O que é gerenciamento de superfície de ataque externa e seus desafios

À medida que os processos empresariais se tornam cada vez mais digitais, há uma procura crescente de infraestruturas de TI. Para acompanhar essa procura, foram criados muitos serviços e aplicações para facilitar sua criação.

Embora essas ferramentas sejam convenientes e reduzam o atrito para a transformação digital, existem alguns problemas:

• As empresas precisam de uma política abrangente para gerir o ciclo de vida dos seus ativos de TI, mas esta política pode não existir ou ser demasiado recente, o que significa que os sistemas mais antigos foram abrangidos.
• Mesmo quando as políticas existem, os funcionários ou contratantes podem não ter conhecimento delas e fornecer novos sistemas ou alterar os existentes de forma substancial, invalidando avaliações de risco anteriores e criando um risco conhecido como shadow IT.  
• Os atacantes são muito hostis e persistentes. As grandes organizações informaram que enfrentam milhares de milhões de tentativas de pirataria informática todos os dias.
  
  

Embora os sistemas internos estejam frequentemente protegidos de toda a atividade maliciosa, receber dados da Internet é um requisito para que alguns serviços de TI sejam úteis. Como estes são facilmente acessíveis aos atacantes, esta superfície de ataque externa é uma preocupação significativa para todas as organizações - e a sua gestão tem-se revelado um desafio difícil por várias razões.

O que é a superfície de ataque externa?

A superfície de ataque externa de uma organização é composta por todos os ativos digitais virados para a Internet, como aplicações, sites e API endpoints, bem como pela infraestrutura de TI (dispositivos de rede, servidores e soluções de nuvem) de que necessitam.

A superfície de ataque externa não inclui computadores ou dispositivos que não podem ser acessados externamente, mesmo que estes dispositivos tenham ligação à Internet. No entanto, quando um dispositivo se torna acessível a partir do exterior - mesmo que isso aconteça devido a um erro de configuração - faz parte da superfície de ataque externa.

Há muitos casos em que sistemas ou painéis de controle de pequena escala são disponibilizados externamente. Algumas organizações reservam recursos informáticos que os funcionários podem utilizar para estes projectos, ou os funcionários descobrem que podem tirar partido da nuvem. Estes ativos passam frequentemente despercebidos, criando uma infraestrutura não gerida e desconhecida, ou shadow IT.

Isto significa que a superfície de ataque externa de uma organização é normalmente maior do que o esperado. Há também um fluxo dinâmico de ativos que são disponibilizados temporariamente ou para tarefas específicas, o que significa que a superfície de ataque externa não é estática. Embora o grau de mudança varie, a superfície de ataque externa vai mudar sempre ao longo do tempo.

Os riscos de uma superfície de ataque externa não gerida

Quando um ativo está recebendo dados da Internet, está sempre em risco de ser alvo de atacantes. Mesmo quando estas tentativas falham, os atacantes continuam frequentemente tentando enviar pedidos maliciosos. Os agentes de ameaças podem também analisar estes ativos para encontrar vulnerabilidades e obter acesso não autorizado ou causar falhas que perturbem a atividade.

Um ataque a um ativo externo normalmente não requer qualquer interação com um funcionário (como seria o caso num ataque de phishing). Cada vulnerabilidade precisa ser corrigida ou atenuada antes de ser explorada por um atacante. Quando os atacantes encontram um ponto de entrada na rede da empresa, podem tentar entrar em sistemas críticos e roubar dados sensíveis ou instalar ransomware. 

Quando os ativos são disponibilizados por engano, muitas vezes não impõem qualquer barreira ao acesso. Já foram documentados vários incidentes em que um atacante simplesmente retirou dados de uma base de dados exposta ou de soluções de armazenamento de dados acessíveis ao público. Como estes sistemas não foram concebidos para acesso externo, as equipas de cibersegurança e de TI desconhecem frequentemente a sua existência.

Quando fazemos uma lista destes riscos, temos:

• Vulnerabilidades não corrigidas - Em alguns cenários, os atacantes começam a explorar uma vulnerabilidade poucas horas depois de esta ter sido corrigida pelo programador. As empresas devem estar atentas a estas vulnerabilidades para as mitigarem rapidamente.
• Software desatualizado - Os sistemas que atingiram o fim da vida útil (EOL) representam um risco, mesmo quando não se conhece qualquer vulnerabilidade. Quando uma vulnerabilidade é eventualmente encontrada, a empresa pode descobrir que não há solução para além da migração para uma versão mais recente ou talvez para uma plataforma de software ou hardware diferente. As migrações podem ser difíceis e exigir passos adicionais, o que pode criar tempo de inatividade ou perturbar a empresa.
• Configurações danificadas - Quando as bibliotecas de software ou outras dependências são atualizadas, as configurações antigas podem não funcionar como pretendido, deixando o sistema instável ou com um comportamento irregular. Por exemplo, uma firewall pode deixar de funcionar corretamente e expor subitamente centenas de estações de trabalho à Internet. Os certificados de domínio são outro exemplo, pois impedem que o site funcione corretamente se não forem substituídos depois de expirarem.
• Dados expostos ou ativos internos - Os serviços VPN, as plataformas de compartilhamento de dados e muitos outros ativos podem expor dados internos se não forem geridos e protegidos corretamente.
• Sistemas antigos - Há situações em que os sistemas antigos não são desativados depois de deixarem de ser necessários, ou são reativados por engano.
  

Gerir a superfície de ataque externa é um desafio

Em teoria, tudo o que precisa para manter a sua superfície de ataque externa sob controle é uma política que apenas permite que os ativos aceitem ligações de entrada da Internet depois de passarem por um processo de validação. Na prática, isto não aborda as complexidades da gestão da superfície de ataque externa (EASM).

As equipes da empresa precisam frequentemente agir e reagir rapidamente. A imposição de muitos obstáculos para validar os sistemas antes de estes poderem ser utilizados pode ser viável, mas o problema é que os sistemas vão mudar depois de serem provisionados. O software será adicionado ou removido, patches serão aplicados e soluções alternativas para bugs ou outros problemas serão implementadas. Normalmente, não é possível validar cada uma das alterações.

As equipes de investigação e desenvolvimento executam intencionalmente ambientes de teste ou sistemas beta que têm de mudar constantemente para desempenharem as suas funções.

Quando as empresas começam a gerir a sua superfície de ataque externa, existe uma acumulação de sistemas que foram provisionados antes de existir qualquer política. É raro que as equipas de segurança encontrem um inventário completo de todos os sistemas que a organização utiliza, pelo que têm de procurar todos os departamentos para compilar uma lista - apenas para descobrir que esta ainda está incompleta ou rapidamente desatualizada.

E, como mencionado anteriormente, muitos sistemas tornam-se parte da superfície de ataque externa por engano - devido a erro humano, bugs de software ou desrespeito total pela política da empresa. Se a organização não tem visibilidade sobre a sua superfície de ataque externa, não pode detectar violações de políticas.

Pensando fora da caixa

A forma mais inteligente de mapear a superfície de ataque externa é a partir do perímetro externo - utilizando algumas das mesmas ideias que um atacante utilizaria, mas de uma forma completamente não-disruptiva, rápida e automatizada. As informações recolhidas por uma plataforma EASM são utilizadas pelas equipes de cibersegurança para detectar rapidamente sistemas vulneráveis, aplicar patches e corrigir configurações danificadas.

Este monitoramento externo também tem de ser constante, garantindo que as vulnerabilidades são detectadas precocemente e que as equipas de cibersegurança têm um mapa atualizado de todos os sistemas que são adicionados ou removidos da superfície de ataque externa. Isto pode identificar violações de políticas ou atacantes a tentar exfiltrar dados.

A plataforma Axur pode colaborar com a sua equipe de cibersegurança para detectar riscos na sua rede a partir do ambiente externo e fornecer-lhe as informações e a confiança de que necessita para proteger os seus ativos externos e a sua presença digital. Se quiser saber mais, estamos prontos para ajudar.