5 minute read
Segurança
Claudio Bannwart, country manager da Check Point Brasil
Riscos da escalada de privilégios na nuvem
Acredita-se que a disrupção é um dos importantes motores por trás das inovações e do crescimento das empresas. No entanto, mover-se mais rápido do que o planejado nem sempre é uma coisa boa, como organizações em todo o mundo descobriram durante a pandemia da Covid-19. Embora em 2020 tenhamos visto os programas de transformação digital avançarem mais de cinco anos em resposta à pandemia, essa rápida mudança para trabalho remoto em massa e conectividade em nuvem também significou que, para muitasorganizações, algumas áreas foram bastante impactadas ao longo do caminho, incluindo a segurança.
Uma pesquisa global, realizada pela Check Point em meados de 2020, constatou que a segurança da nuvem pública é uma grande preocupação para 75% das empresas. Das organizações entrevistadas, mais de 80% identificaram que suas ferramentas de proteção existentes não funcionam na totalidade ou tinham apenas funções limitadas na nuvem, expondo-as a riscos de violações e ataques. A natureza dinâmica e rápida da nuvem é uma das principais causas desses riscos, porque geralmente leva à configuração incorreta de permissões e privilégios vinculados a identidades ou usuários.
Invasores e cibercriminosos têm sido rápidos em explorar configurações incorretas e vulnerabilidades. O relatório de custo de uma violação de dados de 2020 do Ponemon Institute observou configurações incorretas de nuvem como o ponto de entrada dos invasores. Combinados com credenciais roubadas ou comprometidas, esses problemas foram a causa de quase 40% de todas as violações e levaram a um dos maiores e mais significativos ciberataques de todos os tempos: o comprometimento da cadeia de suprimentos Sunburst, responsável por violar mais de 18 mil organizações governamentais, empresas do setor privado e desenvolvedoras de tecnologia em todo o mundo por meio de um backdoor embutido em seu software de gerenciamento de rede SolarWinds.
Conhecido pela alcunha de Dark Halo, o cibercriminoso por trás dos ataques Sunburst confiou no modelo de nuvem para acessar informações confidenciais e ganhar pontos de apoio nas redes das organizações visadas. Depois que uma empresa foi comprometida, o invasor moveu-se Pixabay lateralmente do backdoor no servidor SolarWinds de destino para seu servidor Active Directory Federation Services, responsável pelos processos de Single Sign On da organização para acessar serviços em nuvem como o Office365. Nesse ponto, Dark Halo utilizou uma técnica publicada anteriormente para obter acesso persistente, completo e difícil de detectar aos serviços de nuvem da vítima, permitindo que se explorasse e roubasse dados de e-mails e armazenamento.
Mas como o atacante comprometeu os sistemas da SolarWinds em primeiro lugar, dando a si mesmo a plataforma a partir da qual eles poderiam utilizar o escalonamento de privilégios para atacar organizações usando seu software? As credenciais roubadas são uma das principais fontes de ataque que
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
a SolarWinds está investigando. Os executivos culparam um estagiário da empresa por um equívoco crítico na segurança de senha que não foi diagnosticado por anos, e ainda não descartaram o erro como a causa raiz do ataque. Isso mostra o quão significativo pode ser uma única senha violada e roubada.
Ter privilégios não conquistados
O Sunburst é um exemplo de maior perfil de uma mudança significativa na natureza das configurações incorretas da nuvem, as suas causas, raízes e consequências no ano passado, como os erros das configurações de gerenciamento de identidade e acesso (IAM). Esses ataques direcionados a contas de nuvem, às vezes causados por falhas nas permissões do provedor ou na lógica da política de confiança, podem permitir que um invasor obtenha escalonamento de privilégios e mova-se lateralmente dentro do ambiente de nuvem da empresa, conseguindo assim chaves privadas de certificado, informações confidenciais e credenciais de banco de dados, habilitando acesso a informações confidenciais.
Essencialmente, assistimos a uma mudança nas invasões. Antes focadas em atacar recursos do ambiente da nuvem, as incursões agora têm como alvo as contas desse ambiente. Essa mudança abriu a porta para vetores de ataque com base na suposição de função (a capacidade de obter permissões de curto prazo para recursos autorizados) que geralmente permite grandes operações dentro do ambiente de nuvem, incluindo roubo de dados. De acordo com pesquisadores de segurança, as funções de gerenciamento de identidade e acesso (IAM) podem ser exploradas por 22 APIs encontradas em 16 serviços da AWS. Explorações de escalada de privilégios com base em configurações de permissão também podem ser encontradas no Salesforce, que, ao contrário do AWS, é uma solução SaaS –Software as a Service.
Essa nova classe de ataques de escalada de privilégios, aproveitando os componentes estruturais da infraestrutura em nuvem, muitas vezes pode ser alcançada encadeando várias vulnerabilidades e configurações incorretas. O acesso inicial pode ser obtido por meio de um aplicativo exposto hospedado na nuvem e usado pelos invasores para obter o token necessário para ter permissões elevados. Isso permite aos hackers se moverem lateralmente dentro dos diferentes segmentos do ambiente, aumentando gradualmente os privilégios.
Os ataques dependem da compreensão dos componentes, da arquitetura e da política de confiança de provedores de IaaS Infraestrutura como Serviço, como Amazon, e SaaS para “construir” ataques sofisticados em vários estágios. Isso está em contraste com os tipos de violação de dados anteriormente comuns, que dependiam principalmente de configurações mal configuradas, como recipientes de armazenamento AWS S3 expostos publicamente.
Proteção dos privilégios
Então, como as organizações devem fazer para eliminar lacunas de segurança e vulnerabilidades que podem ser exploradas por cibercriminosos? Como vimos anteriormente com o ataque Sunburst, às vezes a falha está em um aplicativo específico ou em vários em seus ambientes. Isso significa que é fundamental monitorar os patches de segurança para todos os programas usados e aplicá-los o mais rápido possível para minimizar a oportunidade de invasão. Também é útil garantir que serviços desnecessários sejam desativados para minimizar os pontos de acesso à rede.
As organizações também devem projetar suas redes e infraestruturas de nuvem de acordo com os princípios de privilégios mínimos, de modo que os usuários não tenham acesso a serviços que provavelmente não usarão. Muitos ataques contam com cadeias de exploração que combinam vulnerabilidades em diversos sistemas, portanto, quebrar um elo dessa cadeia pode frequentemente interromper o ataque inteiro. Por fim, as empresas precisam obter visibilidade holística em todos os seus ambientes de nuvem pública e implantar proteções nativas da nuvem unificadas e automatizadas. Dessa forma, as companhias podem acompanhar as demandas de negócios com segurança e conformidade contínuas.
