Como Reduzir Riscos na Superfície de Ataque em sua Organização

Toda operação está sujeita a ataques, mas aquelas com serviços e ativos expostos a terceiros e à Internet pública correm mais riscos. Temos que ser realistas em relação a uma coisa: a maioria das tentativas de ataque são remotas e via Internet, muitas vezes com alto nível de automação. Cenas como as do filme “Missão Impossível”, onde o personagem interprertado por Tom Cruise entra pela ventilação de um prédio e, amarrado a uma corda, desce dentro de um cofre e acessa um computador em um ambiente seguro são, realmente, história de espião internacional. Sua empresa sofre uma chance maior de ser invadida por alguém de pijama, em casa, do outro lado do mundo.

Atualmente, a superfície de ataque é citada em diversas matérias sobre ataques cibernéticos e podemos observar que essas citações costumam vir acompanhadas de explicações sobre como esses ataques funcionam ou seus impactos, o que nunca é positivo. Entender mais sobre o tema e sobre como as organizações sofrem riscos por causa deste tipo de exposição é fundamental para tomadas de decisão que auxiliem na proteção dos dados da operação e de seus clientes e parceiros.

O problema é que, nos últimos anos, a superfície de ataque cresceu mais que em qualquer outro momento no passado, e muito além do previsto graças à virtualização dos espaços corporativos, instaurada pela pandemia de COVID19. Isso trouxe problemas para o cenário de TI e SI, pois é cada vez mais complicado definir o tamanho real e a complexidade da superfície de ataque em uma organização, deixando seus ativos (físicos e digitais) mais expostos aos agentes de ameaças.

Analisando esse contexto, o objetivo desse artigo é apresentar o conceito de superfície de ataque, explicar como ela é composta e quais riscos pode representar para sua operação. Aproveite a leitura!

O que é a superfície de ataque

Não é de hoje que o termo superfície de ataque é compreendido nas comunidades de TI e SI como uma medida de exposição de uma organização mas, se você ainda não ouviu falar, vamos contar um pouco mais sobre esse conceito.

Em resumo, superfície de ataque é o termo atribuído ao conjunto de recursos digitais e físicos que interage com sistemas externos e que, por estar exposto a esses sistemas externos, apresenta potenciais vulnerabilidades e aumenta a janela de exposição a riscos.

O risco associado à superfície de ataque é o resultado da amplitude e da possibilidade de invasão em sistemas ou ativos que compõem essa malha. Imagine o seguinte: quanto menor essa superfície, mais alto será o nível de segurança digital dessa organização.

Contudo, essa robustez não é formada ao léu – muito menos com ferramentas de segurança isoladas. É preciso adotar uma abordagem sistêmica e centralizadora, que integre e automatize os recursos de proteção existentes, formando um ecossistema de monitoramento e correções em tempo real.

O processo de identificação e descoberta da superfície se torna muito mais complexo nesse ambiente, sendo necessário identificar todos os ativos expostos na infraestrutura da empresa e saber como eles estão interconectados entre si, com parceiros e com outras redes.

Além do mais, é preciso definir quem é responsável por cada ativo e em quais processos da empresa eles já estão sendo utilizados. No final, o que já parece ser uma tarefa complexa se torna ainda mais desafiadora quando sabemos que, além dos ativos conhecidos, podem existir “pontos ocultos” na superfície de ataque que podem ser críticos para a empresa, o que costuma ser chamado de “Shadow IT“.

É dessa complexidade que surgiu o que chamamos de “Inteligência de Superfície de Ataque” (ASI – Attack Surface Intelligence), uma série de processos que une boas práticas de segurança a conceitos de Threat Intelligence (inteligência de ameaças) e ao processo de identificação e monitoramento da superfície de ataque.

Attack Surface Intelligence

A inteligência de superfície de ataque oferece uma visão panorâmica e privilegiada de todo ambiente de uma organização, iluminando os pontos cegos que vão desde infraestruturas até os gaps de processo da organização. O processo é organizado em etapas que devem ser repetidas continuamente, de maneira a garantir boas práticas de segurança na visibilidade da superfície de ataque.

Seu objetivo é identificar as ameaças a tecnologias, pessoas e processos, priorizando e mitigando riscos em todo o ecossistema da organização, resultando em um olhar sistemático e uma postura proativa focados em associar qualquer tipo de risco aos ativos da empresa.

Crescimento da superfície de ataque

Não restam dúvidas de que muitas organizações aprimoraram suas estruturas digitais e de TI nos últimos anos. Porém, com o advento da recessão econômica e da pandemia de COVID19, os investimentos em grande escala diminuíram, trazendo incerteza no mercado.

Como consequência, a expansão da superfície de ataque ocorreu de forma acelerada pois, com boa parte das pessoas trabalhando em casa, o número de dispositivos conectados aumentou e a extensão das redes corporativas, ampliadas por inúmeras VPNs (redes virtuais privadas) cresceu exponencialmente, trazendo inúmeros ativos novos para as redes, tais como:

• Endpoints de trabalho remoto (tablets, laptops, desktops);
• Infraestrutura (hardware);
• Aplicações em ambientes cloud;
• Dispositivos IoT e 5G;
• Uso de código de terceiros e DevOps;
• Infraestrutura de trabalho remoto (VPN, RDP, etc.).

Não são poucos os especialistas no tema que afirmam que muitas empresas atingiram um ponto de inflexão digital, que irá alterar suas operações para sempre. Isso é, potencialmente, uma má notícia em termos de superfície de ataque, pois pode atrair ataques de phishing, malware e muitos outros. Na verdade, existem centenas de vetores de ataque que os criminosos cibernéticos podem usar, onde apenas alguns são populares.

Conhecendo sua superfície de ataque

O primeiro passo para entender o tamanho do problema é conhecer a extensão da superfície de ataque em sua operação. Servidores, máquinas virtuais, bancos de dados, serviços expostos e credenciais vazadas são alguns dos tipos de ativos levantados nesse processo. É um trabalho muito extenso mas, por sorte, há uma forma de fazer isso de forma rápida, fácil e gratuita, com a ajuda de plataformas de análise da superfície de exposição a ataques cibernéticos. Com o uso de automação, inteligência artificial e aprendizado de máquina, são capazes de reunir, rapidamente, os riscos e vulnerabilidades presentes em ativos expostos e, consequentemente, vulneráveis e sujeitos a possíveis ataques.

Ferramentas como o GAT Security Score coletam dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação em qualquer domínio web, seus sub-domínios e na infra-estrutura associada a eles. Ao fazer o cadastro com uma conta de e-mail de seu domínio web, o sistema calcula o score de segurança do domínio e você ainda ganha um crédito adicional para analisar qualquer outro domínio de sua escolha.

Que tal conhecer, gratuitamente, a superfície de exposição a ataques e riscos cibernéticos em sua operação e em sua cadeia de suprimentos?

Como Funciona

O algoritmo atribui, automaticamente, uma nota em formato de Rating de Segurança Cibernética com base na análise da superfície de exposição dos ativos à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança, contendo apontamentos de riscos da organização, de seus fornecedores e quaisquer terceiros.

Inventário Digital

Por meio do domínio contido no endereço de e-mail informado no momento do cadastro (por exemplo, para o email [email protected], o domínio será empresa.com), nosso algoritmo inicia uma busca pelos subdomínios e pelos diversos tipos de ativos vinculados a esse domínio. Geralmente, as ferramentas de Security Rating limitam suas buscas somente aos IPs relacionados ao domínio. O GAT Security Score busca:

• IPs
• Subdomínios
• Aplicações Web
• Contas de E-Mails

Fatores de Risco

Após a identificação do inventário digital exposto associado ao domínio, o sistema realiza uma busca por possíveis problemas de segurança relacionados a cada um desses ativos. Os apontamentos identificados são divididos em quatro fatores de risco:

• Risco de Imagem da Marca: Problemas que podem acarretar na perda de credibilidade da marca. Por exemplo, domínio encontrado em alguma Blacklist (listas de servidores que costumam enviar SPAM) e má configuração de servidores de e-mail, entre outros.
• Vazamento de Dados: Verificação das contas de e-mail corporativas, para checar se fazem parte de algum vazamento de dados.
• Problemas de Websites: Questões relacionadas a certificados digitais, má configuração de servidores web, tecnologias inseguras e vulnerabilidades conhecidas (o sistema não realiza nenhuma varredura intrusiva).
• Problemas de Rede: Questões relacionadas aos endereços IP encontrados, tais como: portas abertas, serviços expostos e tecnologias inseguras sendo utilizadas.

Score de Segurança

Com base nos resultados obtidos, o sistema utiliza um algoritmo que realiza o cálculo do Score de Segurança do domínio informado, que vai de 0 a 950. Nosso algoritmo não é estático, mas sim adaptativo ao longo do tempo, de acordo com os avanços naturais na área da Segurança da Informação. O cálculo sofrerá ligeiras adaptações ao longo do tempo, a fim de refletir as mudanças da área. Sempre que isso ocorrer, iremos informar sobre a mudança, a fim de garantir transparência e confiança.

Casos de Uso

Os resultados obtidos pelo GAT Security Score podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros. Seja qual for o caso, sua operação estará mais protegida e munida de informações para tomadas de decisão estratégicas. Não espere um ataque acontecer para se proteger, comece agora!

Materiais Ricos

Quer saber mais? Faça o download do nosso E-Book sobre gerenciamento da superfície de ataque e risco de terceiros e evite ataques antes que eles aconteçam!