Defendendo ativos que você desconhece, contra ataques cibernéticos

Nenhuma defesa de segurança é perfeita e a shadow IT significa que nenhuma empresa pode inventariar todos os ativos que possui. David “moose” Wolpoff, CTO da Randori, discute estratégias para proteção de ativos essenciais dada essa realidade.

Nenhuma defesa de segurança é perfeita e com o Shadow IT, provavelmente, nenhuma empresa pode controlar todos os ativos que possui. David “moose” Wolpoff, CTO da Randori, discute estratégias para proteção de ativos essenciais dada essa realidade.

Shadow IT é um sinônimo para TI Invisível – consiste nos serviços, softwares e dispositivos que são utilizados sem o conhecimento do administrador dos recursos de tecnologia da informação.

Nos anos 90, todos nós costumávamos construir firewalls enormes em torno de nossos sistemas e gastávamos nossos recursos do dia-a-dia procurando por falhas para corrigir. Em teoria, uma parede impenetrável em torno de tudo o que você possui é uma ótima ideia, porque protege até mesmo as coisas que você, por ventura, tenha se esquecido.

No entanto, se uma parede é sua única defesa, ela precisa ser 100% perfeita, 100% do tempo. E se você já teve uma casa, sabe que todas as paredes podem se rachar ao longo do tempo. Sem mencionar que o perímetro corporativo de hoje envolve a nuvem e os ativos móveis e remotos também, e pode haver ativos ocultos que você não conhece. A superfície de ataque disponível agora é outra completamente diferentede anos anteriores.

A perfeição não deve ser um pré-requisito para uma boa segurança cibernética. Eu diria que você não precisa saber sobre tudo o que possui para protegê-lo. Os ativos podem ser agrupados e categorizados de forma que o procedimento de segurança leve em consideração os pontos fracos de perímetro e visibilidade.

Pense em todas as maneiras de criar controles de segurança que afetam grupos inteiros de coisas:

Se suas regras de saída forem negar por padrão, você ainda pode capturar um dispositivo comprometido, mesmo se não souber como ele foi parar lá.

Se todos os seus desenvolvedores forem treinados para construir em imagens padrão, suas orientações de proteção e registro podem ser seguidas, mesmo se eles implementarem usando o token errado da Amazon Web Services (AWS).

Se toda a sua empresa receber lembretes de phishing, isso pode levar um usuário a tomar uma ação preventiva, mesmo que o RH tenha se esquecido de dar a eles o treinamento individual de segurança aos recém-contratados.

Temos todos os tipos de defesas que funcionam mesmo na presença de incógnitas ou erros.

Mapeie seus caminhos internos

Nenhuma defesa de segurança é perfeita e a shadow IT significa que nenhuma empresa pode inventariar todos os ativos que possui. David “moose” Wolpoff, CTO da Randori, discute estratégias para proteção de ativos essenciais dada essa realidade.

Seu sistema é extremamente complexo. Portanto, se eu pensar como um invasor, tentar entender a totalidade de uma superfície de ataque, não será um bom ponto de partida. Não preciso saber todos os seus ativos ou tudo sobre sua estratégia de segurança. Tenho que pensar em termos de qual é o alvo mais tentador – o caminho para o sucesso – como um ponto de entrada para quebrar uma superfície de ataque.

É assim que você deve pensar sobre como proteger seu sistema: encontre os caminhos que existem entre a superfície de ataque e seus ativos confidenciais e elimine-os. Se os caminhos levam você a uma função crítica, afunde seu oponente lá e enterre-o em sistemas de segurança e alertas. Dessa forma, quando os invasores tirarem proveito desse caminho, você será alertado e saberá muito antes que eles consigam exfiltrar os dados.

Não existe uma fórmula mágica para categorizar seus ativos e como você os protege. Existem infinitas maneiras de categorizá-los, e a correta depende inteiramente do contexto de sua organização. Na Randori, tentamos treinar a nós mesmos e aos outros para agrupar ativos em clusters funcionais: olhamos quais representam um “caminho” para um invasor e, em seguida, determinamos quantas políticas temos que criar em torno deles para garantir que nos sintamos bem sobre essa “cobertura.”

Como categorizo ​​ativos para defesa cibernética?

Uma maneira de dividir isso é categorizando os ativos com base no que precisa e não precisa se comunicar com a Internet. Provavelmente, a grande maioria de seus ativos voltados para a Internet são componentes de aplicativos ou dispositivos de software como serviço (SaaS), que você não usa ou não precisa usar. Se você tiver um dispositivo que forneça transferência de arquivos e VPN e usar apenas a VPN, desative o recurso de transferência de arquivos.

Você pode desligar esses recursos e esquecê-los. Se um funcionário vier até você e disser que precisa disso para fazer seu trabalho, basta ligá-lo novamente (negar por padrão, ok?).

Depois, há a próxima categoria: Coisas que são visíveis de fora e necessárias para as operações da empresa, como seu site corporativo ou protocolo de acesso remoto. Essas são, sem dúvida, algumas das vias mais importantes entre a superfície de ataque e suas jóias da coroa. Eles foram feitos para ser assim mesmo – de que outra forma seus funcionários teriam acesso a qualquer coisa? Esses ativos devem ser protegidos com muito monitoramento e alerta, e deve haver uma DMZ (zona desmilitarizada) ao redor deles.

Saiba o que é importante e esqueça o resto

Você provavelmente já estabeleceu DMZs em sua rede – onde você coloca os ativos que precisam ser acessíveis pela Internet e monitorados de perto. Seu site corporativo vive em um servidor totalmente isolado de sua atividade principal. Cada vez que você também tem uma VPN ou alguma ferramenta de acesso remoto, ela vai para o seu DMZ, onde você tem segmentação e monitoramento pesados.

Qualquer coisa na DMZ é implementada intencionalmente com o mínimo de privilégio e, por estar na DMZ (ou ainda mais fundo em sua rede), qualquer serviço herda a segmentação e alguma visibilidade ou monitoramento. Existem algumas pequenas maneiras de entrar, mas eu enfatizo que são pequenas, porque você precisa ter um monitoramento completo delas. Cada camada mais profunda em seu ambiente deve herdar mais defesas e exigir cada vez mais falhas para que uma violação ocorra (Defesa em profundidade levando em conta a nova superfície de ataque e tecnologias).

Segmentar e endurecer (hardening) reduz as opções de seu oponente. Limitar a atividade normal entre ativos onde possível (como entre a DMZ e sua rede principal) cria oportunidades de detecção.

A equipe de segurança é o consultor/assessor aqui e cria políticas para tentar herdar as defesas. Na Randori, quando os desenvolvedores estão experimentando código, quero que eles “codifiquem com segurança”, mas também quero que o trabalho inacabado ou de protótipo herde algumas defesas, mesmo que erros sejam cometidos. Portanto, gerenciamos algumas camadas adicionais simples: Tudo é implantado sem acesso direto à Internet. Os desenvolvedores podem fazer seu trabalho, mas mesmo que desabilitem acidentalmente a autenticação no aplicativo que estão criando, o aplicativo ainda é “protegido” por uma camada de logon único (single sign-on – SSO).

Sempre haverá ativos que você desconhece e não pode ver

Nenhuma defesa de segurança é perfeita e a shadow IT significa que nenhuma empresa pode inventariar todos os ativos que possui. David “moose” Wolpoff, CTO da Randori, discute estratégias para proteção de ativos essenciais dada essa realidade.

Se você obtiver uma varredura de vulnerabilidades, como a da Qualys, por exemplo, e ela relatar 3 milhões de vulnerabilidades em sua superfície de ataque, você não pode fazer muito com isso porque não pode enviar 3 milhões de patches. Mas se você souber quais vulnerabilidades estão em segmentos importantes e herdaram proteções insuficientes, você pode priorizar quais abordar.

Se o servidor de aplicativos que tem permissão para transitar por sua DMZ não estiver corrigido, você vai querer consertar isso primeiro. E você tem um servidor de aplicações interno, que só pode ser acessado por usuários internos limitados? Talvez seja válido não priorizá-lo neste momento. Se houver um lugar para entrar em pânico sobre vulnerabilidades desconhecidas, provavelmente é o servidor de aplicativos que está transitando em sua DMZ e não em seu interno.

Todos nós também sabemos que Shadow IT é um problema enorme (algo como 40 por cento dos gastos de TI) e, de preferência, você usaria uma plataforma de gerenciamento de superfície de ataque para ajudá-lo a encontrar surpresas em sua rede. Mas quando você está planejando sua postura de segurança, precisa presumir que esse problema de Shadow continuará existindo e certifique-se de que essas uma ou duas surpresas não se tornem uma manchete da Associated Press.

Alguém sempre “conectará algo na Internet”. Se sua DMZ exigir controle de acesso à rede (NAC), negar o acesso à rede interna por padrão e gerar alertas para seu provedor de serviços de segurança gerenciados (MSSP) ou equipe de TI, então “conectar algo à Internet” requer muito mais do que uma falha para criar um risco significativo de possível violação.

Resumindo: você deve projetar seus sistemas de segurança com o pressuposto de que um invasor pode quebrar qualquer ativo e possuir seus controles, seus privilégios e sua funcionalidade. Você pode defender um ativo, mesmo quando não sabe de sua existência, praticando defesa em profundidade – sabendo o que é importante e implementando muitos controles díspares sem nenhum ponto único de falha.

Fonte: threatpost.com

Posts relacionados: Ataques de phishing: defendendo a sua organização / Lançamento do Livro: “The Fifth Domain” traduzido pela Clavis Segurança da Informação – “O Quinto Domínio – Defendendo nosso país, nossas Companhias e nós Mesmos na Era das Ameaças Cibernéticas” e SegInfocast #77 – Tradução do livro The Fifth Domain – O Quinto Domínio – Defendendo nosso país, nossas companhias e nós mesmos na era das ameaças Cibernéticas – Richard A. Clarke & Robert K. Knake