Proteger a sua superfície de ataques externos

Cinco elementos que as organizações devem monitorizar

O mundo da cibersegurança continua a tornar-se mais complexo à medida que as organizações migram para a cloud e mudam para trabalho descentralizado. Hoje em dia, a superfície de ataques externos abrange várias clouds, cadeias de fornecimento digital complexas e ecossistemas de terceiros enormes. Consequentemente, a mera escala dos problemas de segurança global agora comuns mudou radicalmente a nossa perceção de segurança abrangente.

A Internet faz parte de rede agora. Apesar do seu tamanho quase incomensurável, as equipas de segurança têm de defender a presença das suas organizações na Internet até ao mesmo ponto que tudo por trás das suas firewalls. À medida que mais organizações adotam os princípios de Confiança Zero, proteger ambas as superfícies interna e externa torna-se um desafio à escala da Internet. Como tal, é cada vez mais crítico para as organizações compreender o âmbito total da sua superfície de ataque.

A Microsoft adquiriu a Risk IQ em 2021 para ajudar as organizações a avaliar a segurança das suas empresas digitais inteiras. Com a ajuda do Grafo de Internet da Internet da RiskIQ, as organizações podem detetar e investigar ameaças nos componentes, ligações, serviços, dispositivos ligados por IP e infraestrutura que constituem a sua superfície de ataque para criar uma defesa resiliente e dimensionável.

Para as equipas de segurança, a pura profundidade e amplitude do que precisam de defender pode parecer assustador. No entanto, uma forma de pôr em perspetiva o âmbito da superfície de ataque das suas organizações é pensar sobre a Internet do ponto de vista de um atacante. Este artigo realça cinco áreas que ajudam a enquadrar os desafios de uma gestão de superfície de ataques externos eficaz.

A superfície de ataque global cresce com a Internet

E cresce todos os dias. Em 2020, a quantidade de dados na Internet atingiu 40 zettabytes, ou 40 biliões de gigabytes.¹ A RiskIQ descobriu que, a cada minuto, 117 298 anfitriões e 613 domínios² são acrescentados aos muitos fios interligados que constituem o pano intrincado da superfície de ataque global. Cada um destes contém um conjunto de elementos, como os seus sistemas operativos, frameworks, aplicações de terceiros, plug-ins e código de controlo subjacentes. Com cada um destes sites em rápida proliferação a conter estes detalhes, o âmbito da superfície de ataque global aumenta exponencialmente.

anfitriões criados a cada minuto.
domínio criados a cada minuto.
375 novas ameaças a cada minuto.²

Tanto organizações legítimas como atores de ameaças contribuem para este crescimento, o que significa que as ciberameaças aumentam em escala com o resto da Internet. Ameaças persistentes avançadas sofisticadas (APT) e pequenos cibercriminosos ameaçam ambos a segurança das empresas, visando os seus dados, marca, propriedade intelectual, sistemas e pessoas.

No primeiro trimestre de 2021, a CISCO detetou 611 877 sites de phishing +únicos,³ com 32 eventos de infração de domínios e 375 novas ameaças totais a surgir por minuto.² Estas ameaças visam os colaboradores e clientes das organizações com recursos independentes, procurando engana-los para que cliquem em ligações maliciosas e obter dados confidenciais através de phishing, o que pode corroer a confiança da marca e a confiança dos consumidores.

O aumento de vulnerabilidades de uma equipa de trabalhadores à distância

O crescimento rápido de recursos expostos à Internet alargou dramaticamente o espectro de ameaças e vulnerabilidades a afetar a organização típica. Com o advento da COVID-19, o crescimento digital acelerou uma vez mais, com quase todas as organizações a expandir a sua pegada digital para acomodar um modelo de negócio e de equipa de trabalhadores à distância e altamente flexível. O resultado: os atacantes agora têm muitos mais pontos de acesso para sondar e explorar.

A utilização de tecnologias de acesso remoto, como RDP (Protocolo de Ambiente de Trabalho Remoto) e VPN (Rede Privada Virtual) disparou 41 por cento e 33 por cento⁴ respetivamente, com a maior parte do mundo a adotar uma política de trabalho à distância. O tamanho do mercado de software de ambiente de trabalho remoto global, 1,53 mil milhões USD em 2019, atingirá 4,69 mil milhões até 2027.⁵

Muitas novas vulnerabilidades em software e dispositivos de acesso remoto deram aos atacantes bases de operações que nunca tiveram antes. A RiskIQ desvendou muitas instâncias vulneráveis dos dispositivos de perímetro e acesso remoto mais populares, e o ritmo impetuoso das vulnerabilidades não abrandou. No geral, 18 378 vulnerabilidades foram comunicadas em 2021.⁶

crescimento na utilização de RTP.
crescimento na utilização de VPN.
vulnerabilidades comunicadas em 2021.

Com o aumento dos ataques de escala global orquestrados por v+arios grupos de ameaças e ajustados a empresas digitais, as equipas de segurança precisam de mitigar vulnerabilidades para si mesmas, terceiros, parceiros, aplicações controladas e não controladas e serviços em relações na cadeia de abastecimento digital.

Cadeias de abastecimento digitais, fusões e aquisições e TI sombra criam uma superfície de ataque oculta

A maioria dos ciberataques originam a quilómetros de distância da rede. Aplicações Web foram a categoria de vetor mais comummente explorada em falhas de segurança relacionadas com hacking. Infelizmente, a maioria das organizações não tem uma visão completa dos seus recursos de Internet e como os mesmos se ligam à superfície de ataque global. Três contribuidores significativos para esta falta de visibilidade são TI sombra, fusões e aquisições e cadeias de abastecimento digitais.

serviços expirados por minuto.²
dos negócios contêm diligência devida de cibersegurança.⁷
das organizações tiveram pelo menos uma falha de segurança de dados causada por um terceiro.⁸

TI sombra

Quando as TI não conseguem acompanhar os requisitos empresariais, as empresas procuram alternativas para desenvolver e implementar novos recursos Web. A equipa de segurança frequentemente não tem conhecimento destas atividades de TI sombra e, como resultado, não conseguem incluir os recursos criados no âmbito do seu programa de segurança. Recursos não geridos ou órfãos podem tornar-se um problema na superfície de ataque de uma organização ao longo do tempo.

Esta proliferação rápida de recursos digitais fora da firewall é agora a norma. Novos clientes de RiskIQ normalmente descobrem aproximadamente 30 por cento mais recursos do que achavam que tinham, e a RiskIQ deteta 15 serviços expirados (suscetíveis a tomada de controlo de subdomínios) e 143 portas abertas a cada minuto.²

Fusões e aquisições

Operações diárias e iniciativas empresariais críticas como fusões e aquisições, parcerias estratégicas e subcontratação criam e expandem as superfícies de ataques externos. Hoje em dia, menos de 10 por cento dos negócios globalmente contêm a diligência devida de cibersegurança.

Há vários motivos comuns pelos quais as organizações não estão a ter uma visão completa dos potenciais riscos cibernéticos durante o processo de diligência devida. O primeiro é a mera escala da presença digital da empresa que estão a adquirir. Não é raro uma grande organização ter milhares, ou até dezenas de milhares, de sites ativos e outros recursos expostos. Embora as equipas de segurança e TI da empresa a ser adquirida terão um registo de sites, é quase sempre apenas uma vista parcial do que existe. Quanto mais descentralizadas forem as atividades de TI de uma organização, mais significativa é a lacuna.

Cadeias de abastecimento

A empresa está cada vez mais dependente das alianças digitais que formam a cadeia de abastecimento moderna. Embora estas dependências sejam essenciais para operar no século 21, também criam uma rede desordenada, em camadas e altamente complicada de relações com terceiros, muitas das quais fora da alçada das equipas de segurança e de risco para proteger e defender proativamente. Como resultado, identificar rapidamente recursos digitais vulneráveis que assinalam risco é um desafio enorme.

Uma falta de compreensão e visibilidade sobre estas dependências tornaram ataques de terceiros um dos vetores mais frequentes e eficazes para atores de ameaças. Uma quantidade significativa de ataques vem agora da cadeia de abastecimento digital. Hoje, 70 por cento dos profissionais de TI indicaram um nível de dependência de entidades externas, que pode incluir terceiros quartos ou quintos, entre moderado e alto.⁹ Ao mesmo tempo, 53 por cento das organizações tiveram pelo menos uma falha de segurança de dados causada por um terceiro.¹⁰

Embora ataques de cadeia de abastecimento de larga escala se tenham tornado mais comuns, as organizações lidam com ataques mais pequenos diariamente. Malware de fraude de cartão de crédito digital como o Magecart afeta plug-ins de comércio eletrónico de terceiros. Em fevereiro de 2022, a RiskIQ detetou mais de 300 domínios afetados pelo malware de fraude de cartão de crédito digital Magecart.¹¹

Todos os anos, as empresas investem mais no mundo móvel, à medida que o estilo de vida do consumidor típico se torna mais centrado em dispositivos móveis. Os americanos passam agora mais tempo no telemóvel do que a ver televisão em direto, e o distanciamento social levou-os a migrar mais das suas necessidades físicas para dispositivos móveis, como compras e educação. A App Annie mostra que os gastos móveis cresceram para uns espantosos 170 mil milhões USD em 2021, um crescimento anual de 19 por cento.¹²

Esta procura em dispositivos móveis cria uma proliferação enorme de aplicações móveis. Os utilizadores transferiram 218 mil milhões de aplicações em 2020. Entretanto, a RiskIQ notou um crescimento geral de 33 por cento em aplicações móveis disponíveis em 2020, com 23 a aparecer a cada minuto.²

crescimento em aplicações móveis.
aplicações móveis aparecem a cada minuto.
aplicação bloqueada a cada cinco minutos.²

Para as organizações, estas aplicações impulsionam resultados comerciais. No entanto, podem ser uma faca de dois gumes. O panorama de aplicações é uma porção significativa da superfície de ataque geral de uma empresa que existe além da firewall, onde as equipas de segurança, muitas vezes, sofrem de uma falta de visibilidade crítica. Os atores de ameaças ganham a vida a aproveitar-se desta miopia para produzir “aplicações fraudulentas”, que imitam marcas bem conhecidas ou dão a entender que são algo que não são, feitas especialmente para enganar os consumidores e levá-los a transferi-las. Assim que um utilizador que não desconfie de nada transfere estas aplicações maliciosas, os atores de ameaças podem fazer o que quiserem, obter informações confidenciais através de phishing ou carregar malware para os dispositivos. A RiskIQ adiciona uma aplicação móvel maliciosa à lista de bloqueio a cada cinco minutos.

Estas aplicações fraudulentas aparecem em lojas oficiais em raras ocasiões, transgredindo até as defesas robustas das principais lojas de aplicações. No entanto, centenas de lojas de aplicações de menor reputação representam um submundo móvel suspeito fora da segurança relativa das lojas reputadas. As aplicações nestas lojas são muito menos reguladas do que nas lojas de aplicações oficiais, e algumas têm mais aplicações maliciosas que ofertas seguras.

A superfície de ataque global também faz parte da superfície de ataque de uma organização

A superfície de ataque da Internet global de hoje em dia transformou-se dramaticamente num ecossistema dinâmico, abrangente e completamente entrelaçado do qual todos fazemos parte. Se tiver uma presença na Internet, interliga-se a todos, incluindo àqueles que lhe querem causar dano. Por este motivo, monitorizar a infraestrutura de ameaças é tão importante como monitorizar a sua própria infraestrutura.

novas peças de malware são detetadas todos os dias.²
de aumento em variantes de malware.¹³
servidor do Cobalt Strike a cada 49 minutos.²

Grupos de ameaças diferentes reciclam e partilham infraestrutura (IP, domínios e certificados) e utilizam ferramentas de bens open-source, como malware, kits de phish e componentes C2 para evitar atribuição fácil, ajustar e melhorá-las para se adaptarem às suas necessidades únicas.

Mais de 560 000 novas peças de malware são detetadas todos os dias, e o número de kits de phishing publicitados em mercados de cibercrime clandestinos dobrou entre 2018 e 2019. Em 2020, o número de variantes de malware detetadas aumentou 74 por cento.¹⁴ A RiskIQ agora deteta um servidor do Cobalt Strike C2 a cada 49 minutos.

Tradicionalmente, a estratégia de segurança da maioria das organizações tem sido uma abordagem de defesa em profundidade, a começar pelo perímetro e adicionando camadas até aos recursos que devem ser protegidos. No entanto, há falhas de ligação entre esse tipo de estratégia e as superfícies de ataque, conforme apresentado neste relatório. No mundo de interação digital de hoje em dia, os utilizadores estão fora do perímetro, tal como um número cada vez maior de recursos digitais empresariais expostos e muitos dos atores maliciosos. Aplicar princípios de Confiança Zero nos recursos empresariais pode ajudar a proteger a equipa de trabalhadores de hoje em dia, protegendo pessoas, dispositivos, aplicações e dados, independentemente da sua localização ou da escala das ameaças enfrentadas. O Microsoft Security oferece uma série de ferramentas de avaliação direcionadas para ajudar a avaliar a fase de maturidade da Confiança Zero da sua organização.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Superfície de ataque Ciber-resiliência Vulnerabilidades

Anatomia de uma superfície de ataques externos

Cinco elementos que as organizações devem monitorizar

A superfície de ataque global cresce com a Internet

A superfície de ataque global cresce a cada minuto

O aumento de vulnerabilidades de uma equipa de trabalhadores à distância

Um novo panorama de vulnerabilidades

Cadeias de abastecimento digitais, fusões e aquisições e TI sombra criam uma superfície de ataque oculta

Dependências em risco

TI sombra

Fusões e aquisições

Cadeias de abastecimento

As lojas de aplicações são uma superfície de ataque em crescimento

A superfície de ataque global também faz parte da superfície de ataque de uma organização

A superfície de ataque global faz parte da superfície de ataque de uma organização

Artigos relacionados

Minuto de Ciberameaça

Durante um ciberataque, todos os segundos contam. Para ilustrar a escala e o âmbito do cibercrime mundial, condensámos um ano de investigação de cibersegurança numa janela de 60 segundos.

Ransomware como serviço

O modelo de negócio mais recente do cibercrime, ataques operados por seres humanos, encoraja criminosos de vários níveis de competência.

O crescimento da IoT e o risco para a OT

A circulação crescente da IoT está a pôr a OT em risco, com uma matriz de potenciais vulnerabilidades e exposição a atores de ameaças. Descubra como manter a sua organização protegida.