos estão conectados, ele pode criar esse efeito de amplificação”, diz ele.

Fonte: www.csoonline.com

Posts relacionados: 7 dicas para melhores relacionamentos CISO e CFO / Microsoft lança workshop de treinamento para Chief Information Security Officer (CISO), confira e O descarte de ativos de TI é um risco de segurança que os CISOs precisam levar a sério