Combate às violações de dados causadas por aplicativos mal configurados

Desde o início da pandemia, vimos um aumento dramático no número de ataques cibernéticos e violações de dados. E com muito sucesso, os agentes de ameaças estão abusando do medo e do pânico que essas condições adversas estão causando. Como resultado, houve um aumento vertiginoso no número de trojans com o tema COVID, ataques de ransomware, bem como fraudes e ataques de phishing em organizações e setores. À medida que mais organizações migram para o trabalho remoto, com políticas e estratégias inadequadas, elas apostam na segurança de dados de seus próprios funcionários e da empresa e nos controles privilegiados. E isso serviu como catalisador para um maior número de violações de dados em todo o mundo.

Este artigo analisa as várias maneiras pelas quais as violações de dados podem ocorrer e as práticas de segurança para garantir que sua organização não seja afetada por:

• Configurações incorretas na nuvem
• Exposições do Elasticsearch
• API/portais internos expostos
• Ataques de phishing e divulgação de credenciais
• WiFi inseguro/sem VPN

Configurações incorretas na nuvem

Configurações incorretas na nuvem levaram a grandes violações de dados. Por exemplo, as violações de dados “Capital One” e “Imperva” foram causadas pela divulgação das chaves de API da AWS.

Pesquisa da Fugue mostra que 84% dos 300 profissionais de TI pesquisados acreditam que já são vítimas de violações de nuvem não descobertas.

Conforme apontado pela pesquisa, as causas mais comuns de configurações incorretas na nuvem são:

• Lfalta de conhecimento sobre a segurança na nuvem e as políticas relacionadas,
• Controles insuficientes e lapso na supervisão,
• Muitas APIs de nuvem para governar adequadamente e
• Atividades internas negligentes

Embora as operações em nuvem retirem uma carga considerável dos desenvolvedores e facilitem o gerenciamento e o monitoramento de vários serviços, a aplicação de políticas adequadas de controle de acesso, gerenciamento de usuários, gerenciamento de chaves de acesso e controle de acesso à API se torna essencial.

Como evitar a configuração incorreta da nuvem

• Entenda e utilize o modelo de segurança de “responsabilidade compartilhada”.
• Garanta várias verificações ao transferir as operações para a nuvem, considerando cuidadosamente as funções do IAM, as permissões da conta do usuário, as rotações de chaves, as contas de teste e as permissões do bucket de armazenamento.
• Analise cuidadosamente as regras de tráfego de entrada e saída para a VPC. Os grupos de segurança também são suscetíveis a configurações incorretas. Portanto, aplique uma política de confiança zero e habilite os registros e o monitoramento da VPC.
• Configure a análise comportamental e o monitoramento de atividades, além de políticas rígidas de acesso.

Exposições do Elasticsearch

O Elasticsearch é um mecanismo de busca que indexa dados na forma de documentos. Normalmente, o tamanho dos dados que esse mecanismo indexa é muito grande e o resultado indexado inclui metadados, informações pessoais do usuário, e-mails ou registros de aplicativos e muito mais. O serviço, por padrão, é executado na porta TCP 9200. Além disso, a maioria das instâncias do Elasticsearch são versões gratuitas do software auto-hospedadas.

Monitor de infraestrutura do CloudSEK xVigil detectou um aumento significativo nas instâncias do Elasticsearch em execução na porta padrão. Mas isso não é raro nos dias de hoje. Recentemente, uma empresa de segurança sediada no Reino Unido expôs acidentalmente um cluster do Elasticsearch, vazando mais de 5 bilhões de documentos de dados violados entre 2012 e 2019.

Como proteger o Elasticsearch

• Impeça o acesso aos clusters do Elasticsearch pela Internet. Essa é a melhor abordagem para a maioria dos bancos de dados.
• Pratique a “segurança por obscuridade”, em que os serviços instalados não são executados na porta padrão. Essa medida não apenas resolve o problema, mas reduz drasticamente as chances de exploração, mesmo por meio de ataques desfocados.
• Realize avaliações periódicas das redes de fornecedores/parceiros e garanta que seus controles de segurança estejam configurados adequadamente. A configuração incorreta da infraestrutura privada, bem como a de parceiros e fornecedores que possuem dados críticos, afeta negativamente os negócios.
• Analise e teste cada ponto de entrada em potencial para qualquer fonte/funcionalidade de dados crítica. Isso inclui ferramentas complementares, usadas para expandir os recursos de um aplicativo. A maioria dos usuários instala o Kibana junto com o Elasticsearch, o que ajuda a visualizar os dados dos índices do Elasticsearch. Os painéis do Kibana geralmente não são autenticados, concedendo inadvertidamente a qualquer pessoa acesso aos dados indexados.
• Criptografe os dados armazenados para torná-los inúteis para o atacante, mesmo que estejam acessíveis.
• Use os métodos de segurança do Elasticsearch para autenticação, incluindo:
  • Autenticação de usuário do Active Direc
  • Autenticação de usuário baseada em arquivos
  • LDAP
  • SAML
  • PKI
  • Kerberos

• Aplique a política de controle de acesso baseada em funções para usuários que acessam o cluster.
• Atualize as versões do Elasticsearch regularmente para proteger o cluster de explorações frequentes que afetam as versões mais antigas.
• Faça backup dos dados armazenados no cluster de produção. Isso é tão importante quanto as medidas de segurança adotadas. Um recente campanha de ataque acessaram até 15.000 clusters do Elasticsearch e seu conteúdo foi apagado usando um script automatizado.

APIs/portais internos expostos

As organizações implantam vários aplicativos para uso interno. Isso inclui ferramentas de gerenciamento de RH, aplicativos de registro de presença, portais de compartilhamento de arquivos etc. No caso de toda a força de trabalho mudar para o trabalho remoto, como agora, fica difícil rastrear o acesso e o uso desses aplicativos. Ainda por cima, os aplicativos estão cada vez mais autorizando o tráfego da Internet, em vez das redes locais do escritório. Como resultado, aplicativos e APIs, que não têm autenticação ou usam credenciais padrão, estão surgindo cada vez mais na Internet.

Nas últimas duas semanas, vários portais de RH, aplicativos de folha de pagamento, painéis de gerenciamento de leads, APIs REST internas e servidores FTP compartilhados surgiram na Internet. A maioria dos aplicativos é auto-hospedada e suas senhas padrão podem ser usadas para acessá-los. O xVigil detectou várias instâncias de diretórios que contêm relatórios de transações, documentos de informações de funcionários etc. sendo servidos sem qualquer autenticação.

Como evitar a divulgação de dados por meio de APIs/portais

• As equipes de segurança devem testar esses aplicativos minuciosamente.
• Monitore continuamente todos os servidores voltados para a Internet.

Ataques de phishing e divulgações de credenciais

Com uma força de trabalho remota se comunicando principalmente por meio de canais baseados em texto, como e-mails, bate-papos e SMS, ficou muito mais fácil para as campanhas de phishing aproveitarem a força de trabalho distribuída. Consequentemente, o número de ataques de spear phishing aumentou. Pesquisadores de Barracuda têm notado Três tipos principais de ataques de phishing nos últimos dois meses:

• Fraude
• Representação de marca
• Compromisso de e-mail comercial (BEC)

Indivíduos são vítimas de ataques de phishing, especialmente durante a pandemia, devido a:

• Falta de comunicação direta
• Ausência de processos e estratégias para situações como essa
• Falta de consciência

Como os e-mails que usam a palavra COVID têm taxas de cliques mais altas agora, os golpistas os usam cada vez mais como iscas para espalhar anexos maliciosos. Depois que o anexo é baixado e a carga útil do malware é eliminada, os agentes de ameaças podem acessar as teclas digitadas, os arquivos, a webcam ou instalar outro malware ou ransomware. (Acesse as informações sobre ameaças do CloudSEK sobre golpes e ataques com o tema COVID)

Como se preparar para ataques de phishing

• Seja extremamente cauteloso com qualquer e-mail que você receber.
• Verifique a origem do e-mail antes de clicar em qualquer link ou anexo.
• Mesmo que os links pareçam legítimos, verifique se há arquivos maliciosos. Por exemplo: passar o mouse sobre o anexo mostrará sua URL real.

WiFi inseguro/sem VPN

Atualmente, toda força de trabalho remota está conectada a seus dispositivos e redes pessoais. Portanto, a conectividade desses dispositivos deve ser protegida.

Como evitar ataques via Wi-Fi

• Para evitar ataques de força bruta, defina senhas complexas para o roteador. Se o roteador for um modelo antigo, ele pode usar criptografia fraca para conexões, que podem ser quebradas em pouco tempo.
• Funcionários que trabalham em espaços compartilhados, como albergues, também podem estar conectados a redes Wi-Fi compartilhadas. Portanto, para garantir que os dados não sejam adulterados nesses canais inseguros, configure uma VPN. Caso sua organização não forneça uma VPN empresarial, não baixe VPNs gratuitas que possam registrar seus dados de tráfego.