Mesmo quando os cibercriminosos e hackers usam técnicas de ataque cada vez mais sofisticadas para penetrar nas redes corporativas, as violações de segurança geralmente resultam de erros de configuração evitáveis, muitas vezes negligenciados.
Para não abrir a porta para dados sensíveis e ambientes de TI para hackers, a seguir estão os cinco erros de configuração mais comuns que as empresas devem evitar.
1. Credenciais Padrão
Dispositivos padrão não configurados, banco de dados e nomes de usuário e senhas de instalação são como deixar a chave em uma porta trancada. Mesmo hackers amadores podem usar ferramentas disponíveis gratuitamente para causar grandes danos a uma empresa. As credenciais padrão em dispositivos de rede, como firewalls, roteadores ou até mesmo sistemas operacionais, permitem que os invasores usem verificadores de senha simples para obter acesso direto. Para ataques mais sofisticados, os hackers executam uma série de ataques com script para aplicar força bruta nos dispositivos, concentrando-se em nomes de usuário e senhas padrão ou senhas simples como "qwerty" ou "12345".
2. Uso múltiplo de senhas
Usar a mesma conta de usuário e senha em todos os dispositivos em uma frota de endpoints dá aos cibercriminosos a capacidade de atacar qualquer máquina, mesmo que apenas um dos dispositivos seja violado. A partir daí, os invasores podem usar dumpers de credenciais para obter as senhas ou até mesmo os próprios hashes. As empresas devem, portanto, evitar a todo custo a reutilização de senhas e desativar contas que não sejam necessárias.
3. Abra os Serviços de Área de Trabalho Remota e as portas padrão
Serviços como o Remote Desktop Protocol (RDP), um protocolo proprietário desenvolvido pela Microsoft, fornecem uma interface para que os administradores controlem os computadores remotamente. Cada vez mais, os cibercriminosos têm abusado desse protocolo aberto quando não está configurado corretamente. Por exemplo, ransomware como CrySiS e SamSam podem atingir organizações por meio de portas RDP abertas, tanto por força bruta quanto por ataques de dicionário. Qualquer dispositivo externo conectado à Internet deve, portanto, ser protegido com uma camada de proteção para combater tentativas de invasão, como um ataque de força bruta. Os administradores devem usar uma combinação de senhas fortes e complexas, firewalls e listas de controle de acesso para reduzir a probabilidade de violação de segurança.
4. Patching de software atrasado
Ameaças de dia zero costumam ganhar as manchetes, mas as vulnerabilidades mais comuns exploradas por cibercriminosos tendem a ser fósseis digitais. Portanto, atualizar sistemas operacionais e patches é crucial para evitar uma violação de segurança. Embora inúmeras explorações e vulnerabilidades sejam encontradas todos os dias e possa ser difícil acompanhar, as organizações precisam evitar atrasos na aplicação de patches de software.
5. Registro desativado
O registro desabilitado não permite necessariamente que os invasores invadam um sistema, mas permite que eles operem lá sem serem notados. Uma vez dentro, os hackers podem se mover lateralmente pela rede em busca de dados ou ativos para contrabandear. Sem registro apropriado, eles não deixam rastros. Isso cria uma agulha no palheiro para as equipes de TI ao reconstruir um incidente de segurança. Portanto, o registro deve ser ativado e enviado para um local central, como uma plataforma de gerenciamento de eventos e informações de segurança (SIEM). Esses dados fornecem as evidências que os analistas forenses precisam durante uma investigação de resposta a incidentes para entender o ataque e capturar a intrusão. Além disso, isso ajuda a responder adequadamente às ameaças que acionam um alerta com base em eventos já registrados.
A configuração incorreta e deixar dispositivos ou plataformas em seus estados padrão facilitam o lançamento de ataques pelos cibercriminosos. Portanto, as empresas devem implementar as medidas de segurança acima para proteger a si mesmas e a seus dados confidenciais.
Saiba mais em DigitalGuardian.com[asterisco=6]