Agências de cibersegurança dos Estados Unidos, Canadá, Nova Zelândia, Países Baixos e Reino Unido compilaram em conjunto uma lista com as falhas mais exploradas no contexto do cibercrime para acesso aos sistemas de uma organização. Estas falhas são principalmente erros de configuração, controlos fracos e outras práticas de segurança desaconselhadas que contribuem para uma “má higiene” cibernética. A ESET, empresa global líder em soluções de cibersegurança, analisou o relatório e explica as práticas e controlos e mais comuns, bem como recomendações para mitigar os problemas apontados.
Antes de analisar os pontos fracos e/ou falhas de segurança mais comuns, o relatório também explica quais as técnicas mais usadas por agentes do cibercrime para explorar essas falhas e obter acesso aos sistemas de uma organização:
- A exploração de aplicações que são publicadas de forma pública na Internet: por exemplo sites ou servidores, bancos de dados ou protocolos e serviços usados para a administração de serviços de rede. Em resumo, qualquer aplicação acessível pela Internet.
- Serviços de acesso remoto expostos à Internet: esta técnica está relacionada ao uso de VPNs e outros serviços que permitem que um utilizador se ligue a uma rede empresarial a partir de um local externo. Os atacantes muitas vezes têm como alvo esses serviços de acesso remoto para obter acesso a uma rede.
- Phishing: a velha e familiar técnica de enviar e-mails para enganar potenciais vítimas com anexos e links maliciosos continua a ser eficaz. Através do phishing, muitas organizações são infetadas com algum tipo de código malicioso que faz um funcionário desatento cair na armadilha elaborada através de técnicas de engenharia social.
- Exploração de relações de confiança: esta técnica consiste em obter acesso a uma organização através de terceiros que tenham um contrato ou ligação com ela, como um fornecedor que faz a gestão de serviços de segurança ou TI, e aproveitar o acesso que eles têm à rede da organização alvo.
- Contas válidas: a quinta técnica mais usada envolve o uso de dados de login válidos para obter acesso inicial, permanecer dentro de uma rede, tentar escalar privilégios ou modificar a configuração dos mecanismos de defesa da vítima.
Vetores de acesso inicial mais usados no cibercrime
Em relação às falhas nos controlos de segurança, configurações fracas ou inseguras e práticas desaconselhadas exploradas por agentes do cibercrime, a ESET descreve as 10 mais comuns:
Não ativar a autenticação multifator
A autenticação multifator é fundamental para evitar o sequestro de contas. Vários estudos têm mostrado como esta camada adicional de segurança é eficaz para impedir que atacantes tenham acesso a contas através de dados de acesso roubados.
Atribuição de acessos e permissões de forma incorreta
A gestão inadequada de acessos e permissões pode permitir que alguém interno realize ações que representem um risco para a organização ao ter acesso desnecessário e permissões para informações sensíveis.
Uso de software desatualizado
A exploração de vulnerabilidades em software é algo bastante comum. Em muitos casos, os atacantes obtêm rapidamente acesso a exploits poucos dias após uma vulnerabilidade se tornar conhecida, mas é também o caso de muitas organizações usarem softwares desatualizados expostos a vulnerabilidades de longa data.
Uso de dados de login padrão
Manter o mesmo nome de utilizador e senha padrão que vêm com o software e hardware que compramos é assumir um enorme risco, pois dá aos atacantes uma maneira fácil de aceder remotamente aos sistemas através destas soluções.
Falta de controlo dos serviços de acesso remoto
Tanto atacantes como grupos de ransomware muitas vezes exploram configurações inseguras ou vulnerabilidades sem correções em soluções de acesso remoto às redes de uma organização, como as soluções VPN.
Uso de palavras-passe fracas
Os cibercriminosos usam uma variedade de métodos para obter dados de login válidos e aproveitá-los para obter acesso inicial aos sistemas de uma organização. De ataques por força bruta, compra de dados de acesso roubados em fóruns na dark web, entre outros.
Serviços na nuvem desprotegidos
O crescimento da procura e adoção de serviços na nuvem, especialmente com o trabalho remoto e híbrido, também atraiu o interesse de atacantes que procuravam maneiras de explorar erros de configuração e vulnerabilidades nesta superfície de ataque para roubar informações.
Serviços mal configurados expostos na Internet ou portas abertas
Os atacantes usam ferramentas para descobrir portas abertas de serviços expostos na Internet que podem permitir o acesso à rede de uma organização, como os serviços RDP ou o protocolo Server Message Block (SMB).
Erro ao detetar phishing via e-mail
A lacuna de conhecimento pode aumentar o risco de que os funcionários falhem a deteção de um e-mail de phishing malicioso, tornando ainda mais provável que a organização se torne vítima de um incidente. Os atacantes normalmente recorrem a esta técnica de longa data que permanece eficaz devido à falta de conscientização e educação sobre segurança.
Péssima resposta sobre os produtos de segurança instalados
Os agentes do cibercrime muitas vezes conseguem escapar dos controlos de segurança estabelecidos pelos produtos de segurança instalados no computador comprometido e assim levam a cabo os seus ataques efetivamente sem serem detetados. Existem diferentes alternativas usadas pelos cibercriminosos para conseguir isso, como o uso de droppers ou fileless malware.
Dicas para minimizar os riscos
A ESET identifica algumas dicas que podem ajudar as organizações a minimizar a probabilidade de atacantes obterem acesso aos seus sistemas:
- Adotar o modelo de segurança zero trust;
- Limitar a possibilidade de acesso remoto a uma conta de administrador;
- Controlar as permissões e os acessos atribuídos a diferentes dados e serviços, incluindo a aplicação do princípio do menor privilégio para que cada funcionário tenha acesso às informações de que precisa para realizar sua tarefa e nada mais;
- Estabelecer mudanças de palavra-passe;
- Gerir os processos de entrada e saída de funcionários e mudanças de posição interna;
- Verificar se nenhum computador tem a porta do RDP aberta;
- Implementar a autenticação multifator;
- Modificar ou desativar nomes de utilizador e palavras-passe padrão;
- Monitorizar o uso de dados de login comprometidos em sistemas internos;
- Gestão centralizada de registos;
- Uso de soluções antimalware.
A lista completa de medidas que podem ser implementadas para minimizar os riscos pode ser encontrada no relatório publicado pela agência de cibersegurança dos EUA.