Nmedia - Fotolia
Comprometimento de identidade responde por 90% do acesso inicial à infraestrutura crítica
Relatório da Agência de Segurança Cibernética e de Infraestrutura dos EUA reforça fragilidade da gestão e da segurança em relação à identidade e ao acesso a redes de organizações vitais para o funcionamento de um país.
A sabedoria convencional sugere que as chaves para proteger a infraestrutura crítica de ataques cibernéticos são a segmentação de rede e a segurança de Tecnologia de Operações (TO), mas violações contínuas implicam que esses métodos sozinhos não são suficientes.
No caso Colonial Pipeline, por exemplo, o ataque cibernético começou quando os invasores obtiveram acesso inicial à rede de TI por meio de uma senha de usuário e uma conta VPN comprometidas. Em seguida, o protocolo de área de trabalho remota foi usado para implantar o ransomware, que explorou vulnerabilidades não corrigidas e aumentou os privilégios. Em seguida, o ransomware criptografou sistemas críticos. Embora os sistemas de TO não tenham sido diretamente comprometidos pelo ataque, as equipes de segurança foram forçadas a desligar o oleoduto para evitar que o ransomware se espalhasse para a rede de Tecnologia de Operações.
A Agência de Segurança Cibernética e de Infraestrutura (CISA), juntamente com a Guarda Costeira dos EUA (USCG), sondou as redes de 121 organizações de infraestrutura crítica com o objetivo de avaliar as capacidades e as defesas de rede de uma organização contra ameaças potenciais. Em 90% das vezes, o acesso inicial à rede de uma organização foi obtido por meio de comprometimento de identidade.
A infraestrutura crítica inclui 16 setores vitais para a segurança nacional dos EUA classificados pela CISA, incluindo manufatura, serviços financeiros e governo. As organizações de infraestrutura essencial enfrentam ataques cibernéticos implacáveis projetados para interromper os serviços, exfiltrar informações confidenciais ou manter operações inteiras para resgate.
O relatório também destaca que, quando combinada com outras técnicas, a identidade também representa o principal meio de escalonamento de privilégios e, por sua vez, um facilitador de movimento lateral entre ambientes de TI e OT. Essa descoberta é reveladora, dado o uso generalizado de air gapping (isolamento de redes), segmentação de rede e investimentos substanciais em segurança de TI e OT.
A importância do contexto
Segundo a Tenable Security, o desafio com praticamente todas as ferramentas de segurança de ponto é que elas não têm uma visão abrangente e integrada dos relacionamentos de ativos, identidade e risco em toda a superfície de ataque. “Por exemplo, as ferramentas de segurança de OT frequentemente não têm visibilidade dos ativos e identidades de TI dentro do ambiente de OT, incluindo fraquezas que podem ser exploradas para, em última análise, comprometer sistemas de infraestrutura crítica. São esses relacionamentos entre domínios que permitem o acesso inicial, o movimento lateral e a escalada de privilégios. Sem eles, não há como distinguir efetivamente um grande volume de alertas isolados de exposições reais que podem interromper a integridade e a continuidade da infraestrutura crítica”, dis eles do Tenable.
Ao adotar uma abordagem horizontal de segurança que enfatiza a visibilidade integral, a avaliação contextual de riscos e a priorização da exposição real, as organizações podem aprimorar sua postura de segurança, aumentar a eficiência e proteger melhor a infraestrutura essencial contra ameaças em evolução, aconselha o fornecedor.
O Tenable One, plataforma de gerenciamento de exposição, fornece visibilidade completa em toda a superfície de ataque moderna, unindo silos de segurança e priorizando a detecção e o fechamento de exposições que podem ter um impacto material na infraestrutura crítica. O Tenable One integra dados de configuração e dados de risco ricos em ativos de OT e TI da Tenable OT Security, com dados de privilégio e risco em identidades humanas e de máquina da Tenable Identity Exposure. Com ele, a equipe de segurança pode visualizar e remediar caminhos de ataque que atravessam ambientes convergentes de TI e OT.