A Clavis lançou um novo webinar sobre Gerenciamento da Superfície de Ataque conduzido por Leonardo Pinheiro, CTO da companhia. Durante a apresentação, foi abordado desde o conceito até a aplicação em cases reais. Mais que isso, foram apresentados os diferenciais que a Plataforma de Segurança Clavis pode oferecer para as companhias.
E o melhor de tudo: você pode assistir ao webinar no melhor dia e horário! A gravação está disponível para sua comodidade. Caso surja alguma dúvida sobre o conteúdo exposto, estamos inteiramente à sua disposição para saná-las. Não deixe de entrar em contato conosco.
Aqui, você também encontra um resumo dos principais assuntos abordados pelo CTO da Clavis.
O que é o Gerenciamento da Superfície de Ataque?
De acordo com o Gartner, empresa de pesquisa e consultoria em tecnologia da informação, o gerenciamento da superfície de ataque envolve processos, tecnologias e serviços gerenciados para identificar ativos e sistemas corporativos expostos à Internet.
Isso inclui servidores e serviços de nuvem pública mal configurados, dados corporativos expostos, como credenciais, e software de terceiros com falhas de segurança que podem ser exploradas por atacantes.
Esse recurso oferece priorização de riscos, contexto valioso e informações acionáveis por meio de monitoramento regular ou contínuo de ativos e sistemas externos. O gerenciamento da superfície de ataque externa é uma prioridade máxima para as equipes de segurança e gerentes de riscos.
Em qual etapa de um ataque o Gerenciamento da Superfície de Ataque atua?
De acordo com o “Cyber Kill Chain”, é possível descrever um ataque cibernético em etapas distintas. Esse modelo divide um ataque em sete fases pelas quais os cibercriminosos passam para executar um ataque cibernético bem-sucedido. Ela é composta por sete etapas principais:
O Gerenciamento da Superfície de Ataque atua justamente na primeira fase, durante o reconhecimento. Nesta etapa, os atacantes realizam pesquisa e coleta de informações sobre a empresa, buscando identificar possíveis vulnerabilidades e vetores de ataque. Se as suas portas para a internet estiverem seguras, o ataque será frustrado desde o início.
A superfície de ataque na nuvem
Nos últimos anos, houve um aumento significativo na adoção de servidores na nuvem pelas empresas, impulsionado pela busca por maior flexibilidade, escalabilidade e eficiência operacional. Além disso, as soluções de nuvem permitiram que as organizações expandissem sua estrutura sem os altos custos e a complexidade associados à manutenção de infraestruturas físicas.
Sabe-se que os servidores na nuvem representam uma das maiores superfícies de ataque devido à sua ampla exposição à Internet. Ao migrar para a nuvem, as organizações muitas vezes expandem significativamente sua infraestrutura digital, o que pode incluir múltiplos serviços, aplicativos e dados acessíveis remotamente.
Tal expansão aumenta a quantidade de pontos de entrada potenciais que podem ser explorados por cibercriminosos. Se não forem devidamente configurados e protegidos, servidores na nuvem podem expor vulnerabilidades críticas, como portas abertas, permissões inadequadas e falhas de autenticação, facilitando ataques como invasões, roubo de dados e interrupções de serviço.
Uma vez dentro do sistema, os atacantes podem mover-se lateralmente, explorar outras vulnerabilidades e causar danos significativos antes de serem detectados, como destaca a figura abaixo sobre os ativos críticos em risco a cada hop do ataque à nuvem.
Além disso, sabe-se que tanto o tempo necessário para acessar os ativos quanto para utilizar as chaves de acesso estão cada vez menores. Em alguns meios, o tempo para a utilização das chaves é quase instantâneo, conforme ilustra o relatório da Orca Security:
GitHub
O GitHub é uma plataforma de hospedagem de código-fonte que utiliza o sistema de controle de versão Git. Desenvolvedores usam GitHub para armazenar, gerenciar, rastrear e controlar alterações em seus projetos de software.
Se um repositório de código for invadido, os atacantes podem acessar, modificar ou deletar o código, potencialmente introduzindo vulnerabilidades ou backdoors maliciosos. Além disso, se o repositório contiver informações confidenciais, como chaves de API, credenciais de acesso ou dados de usuários, essas informações podem ser expostas e usadas para realizar ataques adicionais, comprometendo a segurança e a integridade dos sistemas e dados da organização.
HTTP
HTTP (Hypertext Transfer Protocol) é o protocolo de comunicação utilizado na web para transferir dados entre clientes (como navegadores web) e servidores. Ele define como as mensagens são formatadas e transmitidas, e como os servidores e navegadores devem responder às diversas solicitações. HTTP é a base da comunicação na Internet, permitindo a navegação e a interação com sites.
Uma consequência significativa da invasão do HTTP é a interceptação e manipulação de dados transmitidos entre o cliente e o servidor. Como o HTTP não é criptografado, os atacantes podem realizar ataques de interceptação (man-in-the-middle) para capturar informações sensíveis, como credenciais de login, dados pessoais e detalhes financeiros.
Além disso, os atacantes podem modificar o conteúdo das comunicações, inserindo código malicioso em páginas web, redirecionando os usuários para sites fraudulentos ou realizando ataques de phishing.
SSH
SSH (Secure Shell) é um protocolo de rede criptográfico usado para operar serviços de rede de forma segura em uma rede insegura. É amplamente utilizado para acesso remoto a sistemas, permitindo que os usuários façam login em um servidor e executem comandos à distância. O SSH fornece autenticação forte e comunicação de dados segura entre duas máquinas conectadas pela rede.
Uma invasão ao SSH pode dar aos atacantes controle total sobre esses sistemas. Eles podem executar comandos arbitrários, instalar malware, roubar dados sensíveis ou criar backdoors para acesso futuro. Além disso, os atacantes podem usar o acesso obtido para movimentação lateral dentro da rede, comprometendo outros sistemas e ampliando o impacto do ataque.
S3 Bucket
Um S3 Bucket é uma unidade básica de armazenamento no serviço Amazon S3 (Simple Storage Service) da Amazon Web Services (AWS). Ele permite que os usuários armazenem objetos, que podem ser arquivos de qualquer tipo, e organizá-los em uma estrutura semelhante a diretórios. S3 Buckets são usados para armazenamento seguro e escalável de dados, com alta durabilidade e disponibilidade.
Se um bucket S3 não estiver devidamente protegido, os atacantes podem acessar, copiar, modificar ou deletar os dados contidos nele. Isso pode incluir informações pessoais de clientes, registros financeiros, documentos internos da empresa e outros dados críticos. A exposição desses dados pode levar a vazamentos de informações, violações de privacidade, perdas financeiras, danos à reputação da empresa e possíveis implicações legais.
Elasticsearch
Elasticsearch é um mecanismo de busca e análise de texto distribuído e de código aberto, usado para indexar e pesquisar grandes volumes de dados rapidamente. Ele permite pesquisas em tempo real, análise de dados e suporte para diversas linguagens. Esse mecanismo é frequentemente usado para logs de monitoramento, análise de dados, e busca full-text em aplicações web.
A invasão do Elasticsearch pode resultar na exfiltração e manipulação de grandes volumes de dados. Além do roubo de dados, os atacantes podem modificar ou deletar índices inteiros, causando perda de dados e interrompendo operações empresariais. Essa manipulação pode levar a falhas nos serviços, perda de integridade dos dados e comprometimento da confiança dos clientes na empresa.
Redis
Redis (Remote Dictionary Server) é um banco de dados de estrutura de dados na memória, de código aberto, utilizado como cache, broker de mensagens e armazenamento de dados em tempo real. Ele oferece suporte a várias estruturas de dados, como strings, hashes, listas, conjuntos e sorted sets, e é conhecido por sua alta performance e baixa latência.
Uma consequência significativa da invasão do Redis é a possibilidade de execução de comandos maliciosos que podem comprometer a integridade e a disponibilidade dos dados. Como o Redis é um banco de dados na memória frequentemente usado para armazenar dados temporários e informações críticas de aplicativos em tempo real, uma invasão pode permitir que atacantes modifiquem ou deletem dados, causando interrupções nos serviços e perda de dados essenciais.
Além disso, os atacantes podem explorar o acesso ao Redis para implantar malware, estabelecer persistência no sistema ou realizar movimentos laterais dentro da rede, ampliando o alcance do ataque e potencialmente comprometendo outros sistemas conectados.
AWS ECR
AWS ECR (Elastic Container Registry) é um serviço gerenciado de registro de contêineres da Amazon Web Services que facilita o armazenamento, gerenciamento e implantação de imagens de contêiner Docker. Ele se integra com outros serviços da AWS, como Amazon ECS e Amazon EKS, para fornecer uma solução completa para a execução de contêineres na nuvem. O serviço permite que desenvolvedores armazenem e compartilhem imagens de contêiner com segurança.
Se um invasor obtiver acesso ao ECR, ele pode alterar, substituir ou adicionar código malicioso nas imagens de contêiner. Essas imagens comprometidas, quando implantadas em ambientes de produção, podem introduzir vulnerabilidades, backdoors ou malwares nos sistemas da empresa. Isso pode levar a uma série de problemas, incluindo a execução de código não autorizado, vazamento de dados sensíveis e potencial interrupção de serviços críticos.
De maneira geral, as maiores portas de entrada para os atacantes são aquelas que estão abertas para a internet. Embora nem sempre um ativo crítico seja invadido inicialmente, é importante blindar as entradas, já que – como ocorre em diversos meios – o atacante pode ser mover dentro da rede e obter acesso aos sistemas críticos.
Proteções proporcionadas pelo Gerenciamento da Superfície de Ataque
Dentre os benefícios que um serviço de Gerenciamento da Superfície de Ataque pode proporcionar, destacamos aqueles que podem trazer mais riscos e que vemos com maior frequência nos cases da Clavis:
Domínio utilizado na aplicação web não configurado corretamente
Um domínio utilizado na aplicação web que não está configurado corretamente, especialmente em relação aos registros SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting & Conformance), pode ser uma porta de entrada para ataques de e-mail spoofing.
É importante compreender que o SPF é um protocolo que permite que os proprietários de domínios especifiquem quais servidores de e-mail estão autorizados a enviar e-mails em nome de seu domínio. Quando um servidor de e-mail recebe uma mensagem, ele verifica o registro SPF do domínio de envio para confirmar se o e-mail veio de um servidor autorizado. Se o SPF não estiver configurado corretamente, os atacantes podem falsificar o endereço de envio (spoofing), fazendo parecer que o e-mail é legítimo.
Já o DMARC é uma política de autenticação de e-mails que utiliza SPF e DKIM (DomainKeys Identified Mail) para verificar a autenticidade de um e-mail. O DMARC permite que os proprietários de domínios definam como os e-mails que falharam na verificação de SPF ou DKIM devem ser tratados (por exemplo, rejeitados, colocados em quarentena, etc.). Ele também oferece relatórios sobre tentativas de spoofing.
Sem uma política DMARC, mesmo que o SPF e DKIM estejam configurados, os servidores de e-mail receptores podem não saber como lidar com e-mails falsificados, permitindo que eles cheguem às caixas de entrada dos destinatários.
Neste caso, o Gerenciamento da Superfície de Ataque trabalharia em cima das configurações de domínio, garantindo que elas estejam seguras e corretas – o que ajuda a prevenir ataques de e-mail spoofing e outros riscos associados.
Subdomain takeover
O subdomain takeover, ou sequestro de subdomínio, é um tipo de ataque em que um atacante se apodera de um subdomínio de uma organização. Esse ataque geralmente ocorre quando um subdomínio está configurado para apontar para um recurso que foi removido ou não está mais em uso, mas a configuração DNS ainda aponta para ele.
Para esse tipo de ataque, o gerenciamento da superfície de ataque ajuda a proteger contra o sequestro de subdomínios ao fornecer visibilidade, monitoramento, e ferramentas para identificar e corrigir configurações inadequadas. Isso garante que subdomínios não utilizados ou mal configurados não se tornem vetores de ataque e ajuda a manter a integridade e a segurança da infraestrutura de rede da organização.
Acesso malicioso via SSH
Como vimos anteriormente, o SSH permite que sistemas remotos sejam acessados por terceiros de maneira segura. Caso haja uma vulnerabilidade, um atacante pode acessar os sistemas da companhia e fazer a coleta de dados confidenciais de clientes e, até mesmo, da operação da companhia.
Para esse caso, o gerenciamento da superfície de ataque auxilia na identificação e mitigação das vulnerabilidades, além de monitorar atividades e gerenciar a exposição. Ao aplicar práticas eficazes, as organizações podem melhorar a segurança do SSH e proteger melhor seus sistemas e dados contra acessos não autorizados e ataques.
Como a Clavis pode auxiliar no Gerenciamento da Superfície de Ataque?
Com a Plataforma de Segurança Clavis, você pode ter acesso a uma visão completa do seu ambiente. O Gerenciamento da Superfície de Ataque é apenas um dos módulos que compõem as mais variadas possibilidades da nossa plataforma. Conheça todos os serviços:
- Clavis SIEM
- Gestão de Vulnerabilidades
- Superfície de ataque
- Threat Intel
- Relatório de assessments
- Phishing
Dentro de nossa plataforma, com o serviço de Gerenciamento da Superfície de Ataque, você terá acesso a um dashboard com as principais informações de maneira intuitiva. Além disso, nosso time de especialistas estará à sua disposição para auxiliar na utilização da ferramenta. Veja algumas das informações dispostas em nosso dash:
- Mapeamento de domínios e subdomínios;
- Número de serviços expostos para a internet, com classificação de criticidade;
- Evolução histórica de segurança;
- Identificação dos ativos com maior número de exposição.
Não deixe de investir em Segurança da Informação. Entre em contato com nossos especialistas e garanta uma proteção personalizada para o seu negócio!
