🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Você não pode controlar quando a próxima vulnerabilidade crítica será lançada. Você pode controlar quanto do seu ambiente será exposto quando isso acontecer. O problema é que a maioria das equipes tem mais exposição à Internet do que imaginam. O chefe de segurança da Intruder investiga por que isso acontece e como as equipes podem gerenciar isso deliberadamente.
O tempo de exploração está diminuindo
Quanto maior e menos controlada for a sua superfície de ataque, mais oportunidades existem para exploração. E a janela para agir sobre eles está diminuindo rapidamente. Para as vulnerabilidades mais graves, a divulgação para exploração pode durar apenas 24 a 48 horas. O Zero Day Clock projeta que o tempo de exploração será de apenas alguns minutos até 2028.
Não é muito tempo quando você considera o que precisa acontecer antes de um patch ser implantado: executar varreduras, aguardar resultados, gerar tickets, definir prioridades, implementar e verificar a correção. Se a divulgação chegar fora do horário, demorará ainda mais.
Em muitos casos, os sistemas vulneráveis não precisam estar voltados para a Internet. Com a visibilidade da superfície de ataque, as equipes podem reduzir antecipadamente a exposição desnecessária e evitar a confusão quando uma nova vulnerabilidade surge.
Quando um dia zero cai em um sábado
ToolShell era uma vulnerabilidade de execução remota de código não autenticada no Microsoft SharePoint. Se um invasor conseguisse alcançá-lo, ele poderia executar código no seu servidor - e como o SharePoint está conectado ao Active Directory, ele começaria em uma parte altamente confidencial do seu ambiente.
Este foi um dia zero, o que significa que os invasores o exploraram antes que um patch estivesse disponível. A Microsoft divulgou no sábado e confirmou que grupos patrocinados pelo Estado chinês o exploraram por até duas semanas antes disso. Quando a maioria das equipes soube disso, os invasores oportunistas estavam verificando instâncias expostas e explorando em grande escala.
A pesquisa do Intruder encontrou milhares de instâncias do SharePoint acessíveis ao público no momento da divulgação - apesar do fato de o SharePoint não precisar estar voltado para a Internet. Cada uma dessas exposições era desnecessária – e cada servidor sem patch era uma porta aberta.
Por que as exposições são perdidas
Então, por que as exposições muitas vezes passam despercebidas pelas equipes de segurança?
Em uma varredura externa típica, as descobertas informativas ficam abaixo de centenas de pontos críticos, altos, médios e baixos. Mas essas informações podem incluir detecções que representam risco real de exposição, como:
Um servidor SharePoint exposto
Um banco de dados exposto na Internet, como MySQL ou Postgres
Outros protocolos, que normalmente devem ser reservados para a rede interna, como RDP e SNMP
Aqui está um exemplo real de como é:
Em termos de verificação de vulnerabilidades, às vezes faz sentido classificá-los como informativos. Se o scanner estiver na mesma sub-rede privada que os alvos, um serviço exposto poderá ser genuinamente de baixo risco. Mas quando esse mesmo serviço é exposto à Internet, acarreta riscos reais, mesmo sem uma vulnerabilidade conhecida associada a ele. Ainda.
O perigo é que os relatórios de varredura tradicionais tratem ambos os casos da mesma maneira, de modo que os riscos reais passem despercebidos.
O que a redução proativa da superfície de ataque realmente envolve
Existem três elementos-chave para fazer com que a redução da superfície de ataque funcione na prática.
1. Descoberta de ativos: defina sua superfície de ataque
Antes de reduzir sua superfície de ataque, você precisa ter uma visão clara do que possui e do que pode ser acessado externamente. Isso começa com a identificação de shadow IT – sistemas que sua organização possui ou opera, mas que não está atualmente escaneando ou monitorando.
Preencher essa lacuna é importante e há três elementos principais que recomendamos implementar:
Integração com seus provedores de nuvem e DNS para que, quando uma nova infraestrutura for criada, ela seja automaticamente coletada e verificada. Esta é uma área onde os defensores têm uma vantagem genuína: você pode integrar diretamente com seus próprios ambientes, os atacantes não.
Usando a enumeração de subdomínios para exibir hosts acessíveis externamente que não estão em seu inventário. Isto é importante especialmente após aquisições, onde você pode estar herdando uma infraestrutura da qual ainda não tem visibilidade.
Identificação de infraestrutura hospedada em provedores de nuvem menores e desconhecidos. Você pode ter uma política de segurança que obriga as equipes de desenvolvimento a usar apenas seu provedor de nuvem principal, mas precisa verificar se a prática está sendo seguida.
Assista a um mergulho profundo nessas técnicas:
. Trate a exposição como risco
O próximo passo é tratar a exposição à superfície de ataque como uma categoria de risco por si só.
Isso requer uma capacidade de detecção que identifique quais descobertas informativas representam uma exposição e atribua a gravidade apropriada. Uma instância exposta do SharePoint, por exemplo, pode ser razoavelmente tratada como um problema de risco médio.
Também significa abrir espaço para esse trabalho na forma como você prioriza. Se os esforços estratégicos eu
O tempo de exploração está diminuindo
Quanto maior e menos controlada for a sua superfície de ataque, mais oportunidades existem para exploração. E a janela para agir sobre eles está diminuindo rapidamente. Para as vulnerabilidades mais graves, a divulgação para exploração pode durar apenas 24 a 48 horas. O Zero Day Clock projeta que o tempo de exploração será de apenas alguns minutos até 2028.
Não é muito tempo quando você considera o que precisa acontecer antes de um patch ser implantado: executar varreduras, aguardar resultados, gerar tickets, definir prioridades, implementar e verificar a correção. Se a divulgação chegar fora do horário, demorará ainda mais.
Em muitos casos, os sistemas vulneráveis não precisam estar voltados para a Internet. Com a visibilidade da superfície de ataque, as equipes podem reduzir antecipadamente a exposição desnecessária e evitar a confusão quando uma nova vulnerabilidade surge.
Quando um dia zero cai em um sábado
ToolShell era uma vulnerabilidade de execução remota de código não autenticada no Microsoft SharePoint. Se um invasor conseguisse alcançá-lo, ele poderia executar código no seu servidor - e como o SharePoint está conectado ao Active Directory, ele começaria em uma parte altamente confidencial do seu ambiente.
Este foi um dia zero, o que significa que os invasores o exploraram antes que um patch estivesse disponível. A Microsoft divulgou no sábado e confirmou que grupos patrocinados pelo Estado chinês o exploraram por até duas semanas antes disso. Quando a maioria das equipes soube disso, os invasores oportunistas estavam verificando instâncias expostas e explorando em grande escala.
A pesquisa do Intruder encontrou milhares de instâncias do SharePoint acessíveis ao público no momento da divulgação - apesar do fato de o SharePoint não precisar estar voltado para a Internet. Cada uma dessas exposições era desnecessária – e cada servidor sem patch era uma porta aberta.
Por que as exposições são perdidas
Então, por que as exposições muitas vezes passam despercebidas pelas equipes de segurança?
Em uma varredura externa típica, as descobertas informativas ficam abaixo de centenas de pontos críticos, altos, médios e baixos. Mas essas informações podem incluir detecções que representam risco real de exposição, como:
Um servidor SharePoint exposto
Um banco de dados exposto na Internet, como MySQL ou Postgres
Outros protocolos, que normalmente devem ser reservados para a rede interna, como RDP e SNMP
Aqui está um exemplo real de como é:
Em termos de verificação de vulnerabilidades, às vezes faz sentido classificá-los como informativos. Se o scanner estiver na mesma sub-rede privada que os alvos, um serviço exposto poderá ser genuinamente de baixo risco. Mas quando esse mesmo serviço é exposto à Internet, acarreta riscos reais, mesmo sem uma vulnerabilidade conhecida associada a ele. Ainda.
O perigo é que os relatórios de varredura tradicionais tratem ambos os casos da mesma maneira, de modo que os riscos reais passem despercebidos.
O que a redução proativa da superfície de ataque realmente envolve
Existem três elementos-chave para fazer com que a redução da superfície de ataque funcione na prática.
1. Descoberta de ativos: defina sua superfície de ataque
Antes de reduzir sua superfície de ataque, você precisa ter uma visão clara do que possui e do que pode ser acessado externamente. Isso começa com a identificação de shadow IT – sistemas que sua organização possui ou opera, mas que não está atualmente escaneando ou monitorando.
Preencher essa lacuna é importante e há três elementos principais que recomendamos implementar:
Integração com seus provedores de nuvem e DNS para que, quando uma nova infraestrutura for criada, ela seja automaticamente coletada e verificada. Esta é uma área onde os defensores têm uma vantagem genuína: você pode integrar diretamente com seus próprios ambientes, os atacantes não.
Usando a enumeração de subdomínios para exibir hosts acessíveis externamente que não estão em seu inventário. Isto é importante especialmente após aquisições, onde você pode estar herdando uma infraestrutura da qual ainda não tem visibilidade.
Identificação de infraestrutura hospedada em provedores de nuvem menores e desconhecidos. Você pode ter uma política de segurança que obriga as equipes de desenvolvimento a usar apenas seu provedor de nuvem principal, mas precisa verificar se a prática está sendo seguida.
Assista a um mergulho profundo nessas técnicas:
. Trate a exposição como risco
O próximo passo é tratar a exposição à superfície de ataque como uma categoria de risco por si só.
Isso requer uma capacidade de detecção que identifique quais descobertas informativas representam uma exposição e atribua a gravidade apropriada. Uma instância exposta do SharePoint, por exemplo, pode ser razoavelmente tratada como um problema de risco médio.
Também significa abrir espaço para esse trabalho na forma como você prioriza. Se os esforços estratégicos eu
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #a #disputa #de #dia #zero #é #evitável: #um #guia #para #redução #da #superfície #de #ataque
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário