a infraestrutura de rede está no centro das operações de negócios na maioria dos setores. Pode ser considerado o centro nervoso de toda a organização de TI porque centraliza os dados, simplifica a troca de dados e facilita a comunicação entre os funcionários.
é, portanto, uma ferramenta essencial para o bom funcionamento das organizações, que requer atenção constante em termos de segurança, a fim de se proteger contra ataques externos e internos cada vez mais numerosos e sofisticados.
infraestrutura De Rede: O objetivo final dos ataques cibernéticos
o único problema é que os ataques cibernéticos na infraestrutura De Rede continuam a aumentar em frequência, escala e impacto. Servidores externos e internos, dispositivos e equipamentos de rede, estações de trabalho, são direcionados por atacantes novatos e experientes, porque todas essas entidades ainda têm muitas vulnerabilidades: grande superfície de ataque, falta de conscientização dos funcionários, falhas de segurança, design, configuração e implementação ruins, medidas de segurança fracas, etc.Nenhuma indústria é poupada de incidentes de segurança, mesmo que os atacantes tenham seus próprios alvos preferidos. Este é particularmente o caso nos setores de saúde, financeiro e varejo, independentemente do tamanho das organizações que operam nesses campos.
Para garantir a segurança da infra-estrutura de rede contra esses ataques, específicas são necessárias medidas de segurança: a redução da superfície de ataque, segmentação de rede, criptografia de comunicações, a conscientização do usuário de ataques de engenharia social, o princípio do menor privilégio (PoLP), monitoramento de logs, etc. Auditorias de segurança ou testes de penetração também são uma boa maneira de detectar falhas existentes em sua rede de computadores para corrigi-las.Neste artigo, vamos nos concentrar nas vulnerabilidades comuns (técnicas e organizacionais) mais frequentemente exploradas durante ataques internos e externos à infraestrutura De Rede, ilustrando-as com casos concretos encontrados durante nossos testes de penetração. Também detalharemos as melhores práticas e medidas a serem implementadas para reduzir o risco ou combater esses ataques.
quais são as vulnerabilidades comuns na infraestrutura De Rede e como se proteger?
gerenciamento de superfície de ataque e exposição ao risco
todos os ataques de computador geralmente começam com uma fase de reconhecimento para identificar a superfície de ataque de uma empresa-alvo. Em outras palavras, os invasores coletam o máximo de informações possível sobre o sistema de informações antes de iniciar ataques a entidades potencialmente vulneráveis. A superfície de ataque é, portanto, a soma dos elementos expostos dentro ou fora da sua rede que podem ser atacados para causar um incidente de segurança: servidores (internos e externos), aplicativos, APIs, tecnologias, versões, componentes, Dados técnicos ou pessoais, etc.Todos eles têm vulnerabilidades potenciais que uma pessoa não autorizada poderia explorar, após uma varredura de porta ou uma pesquisa cuidadosa no Google ou na Dark Web, para invadir seu sistema de informações.Reduzir sua superfície de ataque é um princípio fundamental na segurança cibernética para se proteger contra ataques internos e externos. Para fazer isso, duas ações são necessárias: por um lado, é essencial conhecer sua superfície de ataque e, portanto, elaborar um mapa completo dela, que também deve ser atualizado continuamente porque uma arquitetura de sistema está em constante evolução. Por outro lado, é necessário implementar medidas para endurecer seus sistemas e Redes, a fim de reduzir sua superfície de ataque.
Mapear sua superfície de ataque significa manter uma lista atualizada de todos os seus ativos, suas versões, implementações e intertravamento em todo o seu sistema de informações. Esta ação não é muito complexa de executar. Ferramentas como shodan ou censys facilitam esse processo. Somente para elementos não listados ou desconhecidos, como ferramentas usadas por seus funcionários, possíveis vazamentos de documentos ou senhas confidenciais, pode valer a pena pedir a um terceiro especializado que realize uma auditoria de reconhecimento para elaborar um mapa exaustivo de sua superfície de ataque com o objetivo de reduzi-la.
para reduzir sua superfície de ataque após sua IDENTIFICAÇÃO, as ações para endurecer seus sistemas e redes podem ser as seguintes (lista não exaustiva):
- Alterar as senhas padrão de todos os seus serviços e os dispositivos conectados à rede
- Desinstalar ou remover aplicativos não utilizados, serviços e ambientes
- Técnicos e tecnológicos de monitoramento de novas versões e vulnerabilidades descobertas em componentes de terceiros ou serviços usados
- Implementação do princípio do menor privilégio de gerenciar direitos de acesso para servidores, aplicações, bancos de dados, etc.
- Segmentação de rede, através do particionamento de sistemas críticos e aplicações
- Implementação de um sistema de multi-factor authentication sistema na sua crítica aplicativos e sistemas
Falta de Rede Interna de Segmentação e de Giro Ataques
a Maioria das redes são definidas como redes de televisão, com cada servidor e estação de trabalho executando na mesma rede de área local (LAN), de modo que cada aplicação e de sistema na rede é capaz de se comunicar e conectar-se a tudo o resto.
do ponto de vista da segurança, esse tipo de prática deve ser evitado, pois a maioria desses sistemas não precisa interagir uns com os outros. Além disso, se uma rede plana for atacada (por um invasor ou malware) e uma máquina for comprometida, todo o sistema de informações também estará em risco. De fato, esses ataques usam um método chamado “pivoting”, que consiste em usar uma entidade comprometida para acessar outros elementos e se mover livremente na rede.
assim, a segmentação de rede é uma medida de segurança essencial, pois, mesmo que não permita evitar ataques, continua sendo uma das principais formas de reduzir o impacto de um ataque bem-sucedido. O princípio é simples. Como o nome sugere, envolve dividir uma rede de computadores em segmentos de rede menores que são isolados uns dos outros dentro de redes de área local virtual (VLANs). Isso permite que aplicativos, servidores, estações de trabalho sejam agrupados em sub-partições de rede de acordo com seus problemas e prioridades de segurança, e especialmente de acordo com a criticidade desses sistemas. Filtragem IP e firewalls facilitam o particionamento de áreas.
o uso de Wi-Fi também pode fornecer um ponto de entrada para um ataque de TI. Em primeiro lugar, é essencial distinguir as conexões Wi-Fi de terminais pessoais ou de visitantes daqueles dos terminais da organização (geralmente com um Wi-Fi convidado) e, em seguida, filtrar e restringir os fluxos de estações que se conectam à rede Wi-Fi. Para fazer isso, várias redes Wi-Fi podem ser configuradas (cada uma obviamente particionada) dentro de sua organização, a fim de restringir o acesso a certos recursos críticos, garantindo que apenas os elementos necessários sejam acessados pelos vários grupos de usuários dentro de sua empresa.
um exemplo concreto de testes de segmentação realizados durante um teste de penetração de caixa cinza em uma rede interna. Como os testes foram realizados em caixa cinza, o pentester encarregado da auditoria foi dado acesso aos hóspedes acesso Wi-Fi gratuito para testar a segmentação da rede de:
- Durante os testes, a rede foi bem particionado, exceto para uma impressora disponível dentro da rede: o pentester, como todos os visitantes para o cliente empresa, foi, assim, capaz de imprimir documentos
- no Entanto, a interface de administração da impressora foi também acessível através de credenciais padrão
- Se essa vulnerabilidade tinha sido explorada por um atacante malicioso, ele poderia ter usado a impressora como um vetor de ataque de comprometer a rede interna.
- O pentester recomendação foi, portanto, para restringir o acesso à impressora para o pessoal da empresa, apenas e alterar as credenciais de login para o interface de administração
Assim, a segmentação da arquitetura de rede limita as consequências de uma invasão a um delimitado o perímetro do sistema de informação. No caso de um ciberataque, o movimento lateral do atacante ou malware seria impossível, evitando assim a propagação. Além disso, com várias sub-redes atuando como pequenas redes por direito próprio, permite que os administradores controlem melhor o fluxo de tráfego entre cada uma delas e, portanto, detectem eventos incomuns com mais facilidade.
no entanto, é importante realizar testes para verificar se a segmentação configurada para isolar seus sistemas e aplicativos críticos uns dos outros é robusta. Uma rede interna pentest é a maneira mais eficaz de fazer isso. Durante os testes de penetração, os pentesters se concentram nos controles de segmentação, tanto de fora da rede quanto de dentro da rede, para identificar possíveis vulnerabilidades (falhas técnicas, falhas de configuração ou implementação) que possam permitir o acesso a sistemas, aplicativos e dados críticos.
um teste de penetração interna garante que sistemas e aplicativos críticos não se comuniquem com redes menos seguras. O objetivo desses testes é confirmar que a segmentação funciona como pretendido e que não há brechas que possam ser exploradas por um invasor ou malware.
falta de criptografia de comunicações, Sniffing e Man nos ataques intermediários
algumas redes internas são configuradas para que as informações sejam transmitidas em texto claro, ou seja, não criptografadas. Essas informações podem ser IDs de conta e senhas associadas, dados confidenciais (pessoais, bancários, etc.), documentos arquitetônicos e outras informações críticas, etc. Essa prática aumenta muito o risco de seu sistema de Informações ser comprometido por invasores externos (tendo obtido acesso à sua rede) e funcionários mal-intencionados. O risco é ainda maior para as redes Wi-Fi, pois as comunicações Podem ser interceptadas em todo o perímetro coberto pelo ponto de acesso.
se uma máquina na rede estiver comprometida, um invasor pode recuperar todas as informações de transmissão usando um software que espiona o tráfego da rede, como o wireshark. Este procesś é conhecido como’sniffing’.
para aumentar o impacto do farejamento, o atacante se coloca em um “homem no meio” (MitM). Os ataques Man in the Middle, também conhecidos como ataques de espionagem, consistem em um invasor invadir uma transação de informações entre duas máquinas ou servidores, usando ferramentas como o Ettercap. Uma vez no homem na posição intermediária, o invasor lança o Wireshark para ouvir o tráfego para exfiltrar informações e dados confidenciais.
um caso concreto encontrado durante um teste de penetração de caixa cinza em uma rede interna:
- Mapeamento de rede com o Nmap
- Detecção de um servidor de arquivos de comunicação com o smbv2
- Homem No Meio entre este servidor e todas as máquinas na rede, em seguida, usar o wireshark para interceptar e analisar a recepção de comunicações smb
- não criptografada acesso a arquivos trocados entre máquinas do usuário e o servidor (notas fiscais, contratos, recibos de vencimento, documentos estratégicos, etc.)
dada a extensão dos riscos de farejar e homem nos ataques intermediários, a criptografia de informações que circulam na rede é necessária. Criptografar dados significa torná-los ininteligíveis sem uma chave de descriptografia. A medida de segurança mais comum é adicionar uma camada de criptografia aos protocolos existentes (http, rtp, ftp, etc.) usando o protocolo SSL (https, sftp, srtp, etc.). No caso específico descrito acima, a recomendação para a correção feita após os testes foi o uso de smbv3, i.e. o smbv2, juntamente com o protocolo SSL, que permite a criptografia e, portanto, garante a confidencialidade das comunicações.
gerenciamento de acesso e identidade
em relação a ataques ao recurso de autenticação, incluindo ataques de Força bruta ou pulverização de senha e escalonamento de privilégios, já detalhamos os mecanismos em nosso artigo anterior sobre vulnerabilidades comuns de aplicativos da web. Portanto, você pode se referir a ele, pois ele se aplica a todas as entidades em sua infraestrutura de rede acessíveis por meio de um sistema de autenticação. Além disso, voltaremos aos ataques do Active Directory em um artigo dedicado.
falta de registro e monitoramento
a falta de registro e monitoramento é uma falha técnica e organizacional que permite que os invasores mantenham sua posição em uma rede o maior tempo possível.
tal como acontece com a segmentação de rede, é importante especificar que Boas Práticas de registro e monitoramento não garantem a máxima proteção contra ataques, mas continuam sendo uma boa maneira de detectar eventos e intrusões incomuns e, portanto, de reduzir seu impacto. Quais são os principais princípios e mecanismos?
a maioria dos elementos envolvidos na comunicação dentro de uma rede (troca de informações, troca de dados, etc.) mantenha informações sobre isso. De fato, todos os sistemas e aplicativos que executam “log” todos os eventos que ocorrem. Da mesma forma, roteadores, proxies e firewalls, bem como pontos de acesso, acompanham cada pacote. Essas informações são gerenciadas pelo sistema das máquinas às quais cada uma dessas entidades pertence. Ele é armazenado, por um certo período de tempo, em arquivos dedicados, comumente chamados de “logs”.
um invasor eficiente sempre apaga seus rastros depois de comprometer uma ou mais máquinas em uma rede. Isso é esconder sua presença dos olhos do administrador da rede comprometida e manter sua posição o maior tempo possível nas máquinas comprometidas. O bom gerenciamento de log é, portanto, muito útil para detectar intrusões rapidamente e reagir de forma eficaz.
para facilitar o gerenciamento e a exploração de logs, eles devem ser centralizados na área interna do servidor para permitir uma administração mais fácil. Em seguida, é necessário implementar programas (agentes) para monitorar e sincronizar todos os eventos listados em seus arquivos de log em outras máquinas.
isso é importante porque, no caso de uma máquina ser comprometida, é provável que os logs sejam destruídos pelo invasor. Centralizar, sincronizar e duplicar logs garantirá que você sempre tenha uma cópia.
falhas humanas e ataques de engenharia Social
além de falhas técnicas, problemas de configuração ou implementação, a vulnerabilidade mais frequentemente explorada por invasores para comprometer um sistema de informação permanece humana. Os funcionários da sua empresa ainda são o elo mais fraco em sua segurança cibernética, os atacantes sabem disso e as notícias de ataques cibernéticos bem-sucedidos provam isso!Um relatório da IBM sobre estatísticas de ataques de phishing mostra que o custo médio de uma violação de dados em 2018 foi de US $3,9 milhões. E em seu relatório de crimes na Internet de 2019, o FBI estimou que os ataques BEC (Business Email Compromise-ataques nos quais os fraudadores se apresentam como executivos ou fornecedores de empresas para enganar os funcionários a transferir pagamentos para contas bancárias controladas pelos atacantes) teriam custado às empresas em todo o mundo cerca de €1,6 bilhão.
o princípio dos ataques de engenharia social é simples, e sua implementação não requer muito conhecimento técnico na maioria dos casos. Consiste em um invasor que confia em recursos psicológicos humanos e, em seguida, usa habilidades sociais para obter ou comprometer informações sobre uma empresa ou seus sistemas de TI (aplicativos, infraestrutura externa, rede interna, todo ou parte do sistema de informação a ser retomado).
Email continua a ser o principal vetor de ataque. Usando phishing, spear phishing (phishing em um grupo restrito de pessoas), juntamente com vishing (ataques por telefone), os atacantes sabem como explorar nossa curiosidade natural, nosso senso de dever, nossa consciência profissional, nosso afeto por pechinchas, para nos persuadir a clicar em um link ou baixar um anexo. Com clones de interface ou malware, eles ainda conseguem:
- Defraudar enormes quantidades de dinheiro,
- Obter IDs de utilizador e palavras-passe
- Roubar, destruir ou alterar os dados críticos
- Paralisar todo o seu sistema de informação
Nos últimos anos, tem havido muitos exemplos de sucesso de ataques de engenharia social em pequenas, médias e grandes empresas. E as consequências são muitas vezes devastadoras e irreversíveis. No entanto, existem maneiras simples de limitar o impacto dos ataques de engenharia social.Em primeiro lugar, pense e implemente uma estratégia de segurança adaptada aos seus desafios e ameaças. Criptografia de todos os seus sistemas, segmentação de sua rede, gerenciamento rigoroso de acesso e identidades, redução da superfície de ataque, são todas formas de combater ataques ou reduzir seu impacto.
- e, acima de tudo, teste a robustez de seus sistemas com testes de penetração em sua infraestrutura externa ou em sua rede interna. Os testes de penetração continuam sendo a melhor maneira de testar a segurança de seus sistemas contra invasores externos e internos. O princípio é simples: identificar vulnerabilidades potenciais e corrigi-las rapidamente antes de serem exploradas por invasores. Os testes de penetração de infraestrutura externa permitem pesquisar vulnerabilidades em componentes IS abertos para o exterior. O pentesting de rede interna consiste em mapear a rede antes de realizar testes de segurança nos elementos identificados: servidores, Wi-Fi, equipamentos de rede, estações de trabalho, etc. O relatório emitido após os testes permite que os mecanismos das vulnerabilidades descobertas sejam compreendidos para reproduzi-las e corrigi-las.
- em seguida, realize testes de engenharia social, seja internamente ou por meio de terceiros especializados. Isso permite que você avalie o comportamento de seus funcionários quando confrontados com e-mails aparentemente inofensivos, chamadas ou intrusões físicas em suas instalações (por exemplo, para o depósito de chaves USB presas), mas com um impacto dramático se forem o resultado de hackers malignos, em oposição aos bons hackers que somos. Os resultados desses testes podem ser usados para otimizar a conscientização de suas equipes.
- finalmente, você deve aumentar continuamente a conscientização e treinar todos os seus funcionários, porque a segurança cibernética deve ser um negócio de todos. Você pode organizar reuniões de equipe de conscientização ou realizar cursos de treinamento, fornecidos por suas equipes especializadas sobre segurança cibernética. Existem também cursos de treinamento de terceiros para aumentar a conscientização sobre ataques de engenharia social. Esses cursos de treinamento não técnico facilitam a compreensão dos mecanismos de ciberataques por meio de phishing, vishing, clones de interface, ransomware e as melhores práticas e posturas a serem adotadas para evitar a isca.
entre em contato conosco para qualquer questão relacionada a um projeto de treinamento ou testes de penetração em sua infraestrutura externa, sua rede interna ou testes de engenharia social. Discutiremos as suas necessidades e forneceremos uma intervenção adaptada aos seus desafios de segurança e às suas restrições, sejam orçamentais ou organizacionais.