A ampla adoção de instalações em nuvem e a subsequente multiplicação das redes das organizações, combinada com a recente migração para o trabalho remoto, teve a consequência direta de uma expansão massiva da superfície de ataque das organizações e levou a um número crescente de pontos cegos em redes conectadas.
Os resultados imprevistos dessa superfície expandida e de ataque com monitoramento fragmentado foram um aumento acentuado no número de ataques cibernéticos bem-sucedidos, mais notoriamente, ransomware, mas abrangendo também uma variedade de outros tipos de ataques. Os principais problemas são pontos cegos não monitorados, na qual são usados por invasores cibernéticos para violar a infraestrutura das organizações e escalar seu ataque ou invadir, buscando informações valiosas.
A maioria das organizações evoluiu mais rápido do que sua capacidade de acompanhar todas as partes móveis envolvidas. Catalogar todos os ativos passados e presentes é muitas vezes vista como uma tarefa complexa e com muitos recursos, com poucos benefícios imediatos.
No entanto, dado o custo potencial de uma violação bem-sucedida e a maior capacidade dos invasores cibernéticos de identificar e usar ativos expostos pode levar a uma violação catastrófica.
É aqui que as tecnologias emergentes, como o Gerenciamento de Superfície de Ataque (ASM), podem ser inestimáveis.
O que é o Gerenciamento de superfície de ataque (ASM)?
ASM é uma tecnologia que explora conjuntos de dados da Internet e bancos de dados de certificados ou emula invasores executando técnicas de reconhecimento. Ambas as abordagens visam realizar uma análise abrangente dos ativos de sua organização durante o processo de descoberta. Ambas as abordagens incluem a verificação de seus domínios, subdomínios, IPs, portas, etc. Em busca de ativos voltados para a Internet antes de analisá-los para detectar vulnerabilidades e lacunas de segurança.
O ASM avançado inclui recomendações de mitigação acionáveis para cada falha de segurança descoberta, recomendações que vão desde a limpeza de ativos não utilizados e desnecessários para reduzir a superfície de ataque até alertar os indivíduos de que seu endereço de e-mail está prontamente disponível e pode ser aproveitado para ataques de phishing.
O ASM inclui relatórios sobre Open-Source Intelligence (OSINT) que podem ser usados em um ataque de engenharia social ou em uma campanha de phishing, como informações pessoais publicamente disponíveis nas mídias sociais ou mesmo em materiais como vídeos, webinars, discursos públicos e conferências.
Em última análise, o objetivo do ASM é garantir que nenhum ativo exposto seja deixado sem monitoramento e eliminar qualquer ponto cego que possa se transformar em um ponto de entrada aproveitado por um invasor para obter uma posição inicial em seu sistema.
Quem precisa de ASM?
Especialistas abordam diretamente as descobertas preocupantes pela adoção do ASM pelos usuários do Cymulate. Sem o conhecimento deles, antes de executar o ASM:
- 80% não tinham registros de e-mail SPF anti-spoofing
- 77% tinham proteções de site insuficientes
- 60% tinham contas expostas, infraestrutura e serviços de gerenciamento
- 58% tinham contas de e-mail hackeadas.
- 37% usaram Java hospedado externamente.
- 26% não tinham registro DMARC configurado para domínio.
- 23% tinham incompatibilidade de host do certificado SSL.
Uma vez identificadas, essas lacunas de segurança podem ser preenchidas, mas o fator preocupante é a extensão da exposição desconhecida antes de sua identificação.
Os usuários de ASM nesta análise são de uma grande variedade de setores, regiões e tamanhos de organizações do setor. Isso indica que qualquer pessoa com uma infraestrutura conectada pode se beneficiar da adoção do ASM como parte integrante de sua infraestrutura de segurança cibernética.
Onde você pode encontrar ASM?
Embora a tecnologia ainda seja recente, há um número crescente de fornecedores de ASM. Como sempre, é mais eficiente considerar adicionar o ASM como parte de uma plataforma mais desenvolvida em vez de um produto independente.
O foco de uma solução ASM é parcialmente ditado pelo foco da cesta de produtos aos quais ela está associada. Como tal, uma solução ASM associada a um conjunto reativo como Endpoint Detection and Response (EDR) é mais provável para mim com base em capacidades de varredura expandidas, enquanto uma solução ASM incluída em uma plataforma proativa como Extended Security Posture Management (XSPM) é mais provável que se concentre em alavancar os recursos de varredura para expandir a emulação de técnicas e ferramentas de reconhecimento de ciberataques.
A seleção de um ASM integrado facilita a centralização de dados relacionados à postura de segurança da organização em um único painel, reduzindo o risco de sobrecarga de dados das equipes de SOC.
REFERÊNCIAS:
https://thehackernews.com/2022/02/how-attack-surface-management-preempts.html
https://cymulate.com/attack-surface-management
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021/@@download/fullReport