.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA) estão culpando as credenciais padrão inalteradas como a principal configuração incorreta de segurança que leva a ataques cibernéticos.
Manter as credenciais padrão em software, sistemas e aplicativos superou as dez principais configurações incorretas de segurança cibernética das agências, com base em dados extraídos de seus exercícios de equipe vermelha e azul.
O comunicado de segurança cibernética (CSA) divulgado esta semana tem como objetivo incentivar os fabricantes de software a adotarem princípios de segurança desde o design e segurança por padrão ao longo de todo o ciclo de desenvolvimento.
As configurações erradas na CSA ilustram uma tendência de fraquezas sistémicas em muitas grandes organizações, incluindo aquelas com posturas cibernéticas maduras, e realçam a importância dos fabricantes de software adoptarem princípios de segurança desde a concepção para reduzir a carga sobre os defensores da rede.
Ocupando os outros três primeiros lugares da lista estão “separação inadequada de privilégios de usuário e administrador” em segundo lugar, e em terceiro “monitoramento de rede insuficiente”.
Os administradores de TI muitas vezes atribuem várias funções a uma conta, diz o CSA. É um problema por vários motivos, mas talvez o mais importante é que impede que as ferramentas de monitoramento de rede identifiquem atividades suspeitas na conta.
Se a conta de um funcionário de baixo nível receber permissões desnecessariamente grandes, isso significa que ele poderá acessar uma área da rede reservada apenas para um número finito de usuários, geralmente porque essas áreas abrigam dados confidenciais.
Se essa conta for comprometida e controlada por invasores, como em um ataque de phishing, por exemplo, a atividade maliciosa se tornará quase impossível de detectar porque o monitoramento de rede a vê como uma conta privilegiada que acessa parte da rede à qual é permitida – portanto, não há problema.
Este chamado “aumento de privilégios” pode ocorrer em organizações em expansão com repetidas mudanças no gerenciamento de contas, pessoal e requisitos de acesso, afirma o CSA.
“Através da análise de grupos de AD tópicos e aninhados, um ator mal-intencionado pode encontrar uma conta de usuário que recebeu privilégios de conta que excedem sua função de necessidade de conhecimento ou de privilégio mínimo.
“O acesso estranho pode levar a caminhos fáceis para acesso não autorizado a dados e recursos e escalada de privilégios no domínio alvo.”
No que diz respeito ao monitoramento de rede, a configuração insuficiente dessas ferramentas também é considerada um sério risco à segurança, especialmente quando os sensores do host e da rede não estão configurados adequadamente para coleta de tráfego e registro do host final.
Num exercício, as agências observaram uma organização com monitorização baseada em anfitrião configurada corretamente, mas sem monitorização de rede por completo.
As organizações podem se beneficiar da capacidade do monitoramento baseado em host de sinalizar atividades potencialmente maliciosas em um único host, mas o monitoramento da rede alerta para atividades suspeitas que se movem lateralmente pela rede.
A organização em questão conseguiu identificar os hosts infectados, mas não conseguiu ver de onde vinham nem impedir infecções adicionais.
O lista completa [PDF]:
- Configurações padrão de software e aplicativos
- Separação inadequada de privilégios de usuário/administrador
- Monitoramento de rede interna insuficiente
- Falta de segmentação de rede
- Mau gerenciamento de patches
- Ignorar controles de acesso ao sistema
- Métodos de autenticação multifator (MFA) fracos ou mal configurados
- Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
- Má higiene de credenciais
- Execução irrestrita de código
EUA permanecem firmes na segurança desde o projeto
A adoção de abordagens de segurança desde a conceção e segurança por defeito tem sido um dos objetivos mais claros e mais comunicados do governo dos EUA nos últimos anos.
O tema está rotineiramente na vanguarda das políticas relacionadas à segurança cibernética e muitas vezes é apresentado como uma ideia por meio de postagens em blogs e avisos.
As agências de segurança dos países da aliança de inteligência Five Eyes, da qual os EUA são membros, juntamente com as da Alemanha e da Holanda, publicaram em conjunto orientação [PDF] sobre o assunto no início deste ano.
Marcou a intenção séria dos países de encorajar os fabricantes de tecnologia a parar de enviar produtos com vulnerabilidades exploráveis conhecidas, algo que os EUA têm tentou consagrar em sua própria lei.
A Lei de Autorização de Defesa Nacional para o ano fiscal de 2023 foi aprovada na Câmara dos Representantes, mas ainda não foi formalmente aprovada como lei nos EUA.
O projeto de lei, que se não fosse alterado, proibiria o Departamento de Segurança Interna (DHS) de comprar software com quaisquer vulnerabilidades conhecidas, causou grande rebuliço no ano passado quando foi proposto, dividindo as opiniões dos principais especialistas em segurança da informação que trabalham no setor. campo.
Alguns especialistas que falaram na altura criticaram o projecto de lei por ser excessivamente restritivo e por nem todas as vulnerabilidades serem graves ou exigirem mitigação, e alguns disseram que colocaria o DHS numa posição impossível do ponto de vista de compras.
Outros apontaram que o projeto de lei não é tão restritivo quanto muitos pensavam inicialmente; o DHS poderia comprar software com vulnerabilidades conhecidas, desde que estivessem disponíveis mitigações eficazes.
Deixando de lado a legislação questionável, as menções à segurança desde o projeto estavam espalhadas por todo o Estratégia Nacional de Segurança Cibernética dos EUAque foi anunciado em março deste ano.
Também esteve no topo da agenda do primeiro plano de implementação da administração Biden-Harris para essa estratégia, publicado em julho.
Nele, a CISA foi incumbida de promover melhores relações entre os setores público e privado, a academia e a comunidade de software de código aberto, para impulsionar ainda mais a adoção de princípios de segurança desde a conceção em software e hardware a nível nacional.
Na verdade, a segurança desde a concepção não dá sinais de desaparecer da lista de prioridades do governo dos EUA, mas permanece sem resposta se a indústria em geral adopta esta prática.
“Garantir que o software seja seguro desde o design ajudará a manter todas as organizações e todos os americanos mais seguros”, disse a CISA, ao anunciar a CSA.
“Sabemos que nem o governo nem a indústria podem resolver este problema sozinhos, devemos trabalhar juntos. Continuamos a apelar a todas as empresas de software para que se comprometam com os princípios de segurança desde a concepção e dêem o próximo passo crítico de publicar um roteiro que estabeleça seu plano de criar produtos que sejam seguros por design ‘prontos para uso’.” ®
.
