A maioria dos ataques explora contas privilegiadas

Segurança na web

Embora vejamos muitas notícias relacionadas a vulnerabilidades “zero-day” sendo veículadas com frequência, causando a preocupação de muitos administradores de sistema com relação às medidas a serem tomadas para a proteção dos ambientes por eles administrados, não são estas as maiores fontes de acesso a sistemas utilizadas por atacantes.

Segundo pesquisa recente, conduzida pela CyberArk, e que entrevistou vários especialistas de grandes companhias como Cisco, Deloitte, Mandiant, RSA Security e Verizon, revelou que ataques realizados com a utilização de contas privilegiadas são mais rapidamente efetuados e são mais difíceis de serem detectados que aqueles baseados predominantemente na utilização de malwares ou vulnerabilidades. Estes especialistas também afirmam que algo em torno de oitenta por cento dos ataques envolvem a quebra de segurança de contas privilegiadas em algum ponto.

“Todos pensam sobre vulnerabilidades zero-day, mas elas são raramente exploradas de forma generalizada. Elas são tão valiosas que os atacantes as aplicam de uma forma bem limitada”, disse Craig Williams, especialista em segurança na Cisco Talos Security Intelligence and Research Group. “Para cada vulnerabilidade zero-day que você ouve falar, existem milhões de vulnerabilidades conhecidas que são mais prováveis de serem usadas contra você”.

Em média, os entrevistados nesta pesquisa disseram que os ataques geralmente persistem por meses ou anos antes de serem descobertos. Esse cenário é corroborado pelas descobertas publicadas pela Mandiant, afirmando que a média de dias para um ataque em andamento é de duzentos e vinte e nove.

“Contas privilegiadas permitem ainda que os atacantes destruam evidências de suas atividades e estabeleçam pontos de acesso redundantes e backdoors que tornam praticamente impossível mantê-los longe das redes internas”, afirma a CyberArk.

Uma parte significante do problema é relacionado a inventário. Os dados da CyberArk sugerem que, em média, as empresas tem pelo menos três ou quatro vezes mais contas privilegiadas que empregados. Muitas empresas não tem nem ciência de quantas contas privilegiadas existem em seus sistemas. Mesmo que contar contas pareça algo simples, o problema é um pouco mais complicado que isso, particularmente quando a empresa deve contabilizar a proliferação de dados corporativos e aplicações em nuvem, assim como em ambientes de dispositivos móveis e de redes sociais.

Muitas dessas contas são geradas para máquinas ao invés de para pessoas. Os departamentos de tecnologia da informação são designados a criar “contas de serviço” para permitir o acesso de aplicações, dados e equipamentos computacionais entre máquinas. Essas contas geralmente permitem amplo acesso à rede e às vezes a habilidade de se conectar a qualquer máquina nesta. Existem tantas destas contas de serviço em algumas organizações que muitas são esquecidas ou são quase impossíveis de ser efetivamente monitoradas.

Outro dado interessante é que a técnica de phishing, não os ataques de força-bruta ou de dicionário, é a mais comum de ser utilizada no sequestro de contas de usuários, sugerindo que  senhas fracas não sejam o problema relacionado a elas. Entretanto, as equipes de TI assumem que as contas de serviço serão usadas apenas internamente, e muitas delas terminam com credenciais padrão ou ainda fáceis de se adivinhar.

“Nós vimos recentemente vinte e cinco ou trinta ataques onde os atacantes utilizaram senhas padrão publicamente disponíveis”, disse Christopher Novak, que atua na equipe de resposta investigativa da Verizon RISK Team.

Para acessar o conteúdo completo da pesquisa, incluindo as recomendações para mitigar os riscos de comprometimento da segurança, ligados às contas privilegiadas, basta preencher um pequeno registro e realizar o download através do site da CyberArk. Conteúdo em inglês.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s