Analisamos as vulnerabilidades internas das empresas encontradas em testes internos de penetração. Primeiro de tudo, qual a diferente entre uma ameaça externa e interna? Com uma avaliação interna, os testes devem simular ataques que um invasor de fora de sua empresa está realizando. Eles avaliam o perímetro de defesas, serviços expostos e qualquer coisa que possibilite uma entrada na rede por uma pessoa de fora. Muitas vezes, um teste externo valida que os controles de segurança estão corretos e que o perímetro é efetivo.
Curta, no Facebook, a Fan Page do IT Web
Já um teste de penetração interna tende a ter mais base no cenário, com foco nos grandes medos que a empresa enfrenta, como funcionários se tornando rogues, um máquina interna comprometida com um acesso remoto troia, ou um invasor ganhando acesso físico à rede e conectando à sua máquina. O invasor conseguiria ganhar acesso às bases de dados ou segredos? Qual ligação você teme receber de seu CSO às 2 horas da manhã?
Esses são os tipos de perguntas feitas em um teste do tipo. Infelizmente, muitas vezes, os avaliadores mostram as facilidades com as quais esses medos se tornam realidade, uma vez que ganham acesso à rede interna.
A Dark Reading falou com vários profissionais para entender melhor as tipos mais comuns de vulnerabilidades que eles encontram em testes internos. Os maiores problemas incluem os sistemas sem atualização de correções, compartilhamento de arquivos abertos e a falta de segmentação de rede adequada. “Muitas vezes, as empresas se focam em sistemas e aplicativos externos, relegando os sistemas internos para a categoria ‘corrija quando puder’”, afirmou Kevin Johnson, consultor sênior de segurança da Secure Ideas.
Levando em conta o úmero de vulnerabilidades zero day no Java, Adobe Acrobat e Flash, que continuam a aparecer, isso pode ser surpreendente. Johnson afirma que isso é geralmente por presumirem que o sistema é interno, então o invasor não tem acesso, “mas a ideia não podia estar mais equivocada. Funcionários descontentes ou invasores que ganharam acesso à rede podem usar essas vulnerabilidades no sistema para elevar seu aceso ou para comprometer dados sensíveis”.
Chris Sanders, um consultor de segurança sênior da InGuardians, concorda que sistemas sem atualização de correções são definitivamente um problema. Ele diz que encontra regularmente soluções fornecidas pelo fabricante que incluem um início com base na rede sobre a versão vulnerável do Apache Tomcat ou JBoss. “Quando apresentamos para os clientes no final do teste, ficam chocados por descobrir esse tipo de tecnologia existente em sua rede, sem se dar conta que ela faz parte de produto comprado”, afirmou Sanders.
Mina de ouro
A presença de compartilhamento de arquivos abertos ou informações armazenadas são a mina de ouro dos invasores. Vários profissionais de segurança entrevistados para esse artigo disseram que encontram muitas informações arquivadas em arquivos de servidores com parco controle de acesso. Muitos desses itens encontrados incluem listas de senha, backups da database contendo informações sensíveis e documentação sobre os sistemas internos. Não somente esses dados são valiosos pela perspectiva de mostrar o rico de arquivos abertos para os clientes, como também dá aos testadores em penetração mais informações e pistas sobre onde procurar com mais afinco na rede.
Os arquivos de servidores não são a única informação interessante: SharePint e Wikis também fornecem informações valiosas. “Quando realiza-se testes internos, muitas vezes descobrimos que as permissões ou estão completamente expostas ou disponíveis para mais pessoas do que o necessário”, afirmou Johnson, da Secure Ideas. A partir daí, ele usa as permissões abertas para roubar arquivos e documentos com tudo, desde senhas e informações de conexões, até cartões de créditos e informações pessoais.
A falta de segmentação adequada é um tema recorrente entre as descobertas. Uma vez na rede, eles têm acesso livre para fazer o que bem entenderem. Sanders, da InGuardian afirmou que os ativos de valor muitas vezes não têm separação lógica da máquina de trabalho do usuário ou dos ativos de baixo valor. “Uma vez que um ativo é comprometido, é incrivelmente fácil mover-se lateralmente para um perfil mais alto no sistema”.
Por que a segmentação da rede é importante? “Hoje ainda há mais foco no perímetro do que na segmentação interna da rede. Os engenheiros de rede não percebem que uma engenharia social ou ataque pelo lado do cliente de sucesso, pode significar o “fim do jogo”, uma vez que o invasor tenha acesso”, afirmou Sanders. Segmentação com base em importância de ativos e nível de confiança é uma das maneiras mais efetivas de prevenir muitos dos ataques desempenhados quando ganha-se o acesso à rede.
Todas as vulnerabilidades descobertas pelos testadores em penetração caem por terra usando-se fundamentos básicos em TI: atualização de correção do sistema, privilégios (e controles de acessos relacionados) e segmentação de rede adequada.
É hora de as empresas voltarem ao básico e pararem de tentar comprar o próximo produto de segurança que promete resolver todos os seus problemas? Parece que sim.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…