Sua superfície externa de ataque está protegida?

Cerca de três quartos das empresas na lista Fortune 500 mantêm as infraestruturas de TI fora de suas organizações. O problema é que um quarto desse ambiente foi identificado como sofrendo com vulnerabilidades já conhecidas.

Os números foram revelados por um estudo da Cyberpion, empresa de cibersegurança especializada em gerenciamento de superfícies externas de ataque (External Attack Surface Management – EASM),  que coletou dados de uma varredura de passagem única sobre superfícies dos ativos públicos na Internet de cada empresa na lista Fortune 500 durante o primeiro semestre de 2021.

Um exemplo das vulnerabilidades detectadas foi a configuração de recursos de armazenamento na nuvem que permite a qualquer pessoa ler ou gravar dados. O relatório também destacou que, em média, a infraestrutura de TI das empresas Fortune 500 mantém 126 páginas de login diferentes para portais ou serviços de clientes ou funcionários; o número mais alto foi 3.000. Além disso, quase 10% das páginas de login foram considerados inseguros, pois transmitem dados não criptografados ou apresentam problemas com certificados SSL. Como resultado dessas vulnerabilidades, hackers podem explorar esses sistemas de login para acessar dados desses grupos.

Outro diagnóstico do estudo foi de que as empresas da lista Fortune 500 se conectam, em média, a 951 ativos na nuvem, dos quais quase 5% estão vulneráveis. Por exemplo, recursos de armazenamento dos AWS configurados incorretamente podem dar acesso indevido a dados. De acordo com a Cyberpion, a maior exposição a riscos envolveu mais de 30.000 ativos na nuvem.

“Muitas vezes, as equipes de cibersegurança não conseguem se defender contra ataques de modo eficaz porque não têm visibilidade completa sobre os ativos aos quais estão conectadas”, explica Nethanel Gelertner, CEO da Cyberpion. “As empresas não estão cientes da exposição a essas vulnerabilidades externas e, portanto, não podem identificar nem mitigar os riscos. Além disso, ativos interconectados estão em contínuo crescimento devidos às arquiteturas de nuvem e iniciativas de transformação digital. Tudo isso significa que avaliar e proteger as superfícies de ataque se tornou ainda mais desafiador.”

O que é EASM

EASM é um nova categoria de cibersegurança identificada pelo Gartner que reúne tecnologias que ajudam a identificar riscos provenientes de ativos e sistemas conectados à Internet dos quais as organizações podem não estar cientes. Segundo o instituto de pesquisa, trata-se de um conceito que está crescendo rapidamente em termos de conscientização na comunidade de fornecedores na área de segurança cibernética, mas em um ritmo mais lento entre as organizações usuárias de soluções de TI.

Hoje, grande parte da infraestrutura de TI, serviços e aplicações usada por empresas e indivíduos tem algum tipo de conexão com a Internet e é construída usando blocos de tecnologia de terceiros que, por sua vez, também se conectam e usam soluções de outras fontes.

E o perigo está no fato de que essas fontes, em boa medida,  não estão sob controle direto das organizações. E pior ainda, uma brecha de segurança em qualquer elo desse ecossistema interligado pode levar ao comprometimento de uma cadeia inteira. O Gartner chama esse ecossistema altamente exposto de “superfície externa de ataque”.

A nova categoria EASM se refere justamente a processos, tecnologias e serviços capazes de identificar esses ativos de TI externos que possam apresentar vulnerabilidades, complementando outras ferramentas já usadas, como as de simulação de ataques e gestão de postura de segurança na nuvem.

Na visão do Gartner, as soluções EASM devem oferecer cinco recursos principais:

• Monitoramento – Para verificar continuamente diversos ambientes externos, como serviços na nuvem e infraestruturas, de alguma forma, conectados com o mundo exterior) e ecossistemas distribuídos, como sistemas IoT;
• Identificação de ativos – Para descobrir e mapear ativos e sistemas externos desconhecidos para a organização;
• Análise – Para avaliar os atributos dos ativos e determinar se apresentam riscos, vulnerabilidades ou comportamentos anômalos;
• Priorização – Para priorizar riscos e vulnerabilidades e emitir alertas com base nas análises de priorização;
• Remediação – Para fornecer planos de mitigação de ameaças e fluxos de trabalho de remediação ou integração com outras soluções, como sistemas de tíquetes e ferramentas de resposta a incidentes.

Segundo o Gartner, o mercado EASM ainda é emergente e conta um número relativamente pequeno de fornecedores, assim como os casos de uso.