aditya blog
Visão geral

Eventos como o SaltTyphoon são um excelente lembrete da suscetibilidade das empresas e dos usuários a violações devido à dependência de uma infraestrutura que pode não estar sob seu controle. Com aplicativos cada vez mais distribuídos, atendidos por nuvens públicas, SAAS e provedores de serviços globais para computação, armazenamento e redes, as superfícies de ataque estão fora de seu controle. E, como se costuma dizer, as violações se tornaram uma questão de “quando” versus “se”. A abordagem mais aparente para prosperar nesse ambiente é reduzir as superfícies de ataque externas e internas usando os princípios de Zero Trust para garantir a segurança desde a concepção. Garantir o acesso seguro à rede com o Unified SASE as a Service é um grande passo para oferecer simplicidade operacional, eliminando a dispersão de fornecedores de rede e segurança. No caso de uma violação, é ainda mais importante isolar o problema, reduzir a zona de explosão e continuar a atender às necessidades da empresa. A SASE controla a implementação de várias tecnologias de segurança e oferece um tempo de resposta mais rápido, o que ajuda significativamente na higiene da rede e reduz as superfícies de ataque.

Infraestrutura direcionada

Os produtos de infraestrutura mais populares, como switches e roteadores, são amplamente usados no setor. É sabido que, às vezes, a senha padrão de fábrica não é alterada. Dada a prevalência de equipamentos da Cisco, não é de surpreender que o SaltTyphoon tenha como alvo os dispositivos da Cisco. Vários motivos são discutidos abaixo:

  • Considerando sua onipresença e domínio do mercado, a Cisco é um dos maiores fornecedores de equipamentos de rede do mundo. Seus dispositivos são implantados em empresas, provedores de serviços e infraestruturas críticas. Um comprometimento bem-sucedido do equipamento da Cisco pode conceder aos invasores acesso a redes com informações confidenciais e de alto valor.
  • A SaltTyphoon geralmente se concentra em infraestrutura governamental, militar e crítica, onde os equipamentos da Cisco são amplamente implantados. Os equipamentos da Cisco, como roteadores, switches e firewalls, são fundamentais para o gerenciamento do tráfego de rede, o que os torna pontos ideais para interceptação, exfiltração de dados ou manipulação de tráfego. Os equipamentos da Cisco são usados com frequência em organizações que gerenciam operações política ou economicamente sensíveis, o que os torna alvos perfeitos de espionagem. Esses dispositivos ocupam posições confiáveis na rede, e um comprometimento pode contornar as medidas de segurança e interromper as operações, dando aos invasores uma vantagem sobre as organizações visadas.
  • Devido ao acesso persistente e às operações furtivas, os equipamentos da Cisco oferecem uma base sólida para a implantação de um backdoor. O SaltTyphoon costuma implantar códigos mal-intencionados persistentes diretamente na infraestrutura de rede, tendo como alvo os dispositivos da Cisco, já que os equipamentos de rede comprometidos frequentemente evitam os sistemas de detecção de endpoints, dando ao grupo uma base de apoio furtiva.
  • O SaltTyphoon é conhecido por explorar vulnerabilidades não corrigidas, e os dispositivos Cisco têm sido associados a vulnerabilidades de alto perfil ao longo dos anos (por exemplo, Cisco Smart Install, VPN Flaws). É fácil desenvolver ou adquirir exploits avançados direcionados aos sistemas da Cisco. Ao explorar os equipamentos da Cisco em posições estratégicas, os invasores podem comprometer várias organizações downstream em uma cadeia de suprimentos.

Desafios associados à limpeza dos sistemas de TI

O principal motivo de muito trabalho são as soluções fragmentadas e costuradas que várias empresas costumam oferecer. Além disso, há muito pouca visibilidade e nenhum sistema de monitoramento disponível, o que significa que o malware pode estar escondido em qualquer parte da infraestrutura. Portanto, o desafio é determinar quais sistemas estão infectados e, em seguida, encontrar uma maneira de corrigi-los. Vamos entender as restrições técnicas:

  • Os APTs usam táticas furtivas (malware sem arquivo, criptografia e ofuscação), mecanismos de persistência (chaves de registro ocultas, tarefas agendadas, modificações no nível do firmware) e ferramentas personalizadas para evitar tentativas de detecção e limpeza.
  • Há uma falta de visibilidade devido a ambientes complexos, como sistemas de TI em expansão com vários endpoints, servidores e integrações de nuvem, o que dificulta o monitoramento. Muitas organizações não registram dados suficientes ou não os retêm por tempo suficiente para rastrear a extensão total do comprometimento.
  • As limitações humanas devido às lacunas de habilidades e ao tempo de resposta lento permitem que os atacantes estabeleçam uma base mais forte. Muitas organizações não possuem habilidades e recursos especializados para responder às APTs. Além disso, as organizações priorizam as necessidades operacionais em detrimento da segurança, deixando lacunas nas defesas.
  • O atraso na detecção devido ao tempo de permanência também é um fator que contribui, pois as APTs podem permanecer sem serem detectadas por meses ou até anos. Durante esse tempo, eles podem implantar vários backdoors e comprometer vários sistemas. Quando são descobertos, os invasores podem ter se infiltrado profundamente.

SASE unificado como um serviço como medida de proteção integrada

O Unified SASE as a Service, uma solução essencial no arsenal da Aryaka, é fundamental na luta contra ameaças persistentes avançadas (APTs) como o SaltTyphoon. Suas defesas proativas e reativas são projetadas para superar os ataques avançados, o que as torna cruciais para a estratégia de segurança de qualquer organização.

  • A aplicação do princípio do menor privilégio é uma etapa essencial na batalha contra as APTs. As organizações devem implementar controles de acesso granular usando a ZTNA para garantir que usuários, dispositivos e aplicativos possam interagir apenas com os recursos específicos necessários para suas funções. Isso reduz significativamente o potencial de uma APT causar danos generalizados, o que a torna uma estratégia de defesa fundamental.
  • As políticas de identidade e de reconhecimento de contexto, que consideram o local, o tempo e o comportamento, são cruciais na batalha contra as APTs. Ao permitir a verificação contínua de usuários e dispositivos, essas políticas reduzem significativamente as chances de um invasor se passar por um usuário legítimo. Isso gera confiança nas medidas de segurança, tornando-as uma parte essencial da estratégia de defesa de qualquer organização.
  • O SASE as a Service unificado oferece recursos de contenção usando a microssegmentação para isolar cargas de trabalho, aplicativos e dispositivos dentro da rede. Essa estratégia restringe o movimento lateral de uma APT, impedindo que os invasores comprometam outros sistemas, mesmo que tenham conquistado uma posição inicial.
  • Com o Unified SASE as a Service, as organizações podem aprimorar o monitoramento e a visibilidade nas camadas de rede e segurança para detectar anomalias e correlacionar indicadores para identificar e responder antecipadamente a possíveis atividades de APT. Além disso, os recursos de segurança, como SWG, FwaaS, IPS, varredura de arquivos etc., fornecem alertas em tempo real e respostas automatizadas a atividades suspeitas, permitindo que as organizações detectem e contenham rapidamente as ações de APT.
  • É de conhecimento geral que as APTs roubam dados confidenciais e propriedade intelectual das redes-alvo, portanto, os invasores precisam exfiltrar essas informações para locais remotos. Com o Unified SASE as a Service, o vazamento de dados confidenciais e as anomalias de transferência de dados durante a exfiltração, incluindo abuso de protocolo, podem ser detectados usando recursos de segurança como CASB, DLP e mecanismos de segurança que usam ML/AI para detecção de anomalias.

Recomendações gerais

Uma consideração fundamental é a simplicidade operacional, pois esses processos podem acrescentar encargos significativos e são difíceis de manter de forma sustentável. Criar funções e responsabilidades claras para criar e gerenciar políticas e procedimentos de segurança é muito útil. As organizações podem fazer mais do que o sugerido pela CISA e pelo FBI . Veja abaixo:

  • Implemente uma arquitetura Zero-Trust para exigir autenticação e autorização para cada solicitação de acesso, seja ela interna ou externa. Quando as organizações seguem o princípio de “nunca confie, sempre verifique”, elas ajudam a limitar o movimento lateral e a reduzir o impacto do comprometimento.
  • A caça proativa a ameaças desempenha um papel fundamental na busca de APTs o mais rápido possível. Procure regularmente Indicadores de Comprometimento (IOCs) relacionados a APTs conhecidos, como IPs mal-intencionados, hashes de arquivos e domínios. As organizações também devem se concentrar no Indicador de Ataque (IOA) para detectar intenções e táticas mal-intencionadas, como movimento lateral, escalonamento de privilégios e exfiltração de dados.
  • Aproveite o poder das tecnologias avançadas de segurança e de rede. Primeiro, a segmentação divide sua rede em zonas menores para conter ameaças e limitar o movimento dos invasores. Em segundo lugar, a tecnologia de engano, como honeypots e decoys, pode ser usada para detectar e estudar o comportamento dos invasores. Terceiro, a automação orientada por IA pode ser usada para detecção, triagem e resposta mais rápidas à atividade da APT.
  • As organizações devem realizar regularmente exercícios de mesa para determinar a eficácia de seu plano de IR com cenários realistas, incluindo simulações de APT e manuais de ataque para cenários de ataque comuns. Além disso, elas devem testar os backups com frequência para garantir que sejam funcionais e possam ser restaurados rapidamente.

Ao usar o poder do SASE unificado como serviço, as organizações podem transformar suas redes em ambientes altamente resilientes, nos quais os APTs enfrentam barreiras constantes em cada estágio do ciclo de vida do ataque, desde o reconhecimento até a exploração e a exfiltração.