Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

SolarWinds Breach: impulsionando uma mudança de paradigma para a confiança zero

Raghu Nandakumara
,
Diretor sênior de marketing de soluções industriais
January 19, 2021
23 leitura mínima

O compromisso da SolarWinds e suas contínuas consequências colocaram em foco a dificuldade de controlar e validar cada ponto de contato que uma empresa tem com suas dependências externas (seja fornecedor, cliente ou parceiro) e enfatizam ainda mais o velho ditado de que “uma cadeia é tão forte quanto seu elo mais fraco”.

A violação do Target no início dos anos 2010 e a mais recente chamada 'Cloud Hopper“Os ataques já destacaram os riscos associados às cadeias de suprimentos, especialmente quando os membros dessa cadeia têm alguma forma de acesso direto à sua rede (ou seja, relacionamentos com terceiros que exigem acesso à rede). O reconhecimento desse risco resultou, portanto, em um maior foco nos controles de segurança em vigor nesses pontos de contato da rede. Quando implementados adequadamente, esses controles fornecem uma compreensão clara de onde esses pontos de contato existem, a que eles permitem acesso, o nível de acesso e como esse acesso é monitorado. Do ponto de vista de detecção e resposta, ele pode fornecer um conjunto mais óbvio de indicadores a serem observados devido a essas informações “a priori”.

Em primeiro lugar, o compromisso da SolarWinds é irritante porque atacou um ponto em nossas cadeias de suprimentos de tecnologia que menos esperávamos (ou seja, uma atualização assinada por um fornecedor de software em quem confiamos). No entanto, é algo que todos nós reconheceríamos como “perfeito” na oportunidade que ofereceu aos atacantes secretos.

Podemos argumentar que a probabilidade de sucesso de um ataque depende das credenciais disponíveis, do acesso à rede utilizável e das vulnerabilidades exploráveis. Nesse caso, comprometer um sistema com amplo acesso à rede e acesso altamente privilegiado a sistemas e serviços de diretório estaria no topo da lista de desejos de qualquer agente mal-intencionado. A plataforma Orion ofereceu exatamente essa oportunidade.

A forma como os atacantes conseguiram comprometer o processo de validação e construção de código da SolarWinds ainda está sob investigação e, sem dúvida, todas as organizações que fazem seu próprio desenvolvimento estarão extremamente interessadas em como mitigar os mesmos riscos.

O que está em primeiro lugar agora é o que a exposição latente continua sendo — pois ainda está sendo revelada. O nível e o alcance do acesso disponível significam que é difícil realmente avaliar onde os atacantes conseguiram chegar e se esconder. Sabemos que o uso da atualização Orion foi meramente para estabelecer uma base (altamente proeminente) nas organizações-alvo, nem como troféu final nem como necessidade de persistência de presença ou acesso.

Diante disso, o foco está principalmente na detecção e resposta contínuas. E nesse aspecto, todos nós temos um papel fundamental a desempenhar. A descoberta desse ataque em grande escala foi possível porque um fornecedor experiente de resposta a incidentes e segurança cibernética (FireEye/Mandiant) também foi comprometido. Eles foram, no entanto, os primeiros na lista de vítimas a detectar o roubo de dados após a violação, a divulgá-lo publicamente e, em seguida, a fornecer contramedidas iniciais. Talvez esse seja um dos pontos positivos desse episódio em andamento.

Os fornecedores de segurança precisam determinar, com urgência, como as soluções que fornecemos podem ser melhor usadas para detectar e depois limitar (ou pelo menos atrasar) a propagação do ataque.
  • Temos telemetria que o Blue Teams possa utilizar com eficácia para criar uma imagem mais precisa da atividade dentro de uma organização, fornecendo indicadores mais claros de comprometimento?
  • Existem políticas que possam ser aplicadas rapidamente e que restrinjam o movimento lateral?
  • Nossas soluções de tecnologia podem expor — e potencialmente até mesmo mitigar — o risco que um aplicativo cria para uma organização, seja por meio da quantidade de conectividade, do uso de acesso privilegiado ou do número de vulnerabilidades nas cargas de trabalho?
  • Podemos identificar rapidamente quando as credenciais comprometidas estão sendo usadas e impedir mais acessos?
  • Existem correlações fáceis que podem ser extraídas de várias soluções de segurança que identificariam TTPs novos e conhecidos?
E quanto às possíveis organizações-alvo: o que elas precisam fazer? Agora, mais do que nunca, entender o risco cibernético associado a cada ativo é fundamental.
  • Eles conseguem identificar rapidamente seus recursos mais importantes?
  • Eles entendem bem o modelo de acesso em torno desses recursos?
  • Eles podem controlar a comunicação de saída de e para esses servidores/cargas de trabalho? Para começar, as comunicações externas deveriam mesmo existir?
  • Há monitoramento adequado em cada camada (por exemplo, dispositivo do usuário final, rede, gerenciamento de identidade e acesso, aplicativo etc.) e ele pode ser melhorado?
  • As políticas de acesso podem ser reforçadas para se aproximar da confiança zero/privilégio mínimo?
  • As práticas seguras de desenvolvimento de software serão revisadas para garantir que sejam as mais sólidas possíveis?

O infame paradigma da “Doutrina do Choque” sugere que, para forçar uma mudança transformadora em um sistema, todo o sistema precisa ficar chocado ao perceber que tal mudança é necessária. E embora o foco esteja corretamente na segurança e no risco associados às cadeias de suprimentos, acredito que a verdadeira metamorfose precisa ser a seguinte:

Fornecedores de tecnologia mosto ser capazes de educar seus clientes sobre como as soluções existentes que eles fornecem podem ser usadas para dar suporte às funções de detecção e resposta.

Clientes (ou seja, organizações) mosto concentre-se em:

  • Identificando seus ativos mais importantes.
  • Monitore ativamente esses ativos usando uma variedade de sensores para identificar indicadores de TTPs maliciosos.
  • Compreender o modelo de acesso desses ativos e aplicar políticas de privilégios mínimos para protegê-los.

De muitas maneiras, a oportunidade apresentada aqui é realmente o paradigma inicial da Confiança zero: “Suponha uma violação — e torne muito difícil controlá-la.”

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Sua escola está preparada para o ransomware? Por que você precisa de microssegmentação
Segmentação Zero Trust

Sua escola está preparada para o ransomware? Por que você precisa de microssegmentação

Obtenha informações sobre a magnitude das ameaças à segurança cibernética contra escolas e saiba como a segmentação Zero Trust pode ajudar.

Leia mais
Principais notícias sobre cibersegurança de novembro de 2024
Segmentação Zero Trust

Principais notícias sobre cibersegurança de novembro de 2024

Descubra as principais histórias de cibersegurança de novembro de 2024, incluindo insights de especialistas sobre segurança de infraestrutura crítica, riscos de saúde de terceiros e ataques baseados em identidade.

Leia mais
Como a microsegmentação ajuda você a cumprir as obrigações de segurança da CCPA
Segmentação Zero Trust

Como a microsegmentação ajuda você a cumprir as obrigações de segurança da CCPA

As discussões iniciais sobre segurança da CCPA se concentraram em honrar as solicitações de acesso, exclusão e exclusão da coleta de dados para ajudar a evitar perdas por violação de dados.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais