Proteja sua superfície de ataque externa

Cinco elementos que as organizações devem monitorar

O universo da segurança cibernética está se tornando cada vez mais complexo com a transição das organizações para ambientes de nuvem e a expansão do trabalho remoto. Nos dias de hoje, a superfície de ataque externa se estende por diversas plataformas de nuvem, cadeias de suprimentos digitais complexas e vastos ecossistemas terceirizados. Consequentemente, a grande escala das questões de segurança global, agora comuns, mudou radicalmente nossa percepção de segurança abrangente.

A Internet agora faz parte da rede. Apesar de seu tamanho quase insondável, as equipes de segurança precisam defender a presença de sua organização na Internet da mesma forma que acontece por trás de seus firewalls. À medida que mais organizações adotam os princípios da Confiança Zero, a proteção de superfícies internas e externas se torna um desafio em escala da Internet. Dessa forma, é cada vez mais essencial que as organizações compreendam o escopo completo de sua superfície de ataque.

A Microsoft adquiriu a Risk IQ em 2021 para ajudar as organizações a avaliar a segurança de toda a sua empresa digital. Com a ajuda do RiskIQ Internet Intelligence Graph, as organizações podem descobrir e investigar ameaças nos componentes, conexões, serviços, dispositivos conectados por IP e infraestrutura que compõem sua superfície de ataque para criar uma defesa resiliente e dimensionável.

Para as equipes de segurança, a profundidade e a amplitude do que precisam defender podem parecer assustadoras. No entanto, uma maneira de colocar em perspectiva o escopo da superfície de ataque de sua organização é pensar na Internet do ponto de vista de um invasor. Este artigo destaca cinco áreas que ajudam a enquadrar melhor os desafios do gerenciamento eficaz da superfície de ataque externa.

A superfície de ataque global cresce com a Internet

E está crescendo a cada dia. Em 2020, a quantidade de dados na Internet atingiu 40 zettabytes, ou 40 trilhões de gigabytes.¹ A RiskIQ constatou que, a cada minuto, 117.298 hosts e 613 domínios² se somam aos muitos fios entrelaçados que compõem o intrincado tecido da superfície de ataque global. Cada um deles contém um conjunto de elementos, como seus sistemas operacionais subjacentes, estruturas, aplicativos de terceiros, plug-ins e código de rastreamento. Com cada um desses sites em rápida proliferação contendo essas porcas e parafusos, o escopo da superfície de ataque global aumenta exponencialmente.

hosts criados a cada minuto.
domínios criados a cada minuto.
375 novas ameaças a cada minuto.²

Tanto as organizações legítimas quanto os agentes de ameaças contribuem para esse crescimento, o que significa que as ameaças cibernéticas aumentam em escala com o restante da Internet. APTs (Ameaças avançadas persistentes) sofisticadas e pequenos criminosos cibernéticos ameaçam a segurança das empresas, visando seus dados, marcas, propriedade intelectual, sistemas e pessoas.

No primeiro trimestre de 2021, a CISCO detectou 611.877 sites de phishing exclusivos,³ com 32 eventos de violação de domínio e 375 novas ameaças totais surgindo por minuto.² Essas ameaças têm como alvo os funcionários e clientes das organizações com ativos nocivos, buscando enganá-los para que cliquem em links maliciosos e façam phishing para obter dados confidenciais, o que pode minar a confiança da marca e do consumidor.

O aumento das vulnerabilidades de uma força de trabalho remota

O rápido crescimento dos ativos expostos à Internet ampliou drasticamente o espectro de ameaças e vulnerabilidades que afetam a organização média. Com o advento da COVID-19, o crescimento digital acelerou mais uma vez, com quase todas as organizações expandindo sua pegada digital para acomodar uma força de trabalho e um modelo de negócios remotos e altamente flexíveis. O resultado: os invasores agora têm muito mais pontos de acesso para sondar ou explorar.

O uso de tecnologias de acesso remoto, como RDP (Remote Desktop Protocol) e VPN (Virtual Private Network), disparou 41% e 33%⁴, respectivamente, com a maior parte do mundo adotando uma política de trabalho em casa. O tamanho do mercado global de software de desktop remoto, de US$ 1,53 bilhão em 2019, atingirá US$ 4,69 bilhões até 2027.⁵

Dezenas de novas vulnerabilidades em softwares e dispositivos de acesso remoto deram aos invasores uma posição que eles nunca tiveram antes. A RiskIQ revelou muitas instâncias vulneráveis dos dispositivos de acesso remoto e de perímetro mais populares, e o ritmo torrencial das vulnerabilidades não diminuiu. No total, 18.378 vulnerabilidades foram relatadas em 2021.⁶

crescimento no uso de RDP.
crescimento no uso de VPN.
vulnerabilidades relatadas em 2021.

Com o aumento dos ataques em escala global orquestrados por vários grupos de ameaças e adaptados para empresas digitais, as equipes de segurança precisam mitigar as vulnerabilidades para si mesmas, terceiros, parceiros, aplicativos controlados e não controlados e serviços dentro e entre os relacionamentos na cadeia de fornecedores digital.

Cadeias de fornecedores digitais, M&A e shadow IT criam uma superfície de ataque oculta

A maioria dos ataques cibernéticos se origina a quilômetros de distância da rede; os aplicativos da Web constituíram a categoria de vetor mais comumente explorada em violações relacionadas a hackers. Infelizmente, a maioria das organizações não tem uma visão completa de seus ativos de Internet e de como esses ativos se conectam à superfície de ataque global. Três contribuintes significativos para essa falta de visibilidade são a shadow IT, as fusões e aquisições (M&A) e as cadeias de fornecedores digitais.

serviços expirados por minuto.²
dos negócios contêm diligência prévia de segurança cibernética.⁷
das organizações sofreram pelo menos uma violação de dados causada por terceiros.⁸

Shadow IT

Quando a TI não consegue acompanhar o ritmo dos requisitos comerciais, a empresa busca apoio em outro lugar para desenvolver e implantar novos ativos da Web. A equipe de segurança frequentemente não tem conhecimento dessas atividades de shadow IT e, como resultado, não consegue incluir os ativos criados no escopo de seu programa de segurança. Os ativos não gerenciados e órfãos podem se tornar um passivo na superfície de ataque de uma organização ao longo do tempo.

Essa rápida proliferação de ativos digitais fora do firewall agora é a norma. Os novos clientes da RiskIQ normalmente encontram cerca de 30% mais ativos do que pensavam ter, e a RiskIQ detecta 15 serviços expirados (suscetíveis à aquisição de subdomínios) e 143 portas abertas a cada minuto.²

Fusões e aquisições

As operações cotidianas e as iniciativas críticas de negócios, como M&A, parcerias estratégicas e terceirização, criam e expandem as superfícies de ataque externas. Atualmente, menos de 10% dos negócios em todo o mundo contêm diligência prévia de segurança cibernética.

Há vários motivos comuns pelos quais as organizações não estão obtendo uma visão completa dos possíveis riscos cibernéticos durante o processo de diligência prévia. A primeira é a grande escala da presença digital da empresa que está sendo adquirida. Não é incomum que uma grande organização tenha milhares, ou até dezenas de milhares, de sites ativos e outros ativos expostos publicamente. Embora as equipes de TI e de segurança da empresa a ser adquirida tenham um registro de ativos de sites, quase sempre essa é apenas uma visão parcial do que existe. Quanto mais descentralizadas forem as atividades de TI de uma organização, mais significativa será a lacuna.

Cadeias de fornecedores

A empresa está cada vez mais dependente das alianças digitais que formam a cadeia de fornecedores moderna. Embora essas dependências sejam essenciais para agir no século XXI, elas também criam uma rede desordenada, em camadas e altamente complicada de relacionamentos com terceiros, muitos dos quais estão fora do alcance das equipes de segurança e risco para proteger e defender proativamente. Como resultado, identificar rapidamente ativos digitais vulneráveis que sinalizam risco é um enorme desafio.

A falta de compreensão e visibilidade dessas dependências fez dos ataques de terceiros um dos vetores mais frequentes e eficazes para os atores de ameaças. Uma quantidade significativa de ataques passa agora pela cadeia de fornecedores digital. Hoje, 70% dos profissionais de TI indicaram um nível moderado a alto de dependência de entidades externas que podem incluir terceiros, quartos ou quintos.⁹ Ao mesmo tempo, 53% das organizações sofreram pelo menos uma violação de dados causada por terceiros.¹⁰

Embora os ataques em grande escala à cadeia de fornecedores se tornem mais comuns, as organizações lidam diariamente com ataques menores. Malware de fraude de cartões de crédito digitais, como o Magecart, afeta plug-ins de comércio eletrônico de terceiros. Em fevereiro de 2022, a RiskIQ detectou mais de 300 domínios afetados pelo malware Magecart de fraude de cartões de crédito digitais.¹¹

A cada ano, as empresas investem mais em dispositivos móveis à medida que o estilo de vida do consumidor médio se torna mais centrado em dispositivos móveis. Atualmente, os americanos passam mais tempo no celular do que assistindo à TV ao vivo, e o distanciamento social fez com que eles migrassem mais de suas necessidades físicas para o celular, como compras e educação. A App Annie mostra que os gastos por meio de dispositivos móveis aumentaram para impressionantes US$ 170 bilhões em 2021, um crescimento de 19% em relação ao ano anterior.¹²

Essa demanda por meio de dispositivos móveis cria uma proliferação maciça de aplicativos móveis. Os usuários baixaram 218 bilhões de aplicativos em 2020. Enquanto isso, a RiskIQ observou um crescimento geral de 33% nos aplicativos móveis disponíveis em 2020, com 23 surgindo a cada minuto.²

de crescimento dos aplicativos móveis.
aplicativos móveis surgem a cada minuto.
aplicativo bloqueado a cada cinco minutos.²

Para as organizações, esses aplicativos geram resultados comerciais. No entanto, isso pode ser uma faca de dois gumes. O cenário de aplicativos é uma parte significativa da superfície de ataque geral de uma empresa que existe além do firewall, onde as equipes de segurança geralmente sofrem com uma falta crítica de visibilidade. Os atores de ameaças ganharam a vida tirando proveito dessa falta de visão para produzir "aplicativos nocivos" que imitam marcas conhecidas ou que, de outra forma, fingem ser algo que não são, criados com o objetivo de enganar os clientes para que façam o download deles. Depois que um usuário desavisado faz o download desses aplicativos mal-intencionados, os atores de ameaças podem fazer o que quiserem, obtendo informações confidenciais por phishing ou carregar o malware para os dispositivos. A RiskIQ bloqueia um aplicativo móvel malicioso a cada cinco minutos.

Esses aplicativos desonestos aparecem nas lojas oficiais em raras ocasiões, chegando até mesmo a violar as robustas defesas das principais lojas de aplicativos. No entanto, centenas de lojas de aplicativos menos respeitáveis representam um submundo móvel obscuro fora da relativa segurança das lojas de renome. Os aplicativos dessas lojas são bem menos regulamentados do que os das lojas de aplicativos oficiais, e algumas estão tão cheias de aplicativos mal-intencionados que superam em número as ofertas seguras.

A superfície de ataque global também faz parte da superfície de ataque de uma organização

A superfície de ataque global da Internet de hoje se transformou drasticamente em um ecossistema dinâmico, abrangente e completamente entrelaçado do qual todos nós fazemos parte. Se você tem uma presença na Internet, se interconecta com todos os outros, inclusive com aqueles que querem causar danos. Por esse motivo, o rastreamento da infraestrutura de ameaças é tão importante quanto o rastreamento de sua própria infraestrutura.

novas peças de malware são detectadas todos os dias.²
de aumento das variantes de malware.¹³
servidor Cobalt Strike a cada 49 minutos.²

Diferentes grupos de ameaças reciclarão e compartilharão a infraestrutura - IPs, domínios e certificados - e usarão ferramentas de commodity de código aberto, como malware, kits de phishing e componentes de C2 para evitar a atribuição fácil, ajustando-os e melhorando-os para atender às suas necessidades exclusivas.

Mais de 560.000 novas peças de malware são detectadas todos os dias, e o número de kits de phishing anunciados em mercados clandestinos de crimes cibernéticos dobrou entre 2018 e 2019. Em 2020, o número de variantes de malware detectadas aumentou 74%.¹⁴ A RiskIQ agora detecta um servidor C2 do Cobalt Strike a cada 49 minutos.

Tradicionalmente, a estratégia de segurança da maioria das organizações tem sido uma abordagem de defesa em profundidade, começando no perímetro e voltando para os ativos que devem ser protegidos. No entanto, há desconexões entre esse tipo de estratégia e a superfície de ataque, conforme apresentado neste relatório. No mundo atual de envolvimento digital, os usuários ficam fora do perímetro, assim como um número cada vez maior de ativos digitais corporativos expostos e muitos dos agentes mal-intencionados. A aplicação dos princípios de Confiança Zero em todos os recursos corporativos pode ajudar a proteger a força de trabalho atual, protegendo pessoas, dispositivos, aplicativos e dados, independentemente de sua localização ou da escala das ameaças enfrentadas. A Segurança da Microsoft oferece uma série de ferramentas de avaliação direcionadas para ajudá-lo a avaliar o estágio de maturidade da Confiança Zero em sua organização.

[1]

https://go.microsoft.com/fwlink/?linkid=2262595
[2]

RiskIQ Evil Internet Minute, 2021
[3]

https://go.microsoft.com/fwlink/?linkid=2262596
[4]

https://go.microsoft.com/fwlink/?linkid=2262731
[5]

https://go.microsoft.com/fwlink/?linkid=2262712
[6]

https://go.microsoft.com/fwlink/?linkid=2262569
[7]

https://go.microsoft.com/fwlink/?linkid=2262823
[8]

https://go.microsoft.com/fwlink/?linkid=2262805
[9]

https://go.microsoft.com/fwlink/?linkid=2262476
[10]

https://go.microsoft.com/fwlink/?linkid=2262477
[11]

https://go.microsoft.com/fwlink/?linkid=2262597
[12]

https://go.microsoft.com/fwlink/?linkid=2262920
[13]

https://go.microsoft.com/fwlink/?linkid=2262355

Superfície de ataque Resiliência cibernética Vulnerabilidades

A anatomia de uma superfície de ataque externa

Cinco elementos que as organizações devem monitorar

A superfície de ataque global cresce com a Internet

A superfície de ataque global cresce a cada minuto

O aumento das vulnerabilidades de uma força de trabalho remota

Um novo cenário de vulnerabilidade

Cadeias de fornecedores digitais, M&A e shadow IT criam uma superfície de ataque oculta

Dependências em risco

Shadow IT

Fusões e aquisições

Cadeias de fornecedores

As lojas de aplicativos são uma superfície de ataque crescente

A superfície de ataque global também faz parte da superfície de ataque de uma organização

A superfície de ataque global faz parte da superfície de ataque da organização

Artigos relacionados

Minuto de ameaças cibernéticas

Durante um ataque cibernético, cada segundo conta. Para ilustrar a escala e o escopo do crime cibernético mundial, condensamos um ano de pesquisa sobre segurança cibernética em uma janela de 60 segundos.

Ransomware como serviço

O mais novo modelo de negócios do crime cibernético, os ataques operados por humanos, encoraja criminosos de diferentes capacidades.

O crescimento da IoT e o risco para a OT

O aumento da circulação de IoT está colocando a OT em risco, com diversas vulnerabilidades em potencial e exposição a atores de ameaças. Descubra como manter sua organização protegida.