Ações que as vítimas de violação gostariam de ter tomado antes
Este artigo faz parte de uma série que visa educar os profissionais de segurança cibernética sobre as lições aprendidas pelas vítimas de violação. Cada lição incluirá recomendações simples, muitas das quais não exigem que as organizações comprem nenhuma ferramenta.
O mundo da segurança cibernética é incrivelmente dinâmico e se desenrola como um gigantesco jogo de xadrez em todo o mundo, com movimentos, contra-movimentos e um conjunto de jogadores em constante mudança. Se você tem algum tipo de tecnologia da informação em sua organização, então você não tem escolha a não ser jogar o jogo também! Mas o jogo não está a seu favor. Seus oponentes operam em todas as horas do dia, todos os dias do ano. Eles podem estar em qualquer lugar do mundo, esconder seus movimentos e estão sempre procurando fraquezas em sua defesa; e até usará suas próprias peças contra você.
O que isso significa no mundo real é que seus recursos de defesa cibernética também precisam operar em todas as horas do dia. Você precisa encontrar suas próprias fraquezas e reforçá-las antes que um adversário as encontre. Você também precisa estar ciente do que o adversário pode fazer se encontrar uma fraqueza.
Aplicação de patches
Embora a correção do sistema operacional e do aplicativo seja uma preocupação contínua importante, a correção de seus sistemas voltados para o público é uma missão crítica. De acordo com o Sophos Active Adversary Playbook 2021, a exploração de aplicativos voltados para o público é uma das cinco principais técnicas usadas para obter acesso inicial durante uma violação. Exemplos recentes de alto perfil incluem explorações do Microsoft Exchange ProxyLogon (também conhecido como Hafnium) e ProxyShell e uma vulnerabilidade do Confluence que foi explorada em uma semana após a divulgação no fim de semana do feriado do Dia do Trabalho dos EUA. As soluções de Virtual Private Network (VPN) de vários players importantes também foram exploradas este ano. O WordPress – o aplicativo por trás de muitos sites – é uma vítima constante de exploração.
A única solução real é ter um inventário sólido de seus sistemas voltados para o público, monitorar esses sistemas para divulgações de vulnerabilidades e corrigi-los assim que possível. Não espere por notícias de uma exploração ou um fornecedor para criar uma notificação de Vulnerabilidade e Exposição Comum (CVE) – a Microsoft forneceu patches para o Exchange em abril e maio de 2021 contra o ProxyShell, mas notoriamente não divulgou as vulnerabilidades até 13 de julho, levando muitos a acreditar que os patches não eram importantes.
Cenário de ameaças
Manter-se a par das táticas, técnicas e procedimentos mais recentes dos agentes de ameaças é uma parte importante de sua defesa. Conheça o seu inimigo. Se você vir uma história sobre as credenciais de 500.000 usuários de VPN vazando na dark web e usar a mesma tecnologia de VPN, examine-a. Se você ler sobre o Exchange sendo explorado para implantação de ransomware e executar um servidor Exchange, investigue mais.
Alguns recursos sugeridos estão listados abaixo:
- https://www.bleepingcomputer.com
- https://us-cert.cisa.gov
- https://www.ncsc.gov.uk/section/keep-up-to-date/reports-advisories
- https://www.cyber.gov.au
- https://news.sophos.com
- https://nakedsecurity.sophos.com
Shadow IT
Não é incomum que o lado ‘negócio’ de uma organização contorne a TI e implemente uma solução por conta própria, conhecida como “Shadow IT”. Eles podem querer evitar o escrutínio ou acelerar um projeto, ou pode ser que a TI tenha dito ‘não’, então eles estão procurando outro caminho. Embora a solução Shadow IT não tenha sido sancionada, isso não significa que possa ser ignorada. Certifique-se de que está totalmente isolado ou coloque-o de volta sob controle. Trabalhar em estreita colaboração com a empresa para encontrar soluções bem-sucedidas ajuda a evitar Shadow IT, mas você também precisa monitorar novos sistemas e aplicativos que podem deixá-lo exposto.
Consciência situacional constante
Você pode estar muito confortável com sua postura de segurança hoje. Mas basta uma conta comprometida, uma mudança inocente de firewall ou uma exploração de dia zero para permitir a entrada de um agente de ameaça. a guarda está baixa. Um recente comunicado de segurança do FBI e da CISA alertou as organizações que os riscos de ataque são maiores em feriados e fins de semana, citando violações de alto perfil da Colonial Pipeline, JBS e Kaseya como exemplos. Conforme observado acima, o Confluence foi explorado no início do feriado do Dia do Trabalho nos EUA.
Recomendamos que as organizações procurem um serviço gerenciado capaz de lidar com uma violação para você às 2h do sábado de um fim de semana prolongado. Um que tenha consciência da situação global e possa traduzir isso na melhoria da postura de risco de sua organização. Certifique-se de selecionar um provedor que possa agir, não apenas notificá-lo – a menos que você queira fazer a defesa prática do teclado (e tenha experiência para fazê-lo) enquanto tenta aproveitar algum tempo fora do escritório.
do original: https://news.sophos.com/en-us/2021/09/15/hindsight-6-staying-ahead-of-the-game/