O risco é algo que tem de ser gerido e as organizações têm de ter noção das ameaças a que diariamente estão expostas. O contínuo crescimento dos ataques cibernéticos reportados, cada vez mais sofisticados e criativos coloca a questão de como lidar com as vulnerabilidades. A resposta está nas pessoas? Na tecnologia? Nos processos?
Por Rogério Resende, Lead Technical Engagement Manager da Integrity
Chegou a altura do ano em que as principais empresas de cibersegurança publicam os seus relatórios anuais, com a avaliação de resultados dos testes efetuados no ano transato. Mais do que avaliar o trabalho realizado no último ano, estes relatórios são extremamente úteis para identificar tendências de vulnerabilidades nos diversos clientes, em diversos setores de atividade. O tema da cibersegurança não é novo, e a relevância nas nossas vidas e na sobrevivência das organizações é cada vez maior. Nos últimos tempos, observamos ciberataques efetuados com métodos de ataque que apesar de não serem novos provaram ser extremamente eficazes. Estes ataques visaram acessos remotos e comprometimento de colaboradores ou fornecedores de serviços com acesso à organização.
A pandemia, também não sendo nova, acabou por instalar uma nova realidade nas organizações. O modelo de trabalho remoto, que começou por ser um mecanismo de resposta temporário, acabou por se tornar uma nova realidade para o mercado de trabalho, tendo levado muitas organizações a implementar modelos de trabalho totalmente remoto, ou híbrido, deixando ao critério dos colaboradores quando se deslocam até ao escritório. Esta realidade permite-nos passar mais tempo com a família e ter uma melhor qualidade de vida, mas trouxe grandes desafios às organizações e novas fragilidades de segurança, uma vez que o perímetro da organização foi expandido com novos serviços e múltiplos pontos de acesso à organização.
A conjugação destes fatores leva as organizações a terem que prevenir estes novos métodos de ataque, uma infraestrutura com mais pontos de acesso e vetores de ataque, a contínua aposta em segurança para lidar com as vulnerabilidades que já existiam anteriormente e as novas vulnerabilidades que vão sendo reportadas pela comunidade de profissionais de segurança. Não é, de todo, um cenário fácil de gerir, especialmente tendo em consideração que o impacto do comprometimento de uma organização, significa uma perda de confiança dos seus clientes e perdas financeiras avultadas. E é tendo em consideração este cenário, que relatórios como este, da Integrity, podem ser uma boa base de partida para planear a prevenção da nossa organização.
Começando pelo que já conhecemos: como melhorar a nossa postura de segurança, e combater as vulnerabilidades que temos vindo a lidar durante os últimos anos? Conhecendo as vulnerabilidades mais comuns e com maior criticidade, como as corrigir, e as maiores dificuldades das restantes organizações do nosso setor, permite-nos adotar processos internos para implementação de controlos de segurança, de forma a combater de forma eficaz as vulnerabilidades com maior probabilidade de afetar a nossa organização. Seguidamente, é necessário realizar pentests regulares às aplicações e infraestrutura de forma a garantir que os controlos de segurança estão corretamente aplicados e se existem vulnerabilidades adicionais que necessitem de implementação de controlos específicos. É importante que estes testes possam ocorrer de forma regular e sincronizada com alterações efetuadas uma vez que a atualização de código aplicacional, serviços ou infraestruturas podem introduzir novas vulnerabilidades. Para prevenir novas vulnerabilidades, é essencial estar atento às novas ameaças que vão surgindo, seja através de cybersecurity feeds, newsletters ou participação em grupos da comunidade de segurança. Esta informação, combinada com um inventário atualizado de sistemas e aplicações da organização permite uma resposta atempada às novas vulnerabilidades e mitigar o risco num curto espaço de tempo.
Relativamente ao perímetro da organização, são necessários testes especializados à infraestrutura de VPN, acessos remotos e WiFi. É importante garantir testes ao endpoint de ligação VPN, ao mecanismo de autenticação (incluindo 2FA), validando que apenas os colaboradores autorizados conseguem aceder às redes internas, e aos mecanismos de autorização, garantindo que permitem apenas acesso às redes ou sistemas que estão atribuídos ao perfil do utilizador. Algumas organizações recorrem a portais que permitem aos colaboradores aceder a aplicações internas. Nestes casos é importante testar exaustivamente estes portais, uma vez que a existência de vulnerabilidades (como por exemplo SSRF) neste tipo de aplicações, pode significar o comprometimento de redes internas.
É ainda essencial falar acerca dos colaboradores da organização. Conforme observado pelos últimos ataques mediáticos, estes são essenciais para garantir a maturidade de segurança das nossas organizações e devem ser considerados como uma extensão da equipa de segurança. Sendo necessário garantir a sua formação e sensibilização em segurança e efetuar testes regulares, através de campanhas de phishing, bem como campanhas de spear-phishing a utilizadores chave da organização. Adicionalmente, controlos efetivos de anti-SPAM no sistema de email da organização, são de extrema importância para limitar este tipo de ataques.
Atingindo este estágio de maturidade, é importante consolidar e reavaliar o risco da organização e a implementação de controlos através de campanhas de Red Team, que permitem em simultâneo e de forma realista avaliar múltiplos vetores de ataque. O Red Team poderá ser baseado em cenários contemplando, por exemplo, ataque interno, em que se simula um atacante que conseguiu um acesso à rede e que vai escalar privilégios dentro da rede tentando atingir os targets definidos; ou externo, em que o atacante reside na internet ou até mesmo contemplando a componente física, simulando na sua totalidade, um atacante que além de todos os métodos descritos anteriormente, tenta ultrapassar barreiras físicas e implantar dispositivos dentro da organização visada, ganhando acesso à rede antes de proceder à escalada de privilégios.
Estas etapas garantem que tecnologias, processos e pessoas estão alinhados no mesmo propósito, cuja interação é essencial para garantir o sucesso das estratégias delineadas, no âmbito da Segurança da Informação.
E tudo isto seria idealmente efetuado de forma regular e contínua para garantir a segurança da organização ao longo do tempo. Devido a esta complexidade, não é fácil para as organizações conseguirem atingir este nível de maturidade de segurança e é nestes casos que se torna relevante ter um parceiro de segurança que acompanha ao longo de todas estas tarefas, com avaliação de risco, metodologias de testes, seleção de controlos de segurança a implementar e validação da eficácia dos controlos implementados. Da parte da Integrity, é com agrado que verificamos uma tendência crescente na adoção de todos estes diferentes testes e do nosso serviço continuado.