15 de agosto de 2022
Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem, Skyhigh Security
- As credenciais roubadas de um funcionário da Cisco e o acesso VPN sublinham os riscos de utilização indevida da autenticação
Depois de inúmeras violações de alto nível nas mãos de grupos de cibercriminosos, a Cisco não tem, sem dúvida, qualquer prazer em confirmar uma violação da sua rede empresarial num recente ataque de extorsão do grupo de ransomware Yanluowang.
Utilizando uma combinação de credenciais empresariais roubadas da conta Google pessoal do funcionário da Cisco, engenharia social, phishing de voz, movimentos laterais e outras tácticas, os agentes da ameaça acederam com êxito aos sistemas e recursos empresariais da Cisco.
De acordo com as próprias equipas de segurança da Cisco, o aumento de privilégios do atacante para o nível de administrador permitiu-lhe entrar na rede e iniciar sessão em vários sistemas. Uma vez lá dentro, o grupo Yanluowang afirma ter-se servido de cerca de 2,8 GB de dados corporativos da Cisco.
Aqui reside o risco crítico de movimentos laterais facilitados pelo acesso VPN sem restrições. Os atacantes destacaram ainda outra fraqueza fundamental no método VPN tradicional de acesso remoto "castelo e casco".
Imagine a rede de uma organização como um castelo e o perímetro da rede como um fosso. Quando a ponte levadiça é baixada e alguém a atravessa, tem rédea solta dentro do castelo. Da mesma forma, se um atacante tiver acesso à rede - ou seja, se atravessar o "fosso" - também pode aceder a quaisquer dados e sistemas no seu interior.
Figura 1. Arquitetura de segurança típica do tipo "castelo e fosso
Como é evidente neste ataque, os atacantes podem violar a rede roubando credenciais de utilizador, explorando um corretor de acesso conhecido, utilizando kits de ferramentas de escalonamento de privilégios ou realizando um ataque de engenharia social, entre outros métodos. As protecções de perímetro tradicionais, como Firewalls e outros produtos, podem impedir alguns destes ataques, mas se um deles passar, o custo é sem dúvida elevado.
Infelizmente, com as forças de trabalho híbridas a esbaterem as linhas entre as aplicações pessoais na nuvem e as aplicações empresariais, as organizações - mesmo as grandes empresas como a Cisco - enfrentam desafios únicos e riscos acrescidos no que diz respeito ao acesso remoto e à volatilidade a que a utilização indevida pode conduzir. Tradicionalmente, o seu trabalhador híbrido típico garantiria com convicção a importância do seu acesso remoto VPN. Mas também pode apostar que os agentes de ameaças estão bem cientes do valor do acesso remoto - como demonstrado nesta violação da infraestrutura da Cisco.
Uma arquitetura Zero Trust aplica uma metodologia segura para como e quando os utilizadores podem aceder a sistemas e dados. Ao contrário do modelo "castelo e fosso", a segurança de confiança zero assume que os riscos de segurança já estão presentes tanto dentro como fora da rede. Como tal, nada dentro da rede é implicitamente fiável por defeito - daí o rótulo de "confiança zero".
A Confiança Zero exige uma avaliação e verificação rigorosas de cada utilizador e dispositivo na rede antes de lhes conceder acesso a dados e aplicações. Mesmo assim, dá aos administradores um controlo poderoso sobre o que está disponível, acessível e como o utilizador pode interagir com os recursos.
Figura 2. A metodologia Zero Trust impede ataques semelhantes através da segmentação de aplicações e recursos
Como se viu neste ataque à Cisco, quando os atacantes utilizam o movimento lateral de forma eficaz, pode ser muito difícil de detetar pelas equipas de segurança. Por este exato motivo, a segmentação da rede é um processo de segurança essencial que as organizações devem implementar.
A agilidade, no entanto, introduziu algumas mudanças não intencionais na InfoSec e, para escalar, a segurança na nuvem não pode ser responsabilidade exclusiva de uma equipa. Em vez disso, a segurança na nuvem deve ser integrada no processo e depende da colaboração entre o desenvolvimento, os arquitectos e as operações. Estas equipas têm agora um papel mais significativo a desempenhar na segurança da nuvem e, em muitos casos, são as únicas que podem implementar mudanças para melhorar a segurança. A InfoSec actua agora como Sherpas, em vez de guardiões, para garantir que todas as equipas estão a marchar ao mesmo ritmo e em segurança.
Utilizando uma metodologia Zero Trust, as equipas de segurança podem essencialmente delimitar as suas aplicações e recursos, permitindo-lhes criar microperímetros de forma rápida e eficiente em torno de activos críticos.
O nosso serviço de segurança na nuvem foi criado especialmente para clientes que estão a mover e a desenvolver aplicações na nuvem. Chamamos-lhe Skyhigh Cloud-Native Application Protection Platform - ou apenas Skyhigh CNAPP, porque todos os serviços merecem um acrónimo.
À medida que os dados continuam a ser espalhados pelas nossas infra-estruturas de nuvem para permitir a produtividade, as organizações têm de garantir que não só permitem controlos de colaboração com conhecimento de conteúdos entre aplicações de nuvem, mas também implementam capacidades de Data Loss Prevention para evitar sacrificar a segurança devido a uma simples sessão VPN comprometida.
A triste inevitabilidade deste tipo de ataques é assustadora. Nós, humanos, continuamos a ser os elos mais fracos nos ataques em que as tácticas de engenharia social e os enganos astutos são utilizados pelos agentes das ameaças.
No entanto, como protectores das nossas redes e recursos de TI, ainda há muito que pode ser alcançado através da consideração e adoção de princípios de segurança modernos.
Leia o Skyhigh Security Intelligence Digest,
Phishing. Roubo de credenciais. Exfiltração. Extorsão. A saga continua.
Consulte toda a série Skyhigh Security Intelligence Digest aqui.
Voltar aos blogues