No cenário em constante evolução da segurança cibernética, os invasores estão sempre em busca de vulnerabilidades e explorações nos ambientes organizacionais. Eles não visam apenas pontos fracos; eles estão em busca de combinações de exposições e métodos de ataque que possam levá-los ao objetivo desejado.
Apesar da presença de inúmeras ferramentas de segurança, as organizações muitas vezes têm de lidar com dois grandes desafios; Primeiro, essas ferramentas frequentemente não têm a capacidade de priorizar ameaças de forma eficaz, deixando os profissionais de segurança no escuro sobre quais questões precisam de atenção imediata. Em segundo lugar, estas ferramentas muitas vezes não conseguem fornecer contexto sobre como os problemas individuais se unem e como podem ser aproveitados pelos atacantes para aceder a ativos críticos. Esta falta de conhecimento pode levar as organizações a tentar consertar tudo ou, o que é mais perigoso, a não resolver absolutamente nada.
Neste artigo é contado 3 cenários reais de ataques que, especialistas internos da XM Cyber, encontraram ao utilizar a plataforma de Gerenciamento de Exposição (Exposure Management Plataform) da própria empresa, em clientes de formato híbrido ao longo de 2023. Esses cenários oferecem valiosos insights sobre a dinâmica e a constante mudança das ameaças cibernéticas.
Desde ataques complexos que exigem múltiplas etapas à ataques simples com poucas etapas, uma pesquisa feita pela XM Cyber revela uma realidade surpreendente: 75% dos ativos de uma organização podem ser comprometidos em seu estado de segurança atual, e destes ativos, 94% podem ser comprometidos em quatro passos ou menos, a partir do ponto de violação inicial. Estas porcentagens destacam a necessidade de ferramentas adequadas para antecipar e impedir estas ameaças de forma eficaz.
Sendo assim, vamos aos acontecimentos:
Caso 1
Cliente: Grande empresa financeira Cenário: Chamada de rotina com o cliente. Ataque: Exploraram transmissões de DHCPv6 para executar um ataque Man-in-the-Middle, comprometendo potencialmente cerca de 200 sistemas Linux. Impacto: Comprometeram vários servidores Linux com potencial para roubo de dados ou ataques de resgate (ransomware). Correção: desabilitar DHCPv6 e corrigir sistemas vulneráveis, além de educar os desenvolvedores sobre segurança de chave SSH.
Neste cenário, a empresa financeira enfrentou a ameaça de um ataque Man-in-the-Middle, um tipo de ataque que visa interceptar a comunicação online entre duas partes. Devido a transmissões inseguras de DHCPv6, em que o invasor poderia ter explorado esta vulnerabilidade para comprometer aproximadamente 200 sistemas Linux, e este comprometimento poderia ter resultado em violações de dados, ataques de resgate ou outras atividades maliciosas. Para a correção foi feito a desativação do DHCPv6, a correção dos sistemas vulneráveis e o aprimoramento da educação dos desenvolvedores sobre a segurança de chave SSH.
Caso 2
Cliente: Empresa de transporte público. Cenário: Reunião de integração. Ataque: caminho direto de uma rede DMZ para o comprometimento do domínio, podendo levar ao comprometimento do controlador de domínio. Impacto: Possibilidade de comprometimento do domínio inteiro. Correção: Restringindo permissões e remoção de usuários.
Neste cenário, uma empresa de transporte público descobriu um caminho direto de uma rede DMZ para o comprometimento do domínio, o que poderia ter levado a invasão da rede interna. A correção foi imediata, envolvendo a restrição de permissões e remoção de usuários.
Caso 3
Cliente: Um hospital com forte foco em segurança. Cenário: Chamada de rotina com o cliente. Ataque: configuração incorreta do Active Directory, permitindo que qualquer usuário autenticado possa redefinir senhas, criando uma ampla possibilidade de ataque. Impacto: Possibilidade de Account Takeover (ATO). Correção: reforço da segurança do Active Directory e um plano de correção abrangente.
Este cenário revelou a vulnerabilidade de um hospital devido a uma configuração incorreta do Active Directory. Ela permitiu que qualquer usuário autenticado conseguisse redefinir senhas, expandindo significativamente a possibilidade de ataque. Com a correção, foi exigido o fortalecimento da segurança do Active Directory e a implementação de um plano de correção abrangente.
Conclusão
O ponto em comum nestes cenários é que cada organização tinha medidas de segurança robustas em vigor, aderiu às melhores práticas e acreditou que compreendia seus riscos. No entanto, muitas vezes encaravam estes riscos de forma isolada, criando uma falsa sensação de segurança.
Felizmente, essas organizações conseguiram obter uma compreensão contextual de seus ambientes, utilizando as ferramentas certas. Eles aprenderam como vários problemas podem se cruzar e, assim, priorizaram as soluções necessárias para fortalecer sua postura de segurança e mitigar essas ameaças de forma eficaz.
Achou essa matéria interessante? Entre em contato com a gente da Netconn e saiba mais sobre a XM Cyber.