Violações do Microsoft Exchange, SolarWinds e Verkada: por que a higiene da segurança é mais importante do que nunca

Diretor sênior de marketing de soluções industriais

March 19, 2021

23 leitura mínima

Estamos a apenas alguns meses de 2021 e já tivemos três incidentes cibernéticos principais: o compromisso SolarWinds Orion, os ataques direcionados vulnerabilidades de dia zero no Microsoft Exchange e no hack do Verkada (cujo impacto talvez ainda não consigamos compreender totalmente por um tempo). Esses eventos nos lembram da já desgastada crença de segurança de que uma violação é inevitável. Em última análise, o que importa é o quanto indivíduos e organizações podem limitar o impacto de uma violação e a importância da higiene básica de segurança. durante um período de crise.

A higiene de segurança são comportamentos de segurança saudáveis amplificados por meio da implementação de processos de suporte e controles técnicos. Pensando no ciclo de vida de um ataque — do reconhecimento às atividades iniciais de comprometimento e pós-comprometimento — o investimento contínuo de uma organização-alvo em higiene de segurança torna mais difícil para um invasor atingir seus objetivos, mantendo-o longe dos dados-alvo e aumentando as chances de detecção.

Analisando os três principais incidentes mencionados no contexto da higiene de segurança, podemos identificar áreas que oferecem espaço para melhores cuidados.

Violação em Verkada

Os invasores conseguiram contornar os processos de gerenciamento de contas privilegiadas para obter acesso de “superusuário” às câmeras em vários sites de clientes. Além disso, os clientes que não segmentaram com eficácia as câmeras do resto da rede corporativa deixaram aberta a oportunidade para os invasores se moverem lateralmente e comprometerem outros ativos.

Onde uma boa higiene poderia ter ajudado: gerenciamento geral de contas aprimorado que implementou controle de acesso baseado em funções (RBAC) com menos privilégios gerais e MFA alavancado em contas altamente privilegiadas, bem como controle e detecção de movimentos laterais.

Vulnerabilidades de dia zero do Exchange

A existência de várias vulnerabilidades não corrigidas permitiu tanto a exfiltração não autenticada do conteúdo da caixa de correio quanto o upload de webshells para facilitar a persistência e o movimento lateral.

Onde uma boa higiene poderia ter ajudado: bloqueando tráfego desnecessário de/para servidores Exchange, monitorando eventos de criação de contas e gerenciamento de grupos, monitorando as tentativas de conexão de saída de/para destinos desconhecidos e coleta centralizada de eventos do Windows e registros do servidor IIS.

Compromisso SolarWinds Orion

O comprometimento do processo de empacotamento de um fornecedor permitiu a entrega de uma atualização de software contendo um backdoor de Trojan que concedia aos atacantes acesso direto aos clientes que executavam o Orion; os atacantes então aproveitaram o acesso privilegiado (concedido pela Plataforma Orion) para penetrar ainda mais na rede alvo.

Onde uma boa higiene poderia ter ajudado: bloqueando tráfego desnecessário dos servidores SolarWinds Orion NPM para a Internet e monitorando contas com menos privilégios.

Melhore a higiene cibernética com a microssegmentação

Essa lista nos mostra que a higiene básica de segurança pode ser benéfica mesmo quando os estados-nação são os supostos atacantes. Essas práticas simples servem para expor os antagonistas, aumentando a chance de o alarme soar e o incidente ser contido.

Normalmente, algumas implementações de tecnologia para alcançar a higiene cibernética podem ser mais complexas e levar mais tempo do que outras. Por exemplo, a implementação completa da tecnologia de gerenciamento de acesso privilegiado em escala em uma rede global pode levar muito mais tempo do que a implantação microssegmentação baseada em host, que não exige nenhuma mudança de rede ou rearquitetura nos hosts e nas cargas de trabalho.

Nesse caso, o microsegmentação o controle, sendo mais rápido de implantar e também altamente eficaz, é essencial movimento lateral controle de prevenção e controle compensatório enquanto a implantação do gerenciamento de privilégios está em andamento.

Microsegmentação da Illumio A solução ajuda a melhorar a higiene cibernética fornecendo:

Significativamente visibilidade aprimorada nos fluxos de tráfego do data center e outros dados para ajudar na detecção de movimentos laterais não autorizados.
Políticas de microsegmentação para limitar a exposição para dentro e para fora de seus ativos mais críticos. No caso do Exchange, isso inclui seguir as melhores práticas da Microsoft de bloquear o acesso somente às portas necessárias. Veja o Blog de segurança da Microsoft para obter mais informações.

O ponto principal é que as organizações geralmente não estão cientes das vulnerabilidades que causam violações. Concentrar-se no que você pode controlar, como uma boa segurança e higiene, resultará em uma organização mais forte postura de segurança. Os recentes ataques cibernéticos que marcaram as manchetes destacam ainda mais a necessidade de adotar Princípios de confiança zero para limitar o movimento lateral e obter um melhor controle de violação.

Para saber mais sobre como a microssegmentação ajuda melhore o monitoramento e a proteção do Exchange e de outras infraestruturas críticas, confira:

Tópicos relacionados

Nenhum item encontrado.

A segurança do contêiner está quebrada (e o Zero Trust pode ajudar a corrigi-la)

Descubra por que os métodos tradicionais de segurança são insuficientes em ambientes de contêineres e como uma estratégia Zero Trust pode melhorar a visibilidade e impedir os invasores antes que eles se espalhem.

Entendendo os mandatos de conformidade da UE

Um mandato de conformidade fornece um nível básico de segurança ou uma melhoria geral na postura e a capacidade de avaliá-la de forma confiável.