A Agência de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicaram relatório com as dez configurações incorretas de segurança cibernética mais comuns descobertas por suas equipes nas redes de grandes organizações. O documento também detalha quais táticas, técnicas e procedimentos (TTPs) operadores de ameaças usam para explorar com sucesso essas configurações incorretas com vários objetivos, incluindo obter acesso, mover-se lateralmente e direcionar informações ou sistemas confidenciais.
As informações incluídas no relatório foram coletadas pelas equipes Red Team e Blue Team das duas agências durante as avaliações e durante as atividades de resposta a incidentes. “As equipes avaliaram a postura de segurança de muitas redes em todo o Departamento de Defesa (DoD), Poder Executivo Civil Federal (FCEB), governos estaduais, locais, tribais e territoriais (SLTT) e o setor privado”, disse a NSA.
As avaliações mostraram como configurações incorretas comuns, como credenciais padrão, permissões de serviço e configurações de software e aplicativos; separação indevida de privilégio usuário-administrador; monitoramento insuficiente da rede interna; má gestão de patches coloca todos os americanos em risco — mas têm similaridade com vários outros países e organizações.
As dez principais configurações de rede mais predominantes descobertas durante as avaliações das equipes Red e Blue Team e pelas equipes de hunt e resposta a incidentes da NSA e da CISA incluem:
- Configurações padrão de software e aplicativos
- Separação inadequada do privilégio de usuário-administrador
- Monitoramento insuficiente da rede interna
- Falta de segmentação da rede
- Gerenciamento de patches ruim
- Desvio dos controles de acesso ao sistema
- Métodos de autenticação multifator (MFA) fracos ou mal configurados
- Listas de controle de acesso (ACLs) insuficientes em compartilhamentos e serviços de rede
- Má higiene das credenciais
- Execução irrestrita de código
Como afirmado na assessoria conjunta, esses erros comuns de configuração retratam vulnerabilidades sistêmicas dentro das redes de inúmeras grandes organizações. Isso ressalta a necessidade de os fabricantes de software adotarem princípios de segurança por projeto, mitigando assim o risco de comprometimento.
As agências pedem aos fabricantes de software que adotem também um conjunto de práticas proativas, com o objetivo de combater efetivamente essas configurações incorretas e aliviar os desafios enfrentados pelos defensores de rede. Isso inclui a integração de controles de segurança na arquitetura do produto desde os estágios iniciais de desenvolvimento e durante todo o ciclo de vida de desenvolvimento de software.
Além disso, os fabricantes devem parar de usar senhas padrão e garantir que o comprometimento de um único controle de segurança não comprometa a integridade de todo o sistema. Tomar medidas proativas para eliminar categorias inteiras de vulnerabilidades, como utilizar linguagens de codificação seguras para memória ou implementar consultas parametrizadas, também é essencial.
É imperativo exigir a autenticação multifator (MFA) para usuários privilegiados e estabelecer a MFA como um recurso padrão, tornando-a uma prática padrão em vez de uma escolha opcional.
Veja isso
Erros de configuração e bugs são os maiores riscos para a nuvem
Má configuração causou maioria de incidentes de nuvem em 2021
A NSA e a CISA também incentivam os defensores de rede a implementar as medidas de mitigação recomendadas para reduzir o risco de invasores explorarem essas configurações incorretas comuns.
As mitigações que teriam esse efeito incluem:
- eliminar credenciais padrão e configurações de proteção,
- desativar serviços não utilizados e implementar controles de acesso rigorosos,
- garantir atualizações regulares e automatizar o processo de aplicação de patches, dando prioridade à correção de vulnerabilidades conhecidas que foram exploradas,
- e reduzir, restringir, auditar e monitorar de perto as contas e privilégios administrativos.
Além de aplicar as mitigações de esboço, a NSA e a CISA recomendam “exercitar, testar e validar o programa de segurança da sua organização contra os comportamentos de ameaça mapeados para a estrutura MITRE ATT&CK for Enterprise” no comunicado. As duas agências federais também aconselham testar o inventário de controles de segurança existentes para avaliar seu desempenho em relação às técnicas de ATT&CK descritas no comunicado.