Grandes provedores de nuvem são muito menos prováveis de serem violados do que as empresas
Os resultados do pen-test também mostram que a maioria das organizações tem poucas proteções contra invasores já na rede.
Um novo estudo sugere que os principais provedores de serviços em nuvem têm metade da probabilidade (46%) de sofrer uma violação de dados em comparação com grandes empresas.
O fornecedor de avaliação de segurança Coalfire analisou recentemente dados de cerca de 800 testes de penetração que emularam ataques cibernéticos em redes de clientes. O exercício mostrou que os provedores de serviços em nuvem – pelo menos os grandes – fizeram melhorias significativas na segurança nos últimos anos e são mais resistentes a violações de dados do que as grandes empresas.
Os provedores de nuvem no estudo da Coalfire tinham vulnerabilidades de alto risco substancialmente menores em comparação com organizações de tamanho semelhante com infraestruturas de TI locais. Apenas 19% das vulnerabilidades que a Coalfire encontrou em infraestruturas pertencentes a grandes provedores de nuvem caíram na categoria de alto risco, em comparação com 35% em grandes redes corporativas. Da mesma forma, 25% das vulnerabilidades descobertas em plataformas de provedores de nuvem de médio porte eram de alto risco, em comparação com 39% em redes pertencentes a empresas de médio porte.
Quando existem vulnerabilidades em ambientes de nuvem, uma pluralidade (27%) resulta de configuração insegura. Erros de cross-site scripting são outro tipo de vulnerabilidade importante – e perene, respondendo por 27% de todas as vulnerabilidades em infraestruturas de provedor de nuvem.
“Conforme os provedores de nuvem amadurecem seus programas de segurança, eles estão vendo um número geral menor de problemas críticos durante os testes”, disse Mike Weber, vice-presidente da Coalfire. “No entanto, estamos vendo os mesmos tipos de problemas ocorrerem para os provedores de nuvem ano após ano, o que nos faz pensar se é necessário haver uma mudança fundamental em nossa abordagem aos processos ou tecnologias de segurança.”
A pesquisa da Coalfire também mostrou que a maioria das organizações está mais bem preparada para lidar com invasores externos do que com invasores que já podem estar em sua rede. Em média, apenas uma em cada seis vulnerabilidades que os pesquisadores da Coalfire descobriram durante seus pen tests deram aos invasores externos uma maneira de comprometer a rede imediatamente. Em contraste, 50% dos problemas que a Coalfire descobriu durante os testes de penetração interna foram críticos e teriam resultado no comprometimento imediato da rede. Outros 37% teriam fornecido aos invasores que já estavam na rede uma oportunidade “significativa” de comprometer o ambiente.
“A coisa mais importante que uma empresa pode fazer para melhorar a segurança é fortalecer suas redes internas”, diz Weber. “Desativar a resolução de nomes multicast local de link (LLMNR) e o serviço de nomes NetBIOS (NBT-NS) e ativar a assinatura do bloco de mensagens do servidor (SMB) em toda a empresa são as maneiras mais eficazes de neutralizar o impacto dos adversários que obtêm acesso aos seus ambientes internos ,” ele diz.
As principais vulnerabilidades corporativas descobertas pela Coalfire incluem protocolos inseguros, falhas de senha, problemas com patching e software desatualizado. As vulnerabilidades de aplicativos continuam sendo uma preocupação, mas consideravelmente menos do que há alguns anos. Apenas 16% das vulnerabilidades que a Coalfire descobriu durante os testes de caneta de aplicativos este ano eram falhas de alto risco, em comparação com 36% no ano passado. O fornecedor de segurança atribuiu a queda a práticas de desenvolvimento mais seguras e à adoção de práticas de teste de segurança “shift-left” destinadas a detectar bugs de segurança no início do ciclo de desenvolvimento.
Descobertas semelhantes As
conclusões do Coalfire sobre as proteções relativamente fracas que a maioria das organizações têm contra invasores que já estão na rede são semelhantes àquelas que a Positive Technologies também chegou recentemente. Em testes de penetração interna, os pesquisadores da Positive Technologies simularam ataques que teriam sido realizados por um insider malicioso ou alguém com acesso a privilégios típicos de funcionários. Em 61% das organizações, os pesquisadores conseguiram obter acesso fácil às credenciais de administrador de domínio. Trinta por cento das organizações tinham vulnerabilidades não corrigidas de 2017.
Quarenta e sete por cento das ações que os pen-testers realizaram para criar um vetor de ataque envolveram ações legítimas às quais os administradores de segurança provavelmente não prestariam atenção porque não podiam ser diferenciadas da atividade regular do usuário.
“Isso inclui, por exemplo, a criação de novas contas privilegiadas em nós de rede, criação de um despejo de memória do processo lsass.exe, despejo de ramos de registro ou envio de solicitações a um controlador de domínio”, disse Ekaterina Kilyusheva, chefe da pesquisa de análise de segurança da informação grupo da Positive Technologies. “Como essas ações são difíceis de distinguir das atividades usuais de usuários ou administradores, os ataques podem passar despercebidos.”
Kilyusheva diz que os testes da Positive Technologies em sistemas de informação corporativos revelaram um baixo nível de proteção contra invasores internos. Em testes de penetração internos no ano passado, os pesquisadores de segurança da empresa conseguiram obter controle total da infraestrutura em todas as empresas testadas. As vulnerabilidades mais comumente detectadas foram falhas de configuração, como proteção insuficiente contra a recuperação de credenciais da memória do sistema operacional ou falta de controle de acesso e falhas de política de senha, diz ela. “Em quase todos os projetos, conseguimos usar a força bruta de senhas de usuários, mesmo para usuários com privilégios.”
A mudança repentina para o trabalho remoto nos últimos seis meses como resultado da pandemia exacerbou alguns desses problemas. Anton Ovrutsky, engenheiro de colaboração adversária da Lares LLC, diz que algumas áreas problemáticas incluem a extensão do perímetro com configurações de túnel dividido e o potencial de uma rede doméstica se tornar parte da rede corporativa. Acelerar o uso da nuvem é outra preocupação. “Você pode dizer quando um usuário externo foi adicionado ao bate-papo de sua equipe, por exemplo?” ele observa.