Violações do Microsoft Exchange, SolarWinds e Verkada: por que a higiene da segurança é mais importante do que nunca

Estamos a apenas alguns meses de 2021 e já tivemos três incidentes cibernéticos principais: o compromisso da SolarWinds Orion, os ataques contra vulnerabilidades de dia zero no Microsoft Exchange e o hack da Verkada (cujo impacto talvez ainda não consigamos compreender totalmente por um tempo). Esses eventos nos lembram da já desgastada crença de segurança de que uma violação é inevitável. Em última análise, o que importa é o quanto indivíduos e organizações podem limitar o impacto de uma violação e a importância da higiene básica de segurança durante um período de crise.

A higiene de segurança é um comportamento de segurança saudável amplificado por meio da implementação de processos de suporte e controles técnicos. Pensando no ciclo de vida de um ataque — do reconhecimento às atividades iniciais de comprometimento e pós-comprometimento — o investimento contínuo de uma organização-alvo em higiene de segurança torna mais difícil para um invasor atingir seus objetivos, mantendo-o longe dos dados-alvo e aumentando as chances de detecção.

Analisando os três principais incidentes mencionados no contexto da higiene de segurança, podemos identificar áreas que oferecem espaço para melhores cuidados.

Verkada breach

Os invasores conseguiram contornar os processos de gerenciamento de contas privilegiadas para obter acesso de “superusuário” às câmeras em vários sites de clientes. Além disso, os clientes que não segmentaram com eficácia as câmeras do resto da rede corporativa deixaram aberta a oportunidade para os invasores se moverem lateralmente e comprometerem outros ativos.

Onde uma boa higiene poderia ter ajudado: aprimorou o gerenciamento geral de contas que implementou o controle de acesso baseado em funções (RBAC) com o mínimo de privilégios em todos os setores e aproveitou o MFA em contas altamente privilegiadas, bem como controle e detecção de movimentos laterais.
 

Vulnerabilidades de dia zero do Exchange

A existência de várias vulnerabilidades não corrigidas permitiu tanto a exfiltração não autenticada do conteúdo da caixa de correio quanto o upload de webshells para facilitar a persistência e o movimento lateral.

Onde uma boa higiene poderia ter ajudado: bloquear tráfego desnecessário de/para servidores Exchange, monitorar eventos de criação de contas e gerenciamento de grupos, monitorar as tentativas de conexão de saída de/para destinos desconhecidos e coleta centralizada de eventos do Windows e registros do servidor IIS.
 

Compromisso SolarWinds Orion

O comprometimento do processo de empacotamento de um fornecedor permitiu a entrega de uma atualização de software contendo um backdoor de Trojan que concedia aos atacantes acesso direto aos clientes que executavam o Orion; os atacantes então aproveitaram o acesso privilegiado (concedido pela Plataforma Orion) para penetrar ainda mais na rede alvo.

Onde uma boa higiene poderia ter ajudado: bloquear o tráfego desnecessário dos servidores SolarWinds Orion NPM para a Internet e monitorar contas com menos privilégios.

Melhore a higiene cibernética com a microssegmentação

Essa lista nos mostra que a higiene básica de segurança pode ser benéfica mesmo quando os estados-nação são os supostos atacantes. Essas práticas simples servem para expor os antagonistas, aumentando a chance de o alarme soar e o incidente ser contido.

Normalmente, algumas implementações de tecnologia para alcançar a higiene cibernética podem ser mais complexas e levar mais tempo do que outras. Por exemplo, a implementação completa da tecnologia de gerenciamento de acesso privilegiado em grande escala em uma rede global pode levar muito mais tempo do que a implantação da microssegmentação baseada em host, que não exige nenhuma mudança de rede ou rearquitetura nos hosts e nas cargas de trabalho.

Nesse caso, o controle de microssegmentação, sendo mais rápido de implantar e também altamente eficaz, é um controle essencial de prevenção de movimentos laterais e um controle de compensação enquanto a implantação do gerenciamento de privilégios está em andamento.

A solução de microssegmentação da Illumio ajuda a melhorar a higiene cibernética fornecendo:

• Visibilidade significativamente aprimorada dos fluxos de tráfego do data center e de outros dados para ajudar na detecção de movimentos laterais não autorizados.
• Políticas de microssegmentação para limitar a exposição dentro e fora de seus ativos mais críticos. No caso do Exchange, isso inclui seguir as melhores práticas da Microsoft de bloquear o acesso somente às portas necessárias. Consulte o blog de segurança da Microsoft para obter mais informações.

O ponto principal é que as organizações geralmente não estão cientes das vulnerabilidades que causam violações. Concentrar-se no que você pode controlar, como uma boa higiene de segurança, resultará em uma postura de segurança organizacional mais forte. Os recentes ataques cibernéticos que marcaram as manchetes destacam ainda mais a necessidade de adotar os princípios do Zero Trust para limitar o movimento lateral e obter um melhor controle de violações.

Para saber mais sobre como a microssegmentação ajuda a melhorar o monitoramento e a proteção do Exchange e de outras infraestruturas críticas, confira:

• Protegendo ambientes Microsoft
• Illumio Core demo