A superfície de ataque de uma organização é o soma das vulnerabilidades, dos caminhos ou dos métodos, às vezes chamados de vetores de ataque, que os hackers podem usar para obter acesso não autorizado à rede ou a dados sensíveis, ou para realizar um ataque cibernético.
À medida que as organizações cada vez mais adotam serviços da cloud e modelos de trabalho híbridos (local/home office), suas redes e superfícies de ataque associadas estão tornando-se mais amplas e mais complexas diariamente. De acordo com o relatório da Randori The State of Attack Surface Management 2022 (link externo à ibm.com) (a Randori é uma subsidiária da IBM Corp.), 67% das organizações viram suas superfícies de ataque crescerem em tamanho nos últimos dois anos. Uma analista de segmento de mercado, a Gartner, denominou a expansão da superfície de ataque a principal tendência de gerenciamento de risco e segurança de 2022 (link externo à ibm.com).
Os especialistas em segurança dividem a superfície de ataque em três subsuperfícies: a superfície de ataque digital, a superfície de ataque físico e a superfície de ataque de engenharia social.
A superfície de ataque digital expõe potencialmente a cloud da organização e a infraestrutura local a qualquer hacker com uma conexão de Internet. Os vetores de ataque comuns na superfície de ataque digital de uma organização incluem:
Senhas fracas: as senhas fáceis de adivinhar, ou fáceis de quebrar por meio de ataques de força bruta, aumentam o risco de que os cibercriminosos possam comprometer contas de usuários para acessar a rede, roubar informações sensíveis, espalhar malware e danificar a infraestrutura. De acordo com o Relatório do custo de uma violação de dados de 2021 da IBM, as credenciais comprometidas foram o vetor de ataque inicial mais explorado em 2021.
Configuração incorreta: portas de rede, canais, pontos de acesso wireless, firewalls ou protocolos configurados incorretamente servem como pontos de entrada para hackers. Ataques man-in-the-middle, por exemplo, aproveitam protocolos de criptografia fracos em canais de troca de mensagens para interceptar comunicações entre sistemas.
Vulnerabilidades de software, de sistema operacional (S.O.) e de firmware: os hackers e cibercriminosos podem aproveitar os erros de programação e implementação em aplicativos de terceiros, S.O. e outros softwares ou firmwares para se infiltrar em redes, obter acesso a diretórios de usuários ou inserir malware. Por exemplo, em 2021, cibercriminosos aproveitaram uma falha na plataforma VSA (dispositivo de armazenamento virtual) da Kaseya (link externo à ibm.com) para distribuir ransomware, disfarçado de uma atualização de software, para os clientes da Kaseya.
Ativos para a Internet: aplicativos da web, servidores da web e outros recursos que usam a Internet pública são inerentemente vulneráveis a ataques. Por exemplo, os hackers podem injetar código malicioso nas interfaces de programação de aplicativos (APIs) desprotegidas, fazendo com que divulguem indevidamente ou até mesmo destruam informações confidenciais em bancos de dados associados.
Bancos de dados e diretórios compartilhados: os hackers podem descobrir bancos de dados e diretórios compartilhados entre sistemas e dispositivos para obter acesso não autorizado a recursos sensíveis ou ativar ataques de ransomware. Em 2016, o ransomware Virlock se propagou (link externo à ibm.com) ao infectar pastas de arquivos compartilhadas e acessadas por vários dispositivos.
Dispositivos, dados ou aplicativos desatualizados ou obsoletos: falha ao aplicar atualizações e correções de forma consistente gera riscos de segurança. Um exemplo notável é o ransomware WannaCry, que se propagou ao descobrir uma vulnerabilidade do sistema operacional Microsoft Windows (link externo à ibm.com) para o qual uma correção estava disponível. Da mesma forma, quando terminais, conjuntos de dados, contas de usuários e aplicativos obsoletos não são desinstalados, excluídos ou descartados adequadamente, geram vulnerabilidades não monitoradas que os cibercriminosos podem descobrir facilmente.
Shadow IT: "Shadow IT" são softwares, hardwares ou dispositivos, aplicativos populares ou sem custo, dispositivos de armazenamento móveis, um dispositivo móvel pessoal desprotegido, que os funcionários usam sem o conhecimento ou a aprovação do departamento de TI. Por não ser monitorado por equipes de TI ou de segurança, a Shadow IT pode apresentar vulnerabilidades sérias que os hackers podem descobrir.
A superfície de ataque físico expõe ativos e informações geralmente acessíveis apenas a usuários com acesso autorizado ao escritório físico da organização ou dispositivos de terminal (servidores, computadores, notebooks, dispositivos móveis, dispositivos IoT e hardware operacional).
Fontes internas maliciosas: funcionários descontentes ou subornados ou qualquer usuário com intenções maliciosas podem usar seus privilégios de acesso para roubar dados sensíveis, desativar dispositivos, implementar malware ou ações piores.
Furto de dispositivo: os criminosos podem roubar dispositivos de terminal ou obter acesso a eles invadindo as instalações de uma organização. Após tomar posse do hardware, os hackers podem acessar dados e processos armazenados nesses dispositivos. Eles podem usar também as identidades e as permissões do dispositivo para acessar outros recursos de rede. Terminais usados por trabalhadores remotos, dispositivos pessoais dos funcionários e dispositivos descartados de maneira inadequada são alvos típicos de furto.
Baiting (iscas): baiting é um ataque em que os hackers deixam dispositivos USB infectados com malware em locais públicos, na esperança de enganar usuários a conectá-los em seus computadores e fazer o download do malware de forma não intencional.
A engenharia social manipula as pessoas para que compartilhem informações que não deveriam compartilhar, façam download de software malicioso que não deveriam fazer download, visitem sites que não deveriam visitar, enviem dinheiro para criminosos ou cometam outros deslizes que comprometam os bens e a segurança deles ou da organização.
Por descobrir as fraquezas humanas em vez de vulnerabilidades técnicas ou digitais do sistema, a engenharia social às vezes é chamada de 'hackeamento humano'.
Saiba mais sobre engenharia social
A superfície de ataque de engenharia social de uma organização essencialmente depende do número de usuários autorizados que estão despreparados ou de outra forma vulneráveis a ataques de engenharia social.
Phishing é o vetor de ataque de engenharia social mais conhecido e difundido. Em um ataque de phishing, os golpistas enviam e-mails, mensagens de texto ou mensagens de voz que tentam manipular os destinatários a compartilhar informações confidenciais, fazer o download de softwares maliciosos, transferir dinheiro ou ativos para as pessoas erradas ou tomar alguma outra ação prejudicial. Os golpistas criam mensagens de phishing para parecer ou soar como se viessem de uma empresa ou pessoa confiável, um varejista conhecido, uma organização governamental ou até mesmo uma pessoa que o destinatário conheça pessoalmente.
De acordo com o relatório da IBM Custo de uma violação de dados de 2021, a engenharia social é a segunda principal causa de violações de dados.
O gerenciamento de superfície de ataque (ASM) refere-se a processos e tecnologias que usam a visão e abordagem de um hacker em relação à superfície de ataque de uma organização, descobrindo e monitorando continuamente os ativos e as vulnerabilidades que os hackers veem e tentam descobrir ao visar uma organização. O ASM normalmente envolve:
Descoberta, inventário e monitoramento contínuo de ativos potencialmente vulneráveis. Qualquer iniciativa de ASM começa com um inventário completo e constantemente atualizado de uma organização e seus ativos de TI que usam a internet, incluindo recursos locais e na cloud. Adotar a abordagem de um hacker garante a descoberta não apenas de ativos conhecidos, mas também de Shadow IT (veja acima), aplicativos ou dispositivos que foram abandonados, mas não excluídos ou desativados (TI órfã), ativos implantados por hackers ou malware (TI invasora), entre outros, essencialmente qualquer ativo que possa ser descoberto por um hacker ou ameaça cibernética.
Após descobertos, os ativos são monitorados continuamente, em tempo real, para buscar mudanças que identifiquem seu risco como possível vetor de ataque.
Análise de superfície de ataque, avaliação de risco e priorização. As tecnologias de ASM classificam os ativos de acordo com suas vulnerabilidades e riscos de segurança que apresentam, e define as prioridades para resposta a ameaças ou remediação.
Redução de superfície de ataque e remediação. As equipes de segurança podem aplicar suas descobertas a partir da análise de superfície e formação de equipe vermelha para realizar diversas ações de curto prazo para reduzir a superfície de ataque. Isso pode incluir a imposição de senhas mais fortes, a desativação de aplicativos e dispositivos de terminal que não estão mais em uso, a aplicação de patches de aplicativos e SO, treinamento de usuários para reconhecer golpes de phishing, implementação de controles de acesso biométrico para entrada de escritório ou revisão de políticas e controles de segurança e sobre downloads de software e mídia removível.
As organizações também podem adotar medidas de segurança mais estruturais ou de longo para reduzir a superfície de ataque, seja como parte ou independente de uma iniciativa de gerenciamento de uma superfície de ataque. Por exemplo, a implementação da autenticação de dois fatores (2fa) ou da autenticação de diversos fatores pode reduzir ou eliminar possíveis vulnerabilidades associadas a senhas fracas ou falta de higiene de senhas.
Em uma escala mais ampla, uma abordagem de segurança de zero trust pode reduzir significativamente a superfície de ataque de uma organização. Uma abordagem de zero trust exige que todos os usuários, estejam eles dentro ou fora da rede, sejam autenticados, autorizados e validados continuamente para receber e manter acesso a aplicativos e dados. Os princípios e as tecnologias de zero trust, validação contínua, acesso menos privilegiado, monitoramento contínuo, microssegmentação de rede, podem reduzir ou eliminar muitos vetores de ataque e fornecer dados importantes para a análise contínua de superfície de ataque.
Gerencie a expansão de sua pegada digital e atinja suas metas, com menos falsos positivos, para melhorar a resiliência cibernética de sua organização rapidamente.
Conecte suas ferramentas, automatize seu centro de operações de segurança (SOC) e tenha mais tempo para trabalhar no que realmente importa.
Adote um programa de gerenciamento de vulnerabilidade que identifique, priorize e gerencie a correção de falhas que podem expor seus ativos mais críticos
A engenharia social prejudica a segurança pessoal ou corporativa usando a manipulação psicológica em vez de hackeamento técnico.
Malware é código de software escrito para danificar ou destruir computadores ou redes ou para fornecer acesso não autorizado a computadores, redes ou dados.
Uma abordagem de confiança zero exige que todos os usuários, estejam eles dentro ou fora da rede, sejam autenticados, autorizados e validados continuamente para receber e manter acesso a aplicativos e dados
As ameaças internas ocorrem quando usuários com acesso autorizado aos ativos da empresa colocam esses ativos em risco, intencional ou acidentalmente.
Um guia para proteger seu ambiente de computação e cargas de trabalho da cloud.
Segurança de dados é a prática de proteger informações digitais contra roubo ou danos. ou acesso não autorizado em todo o seu ciclo de vida.