.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) detalhou como, durante uma avaliação da equipe vermelha de segurança cibernética, conseguiu obter acesso à rede de uma grande organização de infraestrutura crítica – e como as lições aprendidas podem ajudar outras pessoas a fortalecer sua rede segurança
O exercício da equipe vermelha contra a rede da “grande organização de infraestrutura crítica” não identificada ocorreu depois que a organização solicitou à CISA para testar sua postura de segurança cibernética.
Também: Hackers do Google: dentro da equipe vermelha de segurança cibernética que mantém o Google seguro
Uma equipe vermelha é um grupo de especialistas em segurança cibernética encarregados de pensar como invasores cibernéticos maliciosos, usando técnicas ofensivas de hacking para sondar as defesas da rede e testar como os defensores – a equipe azul – reagirão e, em seguida, relatarão o que aconteceu para que o cliente que solicitou o exercício red team pode melhorar sua segurança cibernética.
De acordo com a análise do teste feita pela CISA, houve 13 ocasiões em que o red team agiu de forma a provocar uma resposta das pessoas, processos e tecnologia que defendem a rede da organização.
Mas muitas dessas ações potencialmente maliciosas não foram detectadas.
“A equipe vermelha da CISA obteve acesso persistente à rede da organização, moveu-se lateralmente por vários locais separados geograficamente e obteve acesso a sistemas adjacentes aos sistemas de negócios confidenciais da organização”, disse a CISA.
Também: As melhores chaves de segurança
Como muitos ataques cibernéticos, esse exercício de equipe vermelha começou com ataques de phishing, enviando e-mails direcionados especificamente para funcionários em várias localizações geográficas da organização.
A equipe vermelha conseguiu isso usando pesquisa de código aberto para encontrar possíveis alvos para ataques de spear phishing, juntamente com seus endereços de e-mail, e usando contas configuradas em plataformas de e-mail disponíveis comercialmente para enviar e-mails de spear phishing personalizados para sete alvos em potencial.
Mas esses e-mails de phishing não começaram apenas com o envio de um link malicioso do nada – os red teamers da CISA conseguiram construir relacionamento e confiança com alguns dos alvos em vários e-mails antes de pedir que aceitassem um convite para uma reunião virtual. .
Este convite levou as vítimas a um domínio controlado pela equipe vermelha, executando uma carga maliciosa que forneceu acesso aos atacantes da equipe vermelha. Duas vítimas caíram nos ataques de phishing, fornecendo à equipe vermelha acesso a estações de trabalho em dois locais diferentes.
Também: O Reddit foi atingido por um ataque de phishing. Como ele respondeu é uma lição para todos
Aproveitando esse acesso, a equipe vermelha examinou os arquivos do SharePoint para identificar quais usuários tinham acesso administrativo. Em seguida, eles usaram essas informações para lançar uma segunda campanha de phishing contra esses usuários. Um deles foi vítima disso, fornecendo à equipe vermelha acesso à sua estação de trabalho e privilégios de administrador.
Usando esse acesso adicional, os invasores se movimentaram pela rede, reunindo mais nomes de usuários e senhas e maior persistência na rede, comprometendo estações de trabalho adicionais com acesso de administração, incluindo servidores.
Agora, a equipe vermelha tinha o que a CISA descreve como “acesso profundo e persistente estabelecido nas redes e sub-redes da organização”, o que lhes permitia acessar um gerenciador de senhas usado pelos funcionários, reunir credenciais de texto simples em bancos de dados, acessar servidores de backup e até obter acesso ao que é detalhado como “sistemas adjacentes aos sistemas de negócios sensíveis da organização”.
Também: O e-mail é nossa maior ferramenta de produtividade. É por isso que o phishing é tão perigoso
Embora o teste red team tenha exposto vários pontos fracos de segurança na rede, de acordo com a CISA, também há pontos positivos a serem retirados do exercício – incluindo o fato de que a organização solicitou um exercício de teste vermelho e está investindo no fortalecimento de sua rede com base nas descobertas.
Outros pontos positivos incluem como a equipe vermelha teve que reverter para e-mails de phishing porque não conseguiu descobrir nenhum serviço, porta ou interface da Web facilmente explorável de mais de três milhões de IPs externos no escopo. Além disso, as senhas eram fortes, impedindo que os Red Teamers conseguissem decifrá-las com ataques de força bruta.
Também: As melhores VPNs
A organização também tinha autenticação multifator (MFA) para impedir o acesso a sistemas comerciais confidenciais, impedindo que a equipe vermelha usasse credenciais roubadas para acessá-los.
A CISA fez várias recomendações à organização para melhorar a segurança cibernética – e essas recomendações também são úteis para outras pessoas que desejam fortalecer suas defesas de rede.
Entre essas recomendações estão:
- Estabeleça uma linha de base de segurança do que é atividade de rede normal, de modo que um comportamento potencialmente anômalo ou mal-intencionado pode ser detectado antes que um intruso obtenha acesso adicional à rede.
- Faça avaliações regulares da rede para garantir que os procedimentos de segurança estejam funcionando e possam ser facilmente seguidos pela equipe de segurança da informação e pelos usuários finais.
- Usar resistente a phishing autenticação multifator na medida do possível, a fim de impedir que invasores acessem automaticamente contas para as quais roubaram senhas.
.
