Superfície de Ataque: Digital vs. Física

Você conhece o nível de exposição de sua operação na Internet e sabe a quais riscos ela está exposta? E sua rede local, está preparada para resistir a ataques físicos, baseados em hardware? Seus ativos como servidores, máquinas virtuais, computadores, tablets, discos externos e pen-drives estão devidamente protegidos contra acesso ou uso não autorizado?

Como você já deve ter notado, a superfície de ataque pode ser definida como a soma dos ativos físicos e digitais que uma organização possui, que podem ser comprometidos por um invasor e assim facilitar um ataque cibernético ou físico. 

Isso significa que existem diversas possibilidades para ataques com origens muito distintas. Mas como proteger sua operação nesse cenário tão desafiador? Continue lendo o artigo e esteja sempre um passo à frente das ameaças.

Cenário

O objetivo final dos agentes de ameaças que miram a superfície de ataque varia muito, mas costuma envolver roubo e sequestro de dados (ransomware), recrutamento de máquinas para realizar ataques, disseminação de vírus e programa maliciosos e, até mesmo, mineração de criptomoedas.

Em termos diretos, quanto maior a superfície de ataque, mais opções os criminosos têm para atacar seus alvos. Vamos dar uma olhada nas duas principais formas de classificar as superfícies de ataque:

Superfície de ataque digital

Nessa situação, a superfície de ataque digital integra todo o hardware, software e os componentes relacionados que estejam conectados à rede de uma organização.

Então, estão incluídos os seguintes elementos:

• Aplicativos: as vulnerabilidades em aplicativos são comuns e podem ser usadas por atacantes como porta de entrada para sistemas e dados críticos de TI;
• Certificados: as empresas costumam deixá-los expirar, permitindo que os atacantes se aproveitem disso;
• Código: atualmente esse é um dos grandes riscos do mundo cibernético. Aliás, grande parte do código usado é compilado a partir de componentes de terceiros, pois eles podem conter malware ou vulnerabilidades;
• Portas: os atacantes estão cada vez mais à procura de portas abertas e se houver algum serviço escutando em uma porta específica (por exemplo, RDP na porta TCP 3389). Se esses serviços estiverem mal configurados ou contiverem vulnerabilidades, eles podem ser explorados;
• Servidores: estes podem ser atacados por meio da exploração de vulnerabilidades ou da saturação do tráfego em ataques DDoS;
• Sites: outra parte da superfície de ataque digital que oferece múltiplos vetores de ataque, incluindo falhas de código e erros de configuração. Um ataque bem-sucedido pode levar a um defacement, que é quando o site é comprometido, deixando uma nota afirmando ser o responsável pelo ataque, ou a implantação de código malicioso para realizar outros ataques.

Por mais que possa parecer uma lista extensa e demorada, está longe de ser uma lista exaustiva. Ainda há diversos outros fatores que exemplificam a magnitude que uma superfície de ataque digital pode representar.

Superfície de ataque física

Além da rede física em si, aqui estão incluídos alguns os dispositivos de endpoint onde um malware que pretenda atacar pode acessar  “fisicamente”:

• Computadores;
• Unidades de disco rígido;
• Tablets;
• Telefones;
• Pen drives.

Existem motivos para dizer que os colaboradores são uma das partes mais importantes da superfície de ataque, pois esses podem ser manipulados por meio da engenharia social (phishing e suas variantes) durante um ataque cibernético. Eles também são responsáveis ​​pelo uso não autorizado de aplicativos e dispositivos que contornam os controles de segurança corporativos. 

Ao usar essas ferramentas para trabalhos que não foram aprovados pela equipe de TI, e geralmente não são seguros, os funcionários podem estar expondo a organização a ameaças adicionais.

Novas tecnologias e ataques cibernéticos

É muito difícil imaginar uma eliminação completa da superfície de ataque, porém, adaptando o padrão de segurança das organizações, é possível sim reduzir significativamente a eventual presença de vulnerabilidades.

O principal ponto para uma segurança de TI de excelência passa por entender os projetos de segurança como partes indissociáveis à própria concepção das aplicações, desenvolvendo-se e atualizando-se dentro do ciclo de vida dos softwares.

Além disso, outra questão importante é saber diagnosticar os limites exatos de seu perímetro de segurança, especialmente em um momento em que quase todas as informações são processadas em nuvem.

Em outras palavras, como as novas soluções tecnológicas fazem com que muitas atividades sejam executadas fora do raio de visão dos recursos de proteção tradicionais, o monitoramento de incidentes é frontalmente comprometido.

Medidas para reduzir a superfície de ataque

Como citamos aqui em cima, não é viável reduzir a zero a superfície de ataque. 

Contudo, após uma análise e um monitoramento de vulnerabilidades, pontos fracos e anomalias na rede, é possível elaborar estratégias que auxiliem na identificação e no monitoramento de dispositivos computacionais virtuais e físicos dentro da empresa ou organização. 

E isso pode ser feito seguindo os pontos abaixo:

• Ter ferramentas de descriptografia de ransomware

Já pensou a complicação que é ter o sistema invadido? Ou ser vítima de um ataque que criptografa seus dados?

Há a possibilidade de prevenir-se contra o bloqueio permanente dos dados caso seja implementado decifradores de ransomware, desde que esses sejam capazes de descriptografar seus arquivos sem que você tenha que pagar sequer R$1,00 pelo resgate. 

De toda forma, esse tipo de instrumento deve ser usado em conjunto com outras ferramentas, como uma solução de backup online.

• Manter atenção e cuidado redobrado à segurança já na fase de programação

A superfície de ataque pode ser aumentada ainda na fase de programação do aplicativo ou do site, o que gera ainda mais perigo. 

Basta apenas uma tag oculta que contenha uma “pista” sobre seus sistemas e será aberta uma porta a um invasor.

Há situações em que, ao visualizar o código-fonte do site de um e-commerce, por exemplo, hackers conseguem ter acesso até mesmo a dados de servidores de pagamentos, colocando em risco todo o negócio do varejista virtual.

Também é importante sempre vasculhar seus códigos em busca de vulnerabilidades. Um programa de bug bounty pode ser essencial para isso!

• Implementar uma solução inteligente de firewall

Uma solução inteligente para firewall é fundamental por ser ampla e proativa, auxiliando a combater de modo eficaz os ataques DDoS.

Isso ocorre pois esse tipo de solução permite um completo controle do ambiente de trabalho, mediante filtros e regras de utilização dos recursos presentes. 

Recursos como Access Rules, autenticação de usuário e gateway antivírus (que realiza o filtro de vírus oriundos do ambiente externo nos protocolos HTTP, FTP, IMAP, SMTP etc.) são algumas das ferramentas que blindam sua rede de acessos de terceiros, protegendo seus servidores e a disponibilidade de suas aplicações.

A importância da visibilidade da superfície de ataque

Possuir total visibilidade da superfície de ataque faz com que o nível de segurança da empresa seja aprimorado e atinja um nível de maturidade importantíssimo.

Com esse nível, é mais fácil prover o contexto necessário para entender quais operações e ativos serão impactados em caso de um ataque agressivo. 

Essa visibilidade pode ser constantemente melhorada através da ASI, aliada a ferramentas automatizadas, mas a atenção deve ser redobrada para que os “pontos ocultos” se tornem visíveis.

Conhecendo sua superfície de ataque

O primeiro passo para entender o tamanho do problema é conhecer a extensão da superfície de ataque em sua operação. Servidores, máquinas virtuais, bancos de dados, serviços expostos e credenciais vazadas são alguns dos tipos de ativos levantados nesse processo. É um trabalho muito extenso mas, por sorte, há uma forma de fazer isso de forma rápida, fácil e gratuita, com a ajuda de plataformas de análise da superfície de exposição a ataques cibernéticos. Com o uso de automação, inteligência artificial e aprendizado de máquina, são capazes de reunir, rapidamente, os riscos e vulnerabilidades presentes em ativos expostos e, consequentemente, vulneráveis e sujeitos a possíveis ataques.

Ferramentas como o GAT Security Score coletam dados disponíveis publicamente na Internet (de forma não intrusiva) para dar uma perspectiva externa da postura de Segurança da Informação em qualquer domínio web, seus sub-domínios e na infra-estrutura associada a eles. Ao fazer o cadastro com uma conta de e-mail de seu domínio web, o sistema calcula o score de segurança do domínio e você ainda ganha um crédito adicional para analisar qualquer outro domínio de sua escolha.

Que tal conhecer, gratuitamente, a superfície de exposição a ataques e riscos cibernéticos em sua operação e em sua cadeia de suprimentos?

Como Funciona

O algoritmo atribui, automaticamente, uma nota em formato de Rating de Segurança Cibernética com base na análise da superfície de exposição dos ativos à Internet pública e, como consequência, a ataques cibernéticos. O sistema entrega uma avaliação do nível de segurança, contendo apontamentos de riscos da organização, de seus fornecedores e quaisquer terceiros.

Inventário Digital

Por meio do domínio contido no endereço de e-mail informado no momento do cadastro (por exemplo, para o email [email protected], o domínio será empresa.com), nosso algoritmo inicia uma busca pelos subdomínios e pelos diversos tipos de ativos vinculados a esse domínio. Geralmente, as ferramentas de Security Rating limitam suas buscas somente aos IPs relacionados ao domínio. O GAT Security Score busca:

• IPs
• Subdomínios
• Aplicações Web
• Contas de E-Mails

Fatores de Risco

Após a identificação do inventário digital exposto associado ao domínio, o sistema realiza uma busca por possíveis problemas de segurança relacionados a cada um desses ativos. Os apontamentos identificados são divididos em quatro fatores de risco:

• Risco de Imagem da Marca: Problemas que podem acarretar na perda de credibilidade da marca. Por exemplo, domínio encontrado em alguma Blacklist (listas de servidores que costumam enviar SPAM) e má configuração de servidores de e-mail, entre outros.
• Vazamento de Dados: Verificação das contas de e-mail corporativas, para checar se fazem parte de algum vazamento de dados.
• Problemas de Websites: Questões relacionadas a certificados digitais, má configuração de servidores web, tecnologias inseguras e vulnerabilidades conhecidas (o sistema não realiza nenhuma varredura intrusiva).
• Problemas de Rede: Questões relacionadas aos endereços IP encontrados, tais como: portas abertas, serviços expostos e tecnologias inseguras sendo utilizadas.

Score de Segurança

Com base nos resultados obtidos, o sistema utiliza um algoritmo que realiza o cálculo do Score de Segurança do domínio informado, que vai de 0 a 950. Nosso algoritmo não é estático, mas sim adaptativo ao longo do tempo, de acordo com os avanços naturais na área da Segurança da Informação. O cálculo sofrerá ligeiras adaptações ao longo do tempo, a fim de refletir as mudanças da área. Sempre que isso ocorrer, iremos informar sobre a mudança, a fim de garantir transparência e confiança.

Casos de Uso

Os resultados obtidos pelo GAT Security Score podem ser utilizados para a análise do nível de exposição cibernética, análise de risco em terceiros, benchmark e levantamentos para utilização em processos de Due Diligence, Cyber Underwriting e Seguro Cyber, entre outros. Seja qual for o caso, sua operação estará mais protegida e munida de informações para tomadas de decisão estratégicas. Não espere um ataque acontecer para se proteger, comece agora!

Materiais Ricos

Quer saber mais? Faça o download do nosso E-Book sobre gerenciamento da superfície de ataque e risco de terceiros e evite ataques antes que eles aconteçam!