A notícia publicada por CISO Advisor sobre um ataque cibernético a uma estação de tratamento de água na Flórida, Estados Unidos, foi um choque para organizações em todo o mundo.
O ciberataque com ar vilanesco digno de quadrinhos ou produção hollywoodiana enviou um alerta. Com o acesso remoto aos sistemas de controle da planta por meio do aplicativo TeamViewer, o invasor aumentou a quantidade de hidróxido de sódio (soda cáustica) na água para níveis perigosamente elevados. Felizmente, no entanto, um operador vigilante na planta identificou essa atividade incomum em tempo real e agiu a tempo de evitar maior dano potencial.
Embora esse incidente ainda esteja sob investigação, analistas de segurança em todo o mundo concordaram unanimemente com o fato de que controles de acesso deficientes e falhas de segurança abriram caminho para a ocorrência.
Foi percebido que não havia qualquer estratégia de ataque sofisticada ou complexa envolvida neste incidente, mas o invasor conseguiu violar a infraestrutura pública simplesmente aproveitando as práticas de segurança negligentes da estação de tratamento.
Aliás, os invasores nem sempre precisam desenvolver algoritmos de hacking avançados para colocar em prática seus planos; às vezes, eles simplesmente escolhem credenciais roubadas ou comprometidas da dark web para invadir redes críticas. Eles também podem usar técnicas simples, como phishing, keylogging e força bruta para obter acesso às máquinas-alvo. Isso prova que algumas vezes podemos superestimar as ameaças, subestimando a engenhosidade dos hackers que algumas vezes simplesmente entram pela porta da frente.
Credenciais fracas ou roubadas
Com o trabalho remoto e em home office sendo uma necessidade atualmente, a adoção de VPNs corporativas e sessões remotas privilegiadas são a única maneira pela qual os funcionários devem acessar aos sistemas corporativos a partir de suas estações de trabalho (desktop) ou dispositivos móveis celulares.
O que percebemos é que houve um aumento significativo no número de ataques baseados em sessão remota, na qual os criminosos cibernéticos conseguem invadir a infraestrutura crítica usando credenciais comprometidas. Como estas credenciais são legítimas, os invasores podem simular usuários reais para evitar serem detectados.
Simplificando, muitas vezes são as vulnerabilidades conhecidas, negligenciadas e subestimadas que fornecem aos cibercriminosos a oportunidade de explorar o acesso administrativo a recursos privilegiados. Repetidamente, incidentes como esse na estação de tratamento de água na Flórida provam que, quando as senhas são armazenadas em cofres seguros e estão sujeitas às práticas de segurança padrão, as chances de invasão são realmente muito menores.
Segurança proativa contínua
A segurança não é um processo único e deve ser abordada e melhorada de maneira contínua. Embora seja crucial empregar mecanismo de controle e respostas imediatas aos ataques, a proteção proativa deve ser a regra, é igualmente imperativo garantir de forma consistente um plano de segurança que impeça o uso de credenciais sem que elas sejam efetivamente monitoradas, envolvendo um amplo conjunto de medidas práticas, tais como:
– Garantir e impor políticas de senha rígidas;
– Aplicar controle de autenticação multifator;
– Proteger credenciais privilegiadas em bancos de dados criptografados;
– Monitorar sessões de usuários remotos em tempo real;
– Identificar e encerrar atividades de usuário suspeitas;
– Varredura periódica de vulnerabilidade e correção de endpoints.
Estas práticas visam combater o uso inadequado de senhas, incluindo a reutilização e compartilhamento de credenciais críticas, não são incomuns e podem abrir várias brechas de segurança para os invasores explorarem. O gerenciamento manual e o rastreamento de credenciais privilegiadas usando planilhas não são apenas incômodos, mas também não são confiáveis. Além disso, as sessões remotas, quando acessadas por usuários não autorizados, podem abrir as comportas para informações confidenciais no valor de centenas de milhões de dólares.
Dito isso, é fundamental que as organizações empreguem controles de segurança de acesso privilegiado para proteger o acesso a sistemas de informações confidenciais e monitorar sessões remotas ao vivo. Isso pode ser alcançado investindo em tecnologia de gerenciamento de acesso privilegiado (Identity Privileged Access Management – PAM) que automatiza as tarefas rotineiras de:
– Descobrir, consolidar e armazenar senhas privilegiadas em cofres seguros;
– Redefinir automaticamente as senhas com base nas políticas existentes e alternando as senhas após cada uso único;
– Atribuir o mínimo de privilégios possível a usuários normais e elevar seus privilégios se e quando necessário;
– Impor controles de autenticação multifator para autorizar o acesso a recursos privilegiados;
– Estabelecer um fluxo de trabalho de solicitação ou liberação para validar os requisitos do usuário antes de fornecer a eles acesso a recursos críticos;
– Monitorar sessões de usuários remotos em tempo real, encerrando sessões suspeitas e revogando privilégios de usuários após o término de suas sessões.
O gerenciamento de acesso privilegiado ajuda proativamente nos controles de gerenciamento de acesso e fornece a automação eficaz necessária para otimizar as credenciais e os fluxos de trabalho de segurança, o que permite que os administradores de TI economizem seu tempo e esforços para tarefas mais importantes.
O ataque cibernético na estação de tratamento de água na Flórida é um exemplo clássico da fragilidade com que as credenciais de acesso são tratadas por muitas organizações e deve servir de exemplo para que esta situação não aconteça em nossas empresas. O que podemos afirmar com certeza é que não precisamos esperar acontecer em nossas empresas para tomarmos uma atitude. É necessário colocar em prática a proatividade e aprender com os erros alheios, o que pode fazer a diferença na gestão da nossa TI.
*Anderson da Fonseca é gestor de negócios e de customer XP da ACSoftware, fornecedora de tecnologias e serviços baseados nas tecnologias manage engine.