10 vetores de ciberataque mais comuns e medidas de defesa

Variadas são as táticas usadas por agentes mal-intencionados buscando promover ataques cibernéticos. Costumam explorar configurações incorretas, controles fracos e outras más práticas de cibersegurança que facilitem o acesso não autorizado aos sistemas das vítimas.

Um documento de coautoria de autoridades de segurança cibernética dos Estados Unidos, Canadá, Nova Zelândia, Holanda e Reino Unido, divulgado pela Agência de Segurança Cibernética e Infraestrutura (CISA) norte-americana, reuniu tanto as principais táticas usadas para violar redes quanto os métodos que podem ser adotados mitigar os riscos de ataques.

As táticas de exploração mais comuns costumam buscar:

• Sistemas em que autenticação multifator (MFA) não é aplicada, especialmente para acesso remoto à área de trabalho. Como o Remote Desktop Protocol (RDP) é um dos vetores mais comuns usados em ataques ransomware, a MFA é essencial para mitigar esse tipo de ameaça cibernética.

• Privilégios ou permissões aplicados incorretamente e erros nas listas de controle de acesso. Essa falha pode permitir que usuários ou processos não autorizados tenham acesso indevido a ativos de TI.

• Software não atualizado adequadamente. Quando não se aplicam patches a sistemas vulneráveis, invasores podem explorar as vulnerabilidades para ter acesso a informações confidenciais, iniciar um ataque de negação de serviços (DoS) ou tomar controle de sistemas. Essa é uma das más práticas de cibersegurança mais comumente encontradas.

• Ambientes com configurações de fábrica ou nomes de usuário e senhas de login padronizadas. Muitos produtos de software, hardware e rede vêm com configurações de fábrica excessivamente permissivas para facilitar a instalação e reduzir os chamados de suporte. Deixá-las inalteradas é abrir caminho para invasões.

• Serviços remotos sem controles suficientes para impedir acesso não autorizado, como redes privadas virtuais (VPN).

• Políticas de senhas fracas, que podem ser facilmente quebradas por uma infinidade de métodos que exploram senhas vazadas ou comprometidas para ter acesso não autorizado aos sistemas da vítima. Agentes mal-intencionados usaram essas técnicas em várias iniciativas, com destaque para ataques direcionados ao RDP.

• Serviços de nuvem desprotegidos e mal configurados são alvos comuns de ciberataques que buscam roubar dados confidenciais e até mesmo fazer mineração de criptomoedas.

• Portas abertas e serviços mal configurados representam uma das descobertas mais comuns de vulnerabilidade. Hackers usam ferramentas de varredura para detectar portas abertas e geralmente as usam como vetor de ataque inicial para ter acesso inicial e depois usar outras táticas e procedimentos para comprometer ativos de TI expostos e vulneráveis. RDP, Server Message Block (SMB), Telnet e NetBIOS são os serviços de mais alto risco.

• Ambientes em proteção contra phishing podem ser alvo de agentes mal-intencionados que enviam e-mails com links ou anexos para promover infecções de sistemas.

• Má detecção e resposta insatisfatória para endpoints facilitam a ação de scripts e ataques de PowerShell para ignorar controles de segurança dos endpoints e iniciar ataques aos dispositivos de destino.

Além de listar esses vetores de ataque, o documento da CISA também recomenda práticas que podem ajudar a fortalecer as defesas contra os controles fracos de segurança mais explorados:

• Adoção de um modelo Confiança Zero que elimina a confiança implícita em qualquer usuário ou ativo de TI e exige verificação contínua por meio de informações em tempo real provenientes de várias fontes para determinar os privilégios de acesso adequados.

• Limitação do login remoto da conta de administrador e impedir o acesso por meio de sessões RDP. Além disso, usar estações de trabalho administrativas dedicadas para sessões de usuários com privilégios para ajudar a limitar a exposição a ameaças.

• Controle de acesso a dados e serviços. É recomendável dar aos usuários os direitos de acesso a dados e sistemas de que realmente necessitam para suas respectivas funções. Esse controle de acesso baseado em funções, também conhecido como princípio do privilégio mínimo, deve ser aplicado tanto a contas como ao acesso físico.

• Reforço das políticas de acesso condicional para gerenciar como os usuários se conectam às redes e aos serviços na nuvem.

• Verificação das máquinas com portas RDP, incluindo as virtuais na nuvem. Deve-se colocar qualquer sistema com uma porta RDP aberta atrás de um firewall e exigir que os usuários usem VPN para acessá-lo.

• Implementação da MFA, em particular, em todas as conexões VPN, serviços externos e contas privilegiadas. Use MFA resistente a phishing (como chaves de segurança ou cartões PIV) para serviços críticos. Em casos em que não se pode implementar MFA, deve-se aplicar uma política de senha forte com outras informações baseadas em atributos, como dados do dispositivo, tempo de acesso, histórico do usuário e dados de geolocalização.

• Alteração de identidade de usuário e senhas vindas de fábrica.

• Monitoramento para detectar o uso de credenciais comprometidas. Implemente controles para evitar o uso de senhas comprometidas ou fracas.

• Informações de registro suficientes. Arquivos de log têm um papel fundamental na detecção de ataques e no tratamento de incidentes. Manter um conjunto robusto de registros garantirá informações suficientes para investigar incidentes e detectar o comportamento de agentes invasores.

• Utilização de soluções de antimalware e monitoramento contínuo dos resultados da verificação de antivírus. Implementação de ferramentas de segurança para endpoints. Emprego de sistemas de detecção e prevenção de intrusão para proteger redes e dispositivos.

• Realização de testes para identificar configurações incorretas.

• Verificação de vulnerabilidades e implementação de processos de gestão de patches.

• Uso de ferramentas de provedores de serviços na nuvem para detectar armazenamento compartilhado e monitorar acessos anormais.

• Garantir configurações seguras para serviços em hosts acessíveis pela Internet.