O que pode ser aprendido com os estudos de caso do Playbook 2021 de empresas vítimas de ataques cibernéticos? Em uma série de artigos, os especialistas da Sophos viajam para o futuro e abordam vários aspectos específicos da segurança de TI para obter recomendações que podem ser implementadas por todos.
Conforme detalhado no Sophos Active Adversary Playbook 2021, os invasores gostam de usar ferramentas usadas por administradores de TI e profissionais de segurança para dificultar a detecção de ações suspeitas. Muitas dessas ferramentas são reconhecidas pelos produtos de segurança como “Aplicativos Potencialmente Indesejados” ou PUA (ou RiskWare ou RiskTool), mas são essenciais para o uso diário das equipes de TI. Para lidar com isso, os administradores devem se fazer duas perguntas importantes sobre a política de TI da empresa: Todos os usuários precisam poder usar esses utilitários e esses utilitários precisam ser executados em todos os dispositivos?
O que são PUAs?
PUAs são ferramentas administrativas agrupadas com um sistema operacional (por exemplo, PowerShell) e fornecem maneiras de automatizar e gerenciar dispositivos em uma rede. Além disso, existem ferramentas adicionais de terceiros que são comumente usadas para estender a funcionalidade, como varredura de portas, captura de pacotes, scripts, monitoramento, ferramentas de segurança, compactação e arquivamento, criptografia, depuração, teste de penetração, gerenciamento de rede e acesso remoto. A maioria desses aplicativos é executada com sistema ou acesso root.
Por que a lista de exclusão de TI é problemática
Se as ferramentas administrativas forem instaladas e usadas internamente por sua própria equipe de TI, esses aplicativos serão ferramentas úteis. No entanto, se isso for feito por outros usuários, eles serão considerados PUAs e frequentemente marcados como tal por soluções de segurança respeitáveis para dispositivos finais. Para permitir o uso gratuito dessas ferramentas, muitos administradores simplesmente adicionam as ferramentas que usam a uma exclusão global ou lista de permissões em sua configuração de segurança de terminal. Infelizmente, esse método também permite que pessoas não autorizadas instalem e usem as ferramentas, muitas vezes sem monitoramento, alertas ou notificações.
Como os criminosos cibernéticos usam PUAs?
As políticas de segurança que permitem PUAs devem, portanto, ser configuradas com cuidado. Porque tal tíquete gratuito vale seu peso em ouro para os cibercriminosos e não há informações sobre o uso, a intenção e o contexto da ferramenta.
Depois que uma ferramenta é excluída, um invasor ainda pode tentar instalá-la e usá-la, mesmo que ainda não esteja instalada em um determinado dispositivo. No entanto, a técnica de ataque conhecida como “viver da terra” exige que os invasores usem as funções e ferramentas existentes para evitar a detecção pelo maior tempo possível. Eles permitem que os atores realizem detecção, acesso a credenciais, escalonamento de privilégios, evasão de defesa, persistência, movimentação de rede lado a lado, coleta e exfiltração sem acenar uma única bandeira vermelha.
Permitir PUAs na empresa apenas no modo controlado
O primeiro passo é verificar as exceções globais atuais na empresa:
- Eles são necessários?
- É dada uma razão para a exclusão – ou foi “sempre lá”? Os responsáveis devem investigar por que a solução de segurança detectou o PUA em primeiro lugar - ele já pode ser usado de forma maliciosa?
- As exclusões realmente precisam se aplicar a TODOS os servidores e dispositivos finais?
- A ferramenta de administração ainda é necessária ou pode ser relegada a um recurso integrado?
- Você precisa de mais de uma ferramenta para obter o mesmo resultado?
Com base em vários estudos de caso, a Sophos recomenda apenas permitir PUAs de forma muito controlada: aplicação específica, máquinas específicas, horários precisos e usuários selecionados. Isso pode ser obtido por meio de uma política com a exclusão necessária, que também pode ser removida novamente, se necessário. Qualquer uso detectado de PUAs que não seja esperado deve ser investigado, pois pode indicar que um criminoso cibernético já obteve acesso aos sistemas.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.