A notícia de um ataque cibernético a uma estação de tratamento de água executado por um perpetrador remoto foi um choque para organizações em todo o mundo.
No início de fevereiro de 2021, um agente de ameaça não autorizado acessou remotamente os sistemas de controle da planta por meio do TeamViewer e o usou para aumentar a quantidade de hidróxido de sódio (soda cáustica) na água para níveis perigosamente mais altos. Felizmente, no entanto, um operador vigilante na planta identificou essa atividade incomum em tempo real e apitou internamente para evitar qualquer dano potencial. Embora o incidente ainda esteja sob investigação, analistas de segurança em todo o mundo concordaram unanimemente no fato de que controles de acesso deficientes e higiene de segurança abriram caminho para este incidente.
Para colocar as coisas em perspectiva, não havia nenhuma estratégia de ataque sofisticada ou complexa envolvida neste incidente; o invasor conseguiu violar a infraestrutura pública simplesmente aproveitando as práticas de segurança negligentes da estação de tratamento.
A rota da seda para informações privilegiadas
Os invasores nem sempre precisam desenvolver algoritmos de hacking avançados para realizar seus planos; às vezes, eles simplesmente escolhem credenciais roubadas ou comprometidas da dark web para invadir redes críticas. Eles também podem usar técnicas simples, como phishing, keylogging e força bruta para obter acesso às máquinas-alvo.
Embora seja verdade que os métodos de ataque estejam evoluindo rapidamente, é mais comum o uso indevido de privilégios administrativos e credenciais fracas ou roubadas que são suficientes para violar qualquer infraestrutura crítica. Vamos pegar o ataque à estação de tratamento de água da Flórida, por exemplo, tudo o que o perpetrador não identificado precisou foi de uma senha desprotegida para acessar e lidar com os sistemas de controle remotamente.
Com o trabalho em casa sendo uma necessidade predominante entre a força de trabalho global, VPNs corporativas e sessões remotas privilegiadas são a única maneira pela qual os funcionários podem acessar seus recursos corporativos. No entanto, com o trabalho remoto se tornando cada vez mais popular em todo o mundo, também houve um aumento significativo no número de ataques baseados em sessão remota, em que os criminosos cibernéticos invadem a infraestrutura crítica usando credenciais comprometidas. Como as credenciais são legítimas, os invasores podem imitar usuários legítimos para evitar serem detectados.
Simplificando, muitas vezes são as vulnerabilidades conhecidas, negligenciadas e subestimadas que fornecem aos cibercriminosos a oportunidade de explorar o acesso administrativo a recursos privilegiados. Repetidamente, incidentes como esse provam que, quando as senhas são armazenadas em cofres seguros e estão sujeitas às práticas de segurança padrão, as chances de invasão são muito menores.
A abordagem Goldilocks para a segurança cibernética proativa
A segurança não é um processo único; deve ser abordado e melhorado de forma holística. Embora seja crucial ficar a par das ameaças empregando controles de defesa avançados, é igualmente imperativo garantir de forma consistente que os elementos fundamentais de segurança frequentemente ignorados ou negligenciados (ler credenciais) sejam fortalecidos. Isso envolve seguir um determinado conjunto de medidas básicas de segurança, como:
- Garantir e impor políticas de senha rígidas.
- Ter controles de autenticação multifator.
- Proteger credenciais privilegiadas em bancos de dados criptografados.
- Monitorar sessões de usuários remotos em tempo real.
- Identificar e encerrar atividades de usuário suspeitas.
- Varredura periódica de vulnerabilidade e correção de endpoints.
Práticas inadequadas de senha, como reutilização e compartilhamento de credenciais críticas, não são incomuns e podem abrir várias brechas de segurança para os invasores explorarem. O gerenciamento manual e o rastreamento de credenciais privilegiados usando planilhas não são apenas incômodos, mas também não são confiáveis, devido ao fato de que um insider mal-intencionado ou ignorante é suficiente para expor as credenciais aos criminosos. Além disso, as sessões remotas, quando acessadas por usuários não autorizados, podem abrir as comportas para informações confidenciais no valor de centenas de milhões de dólares.
Dito isso, é fundamental que as organizações empreguem controles de segurança de acesso privilegiado para proteger o acesso a sistemas de informações confidenciais e monitorar sessões remotas ao vivo. Isso pode ser alcançado investindo em uma solução confiável de gerenciamento de acesso privilegiado (PAM) que automatiza as tarefas rotineiras de:
- Descobrir, consolidar e armazenar senhas privilegiadas em cofres seguros.
- Redefinir automaticamente as senhas com base nas políticas existentes e alternando as senhas após cada uso único.
- Atribuir o mínimo de privilégios possível a usuários normais e elevar seus privilégios se e quando necessário.
- Impor controles de autenticação multifator para autorizar o acesso a recursos privilegiados.
- Estabelecer um fluxo de trabalho de solicitação-liberação para validar os requisitos do usuário antes de fornecer a eles acesso a recursos críticos.
- Monitorar sessões de usuários remotos em tempo real, encerrando sessões suspeitas e revogando privilégios de usuários após o término de suas sessões.
Além disso, o PAM360 pode ajudar de forma proativa a eliminar os silos e a monotonia associados aos controles de gerenciamento de acesso. Eles fornecem automação eficaz para otimizar a credencial e acessar fluxos de trabalho de segurança, o que permite que os administradores de TI economizem seu tempo e esforços para tarefas mais importantes.
Como o PAM360 da ManageEngine ajuda?
O PAM360 é uma solução unificada de gerenciamento de acesso privilegiado de nível empresarial, projetada para ajudar as equipes de TI a centralizar o gerenciamento e a segurança de credenciais privilegiadas e o acesso seguro a sessões remotas privilegiadas, como bancos de dados, servidores, endpoints e muito mais. A solução foi concebida com base em segurança by design e está em conformidade com os requisitos obrigatórios da FIPS (Federal Information Processing Standards Publication) 140-2. Os principais recursos do PAM incluem, mas não estão limitados a:
Gerenciamento e armazenamento de senhas corporativas – Permite autodescoberta e armazenamento periódicos de entidades empresariais proprietárias, como senhas, documentos, assinaturas digitais, chaves SSH, certificados TLS / SSL e muito mais. Todas as credenciais são armazenadas em um repositório seguro que é criptografado usando o algoritmo AES-256 avançado. A solução também oferece opções para que os administradores de senhas redefinam e alternem as senhas periodicamente com base nas políticas de senha existentes, o que ajuda a eliminar o acesso não autorizado.
Acesso remoto seguro a sistemas de informação privilegiados – Com o PAM360, os usuários podem iniciar o acesso remoto direto com um clique a sistemas privilegiados, como servidores, aplicativos, bancos de dados e dispositivos de rede sem expor credenciais aos usuários finais. Nossa solução fornece um gateway criptografado sem agente para iniciar sessões RDP, VNC e SSH com recursos de transferência de arquivos segura bidirecional.
Segurança desde o projeto – a solução foi projetada para ecoar a segurança dos dados do cliente e oferece proteção de nível militar aos dados do usuário final. Nosso produto inclui controles de autenticação multifatoriais integrados, onde os usuários serão solicitados a se autenticarem por meio de dois estágios sucessivos para acessar a interface da web. Além disso, oferecemos integrações com as melhores soluções de logon único (SSO), autenticação multifatorial e gerenciamento de identidade para permitir logins seguros e ininterruptos.
Gerenciamento de sessão privilegiada de última geração – A ferramenta vem com mecanismo integrado para monitorar, gravar, sombrear e reproduzir sessões de usuário remoto, o que não apenas ajuda a eliminar pontos cegos e malfeitores, mas também fornece suporte para investigação forense por meio de trilhas de auditoria abrangentes.
Análise avançada do comportamento do usuário e correlação de eventos – O PAM360 fornece integração contextual com informações de segurança e gerenciamento de eventos (SIEM) e ferramentas analíticas de TI para consolidar e correlacionar dados de eventos privilegiados com outros eventos em toda a empresa. Isso permite que as equipes de TI criem padrões básicos de comportamento do usuário para detectar e bloquear agentes mal-intencionados cujo comportamento se desvia do padrão de linha de base. Além disso, as equipes de segurança podem aproveitar esses dados para eliminar vulnerabilidades conhecidas e tomar decisões de segurança baseadas em dados.
Resumindo, esse ataque cibernético aos sistemas de controle de uma infraestrutura pública apenas destaca que as violações de segurança não apenas custam a reputação das organizações ao lado de pesadas penalidades, mas podem colocar muitas vidas inocentes em risco. Portanto, esta é uma evidência corroborante de porque as organizações, especialmente aquelas que atendem ao interesse público, precisam restringir sua infraestrutura de segurança usando uma abordagem ascendente.
Conheça na prática e na realidade de sua empresa o que as soluções ACSoftware|ManageEngine podem fazer por você. Contamos com um portfólio extenso para gerenciamento de TI.
Com soluções para segurança de TI, gerenciamento de acesso e identidade (Active Directory), gerenciamento de endpoints, ITSM – Gerenciamento de Serviços de TI, ITOM – Gerenciamento de Operações de TI (monitoramento de redes, servidores, aplicações, sites banda e análise de tráfego, gerenciamento de endereços IP e portas de switch), análise avançada de dados e muito mais.
Conte sempre com o apoio da equipe ACSoftware, sua revenda e suporte ManageEngine no Brasil.
Participe agora mesmo do grupo TIMEBRA dedicado aos usuários ManageEngine no Brasil, que tem a intenção de criar uma comunidade para troca de experiências, esclarecer dúvidas, bem como ficar por dentro de dicas e novidades.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.