Agências revelam top 10 erros de configuração de cibersegurança

Da Redação
06/10/2023

A Agência de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram relatório com as dez configurações incorretas de segurança cibernética mais comuns descobertas por suas equipes nas redes de grandes organizações. O documento também detalha quais táticas, técnicas e procedimentos (TTPs) operadores de ameaças usam para explorar com sucesso essas configurações incorretas com vários objetivos, incluindo obter acesso, mover-se lateralmente e direcionar informações ou sistemas confidenciais.

As informações incluídas no relatório foram coletadas pelas equipes Red Team e Blue Team das duas agências durante as avaliações e durante as atividades de resposta a incidentes. “As equipes avaliaram a postura de segurança de muitas redes em todo o Departamento de Defesa (DoD), Poder Executivo Civil Federal (FCEB), governos estaduais, locais, tribais e territoriais (SLTT) e o setor privado”, disse a NSA.

As avaliações mostraram como configurações incorretas comuns, como credenciais padrão, permissões de serviço e configurações de software e aplicativos; separação indevida de privilégio usuário-administrador; monitoramento insuficiente da rede interna; má gestão de patches coloca todos os americanos em risco — mas têm similaridade com vários outros países e organizações.

As dez principais configurações de rede mais predominantes descobertas durante as avaliações das equipes Red e Blue Team e pelas equipes de hunt e resposta a incidentes da NSA e da CISA incluem:

  1. Configurações padrão de software e aplicativos
  2. Separação inadequada do privilégio de usuário-administrador
  3. Monitoramento insuficiente da rede interna
  4. Falta de segmentação da rede
  5. Gerenciamento de patches ruim
  6. Desvio dos controles de acesso ao sistema
  7. Métodos de autenticação multifator (MFA) fracos ou mal configurados
  8. Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
  9. Má higiene das credenciais
  10. Execução irrestrita de código

Como afirmado na assessoria conjunta, esses erros comuns de configuração retratam vulnerabilidades sistêmicas dentro das redes de inúmeras grandes organizações. Isso ressalta a necessidade de os fabricantes de software adotarem princípios de segurança por projeto, mitigando assim o risco de comprometimento.

As agências pedem aos fabricantes de software que adotem também um conjunto de práticas proativas, com o objetivo de combater efetivamente essas configurações incorretas e aliviar os desafios enfrentados pelos defensores de rede. Isso inclui a integração de controles de segurança na arquitetura do produto desde os estágios iniciais de desenvolvimento e durante todo o ciclo de vida de desenvolvimento de software.

Além disso, os fabricantes devem parar de usar senhas padrão e garantir que o comprometimento de um único controle de segurança não comprometa a integridade de todo o sistema. Tomar medidas proativas para eliminar categorias inteiras de vulnerabilidades, como utilizar linguagens de codificação seguras para memória ou implementar consultas parametrizadas, também é essencial.

É imperativo exigir a autenticação multifator (MFA) para usuários privilegiados e estabelecer a MFA como um recurso padrão, tornando-a uma prática padrão em vez de uma escolha opcional.

Veja isso
Erros de configuração e bugs são os maiores riscos para a nuvem
Má configuração causou maioria de incidentes de nuvem em 2021

A NSA e a CISA também incentivam os defensores de rede a implementar as medidas de mitigação recomendadas para reduzir o risco de invasores explorarem essas configurações incorretas comuns.

As mitigações que teriam esse efeito incluem:

  • eliminar credenciais padrão e configurações de proteção,
  • desativar serviços não utilizados e implementar controles de acesso rigorosos,
  • garantir atualizações regulares e automatizar o processo de aplicação de patches, dando prioridade à correção de vulnerabilidades conhecidas que foram exploradas,
  • e reduzir, restringir, auditar e monitorar de perto as contas e privilégios administrativos.

Além de aplicar as mitigações de esboço, a NSA e a CISA recomendam “exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise” no comunicado. As duas agências federais também aconselham testar o inventário de controles de segurança existentes para avaliar seu desempenho em relação às técnicas de ATT&CK descritas no comunicado.

Compartilhar: