Durante eventos climáticos significativos como furacões ou tempestades de neve, autoridades governamentais e meteorologistas recomendam fortemente que os residentes permaneçam em casa, a menos que seja absolutamente necessário sair. Essa precaução se baseia em um raciocínio simples: os perigos impostos por tais tempestades são significativos e, sem uma razão convincente, expor-se a esses riscos é injustificado. Apesar desses avisos, algumas pessoas ainda optam por correr o risco desnecessário de sair durante condições climáticas severas. Enquanto algumas podem conseguir percorrer essas condições com segurança, outras, infelizmente, acabam como objeto de relatos de advertência na mídia. O panorama atual de ameaças na internet é semelhante a uma tempestade frequentemente subestimada ou ignorada.  

Expondo-se a Riscos Desnecessários na Internet   

A maioria das empresas naturalmente evita riscos desnecessários que possam comprometer suas operações. No entanto, muitas ainda continuam vulneráveis a ameaças externas ao manterem acessos abertos à internet. Essa vulnerabilidade se manifesta de duas maneiras: tráfego de entrada e tráfego de saída.  

Nem todo sistema requer conectividade com a internet. Por exemplo, usuários que fazem login em um controlador de domínio do Windows não têm necessidade de acesso direto à internet. Atividades como navegar em sites ou verificar e-mails baseados na web devem ser restritas a estações de trabalho. Os mesmos privilégios necessários para fazer login em um controlador de domínio também podem ser inadvertidamente explorados por malware se for baixado por esse usuário, levando a possíveis violações de segurança. Embora os servidores Windows exijam atualizações, isso pode ser feito por meio de um servidor WSUS (Windows Server Update Services) que mantém o tráfego de atualização do Windows local. Há poucas situações que justifiquem o acesso à internet de saída para um servidor crítico. 

Embora o acesso à internet de saída possa ser discricionário para inúmeros servidores, para certos servidores essenciais como SMTP, FTP e servidores de aplicativos da web, a exposição ao tráfego de entrada da internet é frequentemente inevitável. No entanto, isso se aplica a “alguns” servidores críticos, não a todos. É crucial realizar uma avaliação de riscos para identificar quais ativos requerem exposição à internet e elaborar estratégias para sua proteção adequada.  

A Vulnerabilidade das Configurações Padrão  

Saber o que seu adversário está fazendo antecipadamente facilita muito a elaboração de estratégias contra eles. Infelizmente, hackers podem prever facilmente em que porta um serviço, protocolo ou aplicativo voltado para a internet está sendo usado quando a porta padrão é utilizada. Algumas portas são conhecidas por serem populares entre os atacantes devido ao seu uso generalizado, acessibilidade, potencial para exposição de dados e vulnerabilidades históricas que podem ser exploradas para fins maliciosos. Serviços como RDP (3389), MSSQL (1433), SMB (445) estão liderando a lista de pontos de entrada atrativos, mas também são muito facilmente bloqueados, já que nenhum deles deveria ser acessível pela internet de forma alguma.  

Adotar essas configurações padrão compromete suas medidas de segurança de várias maneiras:  

  • Expõe sua rede a um maior risco de ataques automatizados, com bots escaneando persistentemente por portas padrão abertas. 
  • Dificulta distinguir entre tráfego legítimo e atividade potencialmente maliciosa. 
  • Depender de configurações padrão pode refletir uma tendência mais ampla para a negligência nas práticas de segurança. 

Seja uma competição esportiva ou um ciberataque, um adversário é atacado em seu ponto mais fraco. Portas padrão são um elo fraco comum na cadeia de muitas posturas de segurança. Considere o risco se cada funcionário remoto ou móvel usasse uma senha padrão para sua conexão VPN. Embora não seja idêntico em nível de risco, o uso de portas padrão diminui o obstáculo para os atacantes que procuram acesso à rede. Para usar uma analogia esportiva, usar portas padrão é o equivalente a conceder, de início, cinco pontos à frente para a outra equipe em uma partida de basquete. 

Dois Exemplos Clássicos  

Na nossa atividade diária contra ameaças, frequentemente encontramos incidentes evitáveis em que uma falha significativa de segurança dentro das organizações é atribuída a um serviço ou porta voltados para a internet. É sabido que os atores de ameaças visam dados sensíveis, frequentemente tornando os bancos de dados seus principais alvos. 

  • Em um caso notável liderado por nossa equipe de Resposta a Incidentes e Forense Digital (DFIR), nossa equipe descobriu que o serviço MSSQL no servidor de aplicativos voltado para a internet de um cliente estava configurado para receber tráfego de entrada através de sua porta padrão, 1433. Este risco foi ainda mais elevado por uma senha fraca do administrador do banco de dados, criando uma oportunidade para um ator de ameaças realizar com sucesso um ataque de força bruta na senha do administrador local e obter acesso a dados internos. 
  • Em outro caso, não relacionado ao acima, ocorreu um grave incidente envolvendo um ataque de força bruta bem-sucedido em um servidor voltado para a internet de um cliente, visando especificamente a conta de Administrador de domínio. Após uma análise mais aprofundada dos logs do Firewall e de Eventos do Windows, identificou-se que o SMB, acessível pela porta 445, permaneceu aberto para conexões de entrada da internet. Aproveitando essa vulnerabilidade, um atacante explorou o serviço aberto, lançando um ataque de força bruta em várias contas. Sua persistência deu frutos quando conseguiram obter acesso à conta de Administrador de domínio, aproveitando uma senha fraca. 

Estratégias para Fortalecer sua Postura de Segurança  

Certos servidores não precisam ser acessíveis pela internet. Aqueles que precisam, devem ser fortificados implementando estratégias de segurança que podem facilmente prevenir o primeiro passo para um incidente de segurança. 

Empregar uma estratégia de firewall robusta é um elemento fundamental de uma abordagem abrangente de cibersegurança para proteger contra ameaças externas. Para qualquer serviço ou porta voltada para a internet, é crucial implementar um firewall que utilize regras e políticas para controlar e restringir o tráfego de entrada para o nível de privilégio mínimo necessário, evitando a dependência de configurações padrão. 

A implementação de políticas de acesso condicional oferece uma camada adicional de proteção para sua rede corporativa. Essas políticas podem impor medidas como integração de Autenticação Multifatorial (MFA) ou restrições de geolocalização, que bloqueiam automaticamente tentativas de acesso de regiões especificadas. Ambos podem fortalecer significativamente sua rede contra acesso não autorizado. 

Outro método é o uso de lista de permissões que permite apenas a execução de softwares e aplicativos pré-aprovados. Isso pode reduzir significativamente o risco de infecções por malware. Essa abordagem proativa bloqueia programas não autorizados por padrão, reduzindo a superfície de ataque e fornecendo uma defesa robusta contra ameaças externas e vulnerabilidades recém-descobertas. 

Alavancando MDR e Expertise Externa  

Infelizmente, ciberataques serão lançados contra sua empresa, apesar de seus melhores esforços. A Detecção e Resposta Gerenciada (MDR) pode detectar ataques externos monitorando continuamente o tráfego de rede, as tentativas de login e os comportamentos do sistema em busca de padrões indicativos de tais ataques. Isso inclui tentativas de login malsucedidas repetidas de um único endereço IP ou em várias contas. Utilizando análises avançadas, IA e inteligência de ameaças, as soluções de MDR podem identificar e alertar rapidamente sobre atividades anormais, permitindo uma resposta rápida para mitigar possíveis violações e proteger contra tentativas de acesso não autorizado. 

No entanto, nem todas as empresas possuem a expertise interna ou os recursos para implementar e manter um sistema de MDR respaldado por um SOC. Consequentemente, muitas recorrem a provedores de segurança externos como a DPSEC / CYREBRO para obter suporte. Proficientes em operações de MDR e SOC, temos expertise no monitoramento contínuo de segurança e na implementação das práticas de segurança mais recentes. Identificamos habilmente riscos e ataques potenciais, permitindo uma neutralização mais rápida das ameaças e aprimorando sua postura geral de cibersegurança. 

Conclusão  

Manter uma monitoração vigilante de sua infraestrutura é uma tarefa incessante, 24 horas por dia, 7 dias por semana, já que os atacantes exigem apenas um breve deslize (como uma porta voltada para a internet negligenciada) para violar suas defesas. A implementação em profundidade de uma estratégia robusta de defesa, que inclua configurações de firewall, firewalls de aplicativos da web (WAF) e soluções de segurança de endpoint, é crucial para impedir o acesso não autorizado. Essa abordagem abrangente, reforçada por um monitoramento e detecção contínuos de MDR que também lida com todos os alertas recebidos e conduz a investigação, forma o pilar principal de uma estratégia vencedora para proteger seu negócio.