O que é uma superfície de ataque e por que você deve se preocupar

Wright Studio / Shutterstock

Sua superfície de ataque é a soma das oportunidades dentro de sua rede que um cibercriminoso pode atacar e explorar. Para minimizar o risco cibernético, você precisa entender e gerenciar sua superfície de ataque.

Sua superfície de ataque

A superfície de ataque de uma organização geralmente é descrita como a soma das maneiras pelas quais a organização pode ser violada. Esse é um ponto de vista autolimitado. Ele assume que a coleção de vetores de ataque conhecidos é uma lista completa das vulnerabilidades que os cibercriminosos podem tentar explorar.

Uma definição melhor é que sua superfície de ataque é a soma de todos os ativos de TI expostos aos invasores. Quer tenham vulnerabilidades conhecidas ou não, qualquer entidade de TI exposta – de servidores a APIs — deve ser considerada parte da sua superfície de ataque. Uma nova vulnerabilidade que compromete um de seus ativos pode ser descoberta a qualquer momento.

RELATEDFrom Lone Wolf to Organized Crime - De onde vêm as ameaças cibernéticas

Qualquer coisa que esteja exposta a risco cibernético — que se assemelhe principalmente ao mundo exterior — é um alvo potencial. Sua superfície de ataque é a área-alvo total que você apresenta aos cibercriminosos. Nem é preciso dizer que quanto menor for a área-alvo total, melhor. Mas sem estar completamente fora da grade, é impossível para uma organização não ter uma superfície de ataque de uma forma ou de outra.

Publicidade

Se você vai ficar preso a uma superfície de ataque, o único curso de ação sensato é entendê-la, tentar racionalizá-la e minimizá-la, e proteger o que permanece como da melhor forma possível.

Mapeando sua superfície de ataque

A pandemia COVID-19 de 2020 levou a uma migração repentina do trabalho em escritório para o trabalho em casa para muitos funcionários. Chamar isso de “ migração ” talvez seja ser gentil. Em muitos casos, o que aconteceu foi mais como abandonar o navio. De qualquer forma, foi um exemplo de uma mudança dramática e imprevista no estado de TI.

RELACIONADO O problema com senhas são pessoas

Em circunstâncias normais, as alterações não triviais são — teoricamente — planejadas com bastante antecedência e conduzidas de forma controlada e ponderada. Mudar de um aplicativo crítico de linha de negócios para outro ou mudar de local para computação em nuvem são exemplos do que geralmente se entende por “ migração. ”

Deixando de lado as diferenças na execução, em ambos os casos você mudou sua superfície de ataque. Tanto as mudanças planejadas quanto as forçadas irão expor diferentes ativos de TI a riscos. Mas eles podem remover ou reduzir riscos em outras áreas.

Não é fácil visualizar tudo isso, nem avaliar o impacto das mudanças. Para organizações com vários locais, o problema é ainda mais difícil. Uma maneira de controlar isso é plotar seus ativos de TI, incluindo software, em um eixo de um gráfico e representar ameaças e vulnerabilidades no outro. Para cada vulnerabilidade que se aplica a um ativo, coloque um marcador onde eles se cruzam. O gráfico resultante é uma aproximação de sua superfície de ataque.

Estão disponíveis pacotes de software que ajudarão no mapeamento da sua superfície de ataque. Automatizar o processo garantirá que você não se esqueça de sistemas, software ou APIs legados semi-dormentes que podem facilmente passar despercebidos. Esses pacotes são particularmente úteis para descobrir “ skunkworks ” iniciativas e outras TI sombra que não foram fornecidas e implementadas por sua equipe de TI. O software Attack Surface Management (ASM) também fornece funcionalidade de monitoramento e alerta.

O Open Web Application Security Project (OWASP) criou um Detector de superfície de ataque de código aberto projetado para descobrir endpoints, parâmetros e tipos de dados de parâmetros de um aplicativo da web. Ele é executado como um plug-in para as populares plataformas de teste de segurança OWASP ZAP e PortSwigger Burp Suite.

Publicidade

Ferramentas como essas se concentram nos aspectos digitais da superfície de ataque. Eles não consideram a segurança física de suas instalações, nem a conscientização de sua equipe sobre segurança cibernética. A segurança física e as medidas de acesso controlam quem pode entrar em seu prédio e para onde essa pessoa pode ir depois de entrar. O treinamento de conscientização de cibersegurança capacita sua equipe a adotar as melhores práticas de segurança cibernética, reconhecer ataques de phishing, técnicas de engenharia social e, em geral, os incentiva a pecar por excesso de cautela.

Quer você os junte ao seu serviço de ataque digital em uma superfície de uber-ataque ou não, o acesso físico e o treinamento de conscientização sobre segurança cibernética não podem ser ignorados nem tratados como cidadãos de segunda classe. Todos eles fazem parte da sua governança geral de segurança. Esteja ciente de que a maioria dos softwares ASM só oferece benefícios quando se considera sua superfície de ataque digital.

RELACIONADO: Usando 2FA? Excelente. Mas não é infalível

Racionalize e monitore sua superfície de ataque

Armado com as informações de sua auditoria manual da superfície de ataque ou os relatórios de seu software ASM, você pode revisar criticamente os atributos de sua superfície de ataque. Precisamente, o que o torna do tamanho que tem e quão vulnerável é?

Os ativos precisam ser agrupados de acordo com sua criticidade e sensibilidade. Eles são essenciais se afetarem de maneira adversa e significativa a operação de sua organização. se eles foram comprometidos. Eles são confidenciais se lidam com dados pessoais ou qualquer informação privada da empresa.

Todos os ativos são obrigatórios em sua forma atual? Alguns podem ser combinados, aumentando a segurança e reduzindo custos? Os projetos de TI sombra precisam ser encerrados ou transferidos para o patrimônio corporativo? A topologia da sua rede ainda é o layout ideal para as necessidades da sua organização hoje, em termos de funcionalidade, produtividade e segurança? Todas as contas administrativas ou outras contas privilegiadas ainda têm um caso de negócios sólido por trás delas?

Depois de fazer todas as perguntas levantadas pela auditoria e concordar com as respostas, quase certamente haverá trabalho corretivo necessário para fechar vulnerabilidades e proteger a rede. Depois de concluído, verifique novamente ou audite novamente sua rede para estabelecer uma linha de base de sua superfície de ataque e, em seguida, monitore as alterações.

RELACIONADO: Como se defender contra rootkits

Inteligência acionável

Os sistemas de gerenciamento da superfície de ataque fornecem — em graus diferentes — um painel que mostra o status em tempo real dos ativos que constituem sua superfície de ataque. Os alertas notificam sobre acréscimos ou alterações que afetam sua superfície de ataque. A criticidade e a sensibilidade de seus ativos de TI guiarão sua priorização desses ativos. Certifique-se de que os ativos de alta prioridade sejam exibidos com destaque no painel ou, pelo menos, tenha os mecanismos de alerta mais abrangentes aplicados a eles.

Publicidade

Obter insights sobre a superfície de ataque, racionalizar, protegê-la e monitorá-la são etapas importantes, mas não significam nada se você não reagir às informações que seu software ASM fornece. Isso pode ser tão simples quanto aplicar patches ou investigar eventos inexplicáveis.

Você já terá um processo completo de gerenciamento de patches e uma programação para lidar com lançamentos de patches programados e patches de emergência extraordinários. Se o ASM sinalizar que um endpoint com vulnerabilidades foi conectado à rede, sua equipe pode decidir se deseja removê-lo da rede ou atualizá-lo. Lidar com as exceções ao seu regime de patch regular torna o processo de seleção de outliers muito mais fácil.

RELACIONADO: Por que algumas portas de rede são arriscadas e como você as protege?

Evolua para sobreviver

O gerenciamento da superfície de ataque está se tornando uma prioridade para muitas organizações. O número e o tipo de dispositivos conectados às redes estão crescendo e mudando. A mudança durante a noite para o trabalho em casa é um exemplo. O crescimento explosivo dos dispositivos da Internet das Coisas e a computação híbrida ou em nuvem são outros.

A superfície de ataque está evoluindo mais rápido do que nunca. É por isso que o gerenciamento proativo e o monitoramento são essenciais.