Na semana passada, publicámos o nosso último Relatório de Tendências de Ataque Trimestral e o que seria um bom relatório sem uma publicação no blogue? Vamos levar algum tempo neste post para inspecionar este olhar puro e perspicaz sobre o cenário de cibersegurança, sempre em mudança, conhecido como “Relatório de Tendências de Ataque Trimestral de Edgio.” O relatório revela uma miríade de pontos de dados, desde métodos de solicitação e tipos de mímica até tendências de geolocalização e tudo o que estiver no meio. Tudo isso fornece uma imagem vívida das ameaças emergentes que visam sites e aplicativos modernos.
Saltando para a direita, dois pontos de dados chave que me chamaram a atenção: Solicitar métodos e solicitar tipos de mime. À primeira vista, descobrir que mais de 98% dos pedidos são GET e POST não é surpreendente. Bem-vindo à Internet, certo? “Não notável”, pode-se dizer, mas estas funções aparentemente pedonais fornecem um conhecimento valioso sobre uma aplicação, como ela está a ser usada ou atacada, e onde pode ser vulnerável. Também deve colocar a questão: Que tipos de métodos de solicitação a sua aplicação requer para funcionar? Deve permitir que outras pessoas cheguem ao seu aplicativo, ou deve reduzir a oportunidade de exposição bloqueando essas ações muito antes mesmo de chegarem ao seu servidor de origem?
Saltando para tipos de mímica, 76% dos blocos estavam ligados a tipos de mime de aplicação/json. Esta visão não é apenas uma estatística; é uma narrativa sobre a mudança na arquitetura moderna de aplicações e a natureza evolutiva das ameaças que visam estas arquiteturas. Claramente, mostra que as suas APIs são altamente direcionadas por agentes de ameaças e destaca a necessidade de proteger as APIs – tanto conhecidas como as de “sombra” ou “zombie” que a sua equipa de segurança pode ainda não ter descoberto.
Categorizámos as proteções neste relatório em três estratégias principais: Regras de controlo de acesso, conjuntos de regras geridos e assinaturas personalizadas. Dos três, vale a pena notar que 45% dos blocos eram regras de controle de acesso. Falar mais sobre as bases de uma defesa eficaz começa com táticas básicas, mas extremamente eficazes, como impedir o acesso a fontes mal conhecidas (endereços IP na lista negra, agentes de utilizadores e países). Bloqueá-los muito antes de se aproximarem das suas aplicações, infraestruturas e dados para obter benefícios imediatos – não só do ponto de vista da segurança, mas também de uma perspetiva de custo. A atenuação de pedidos defeituosos na borda com um firewall de aplicativo da Web (WAF) poupa ciclos de largura de banda e de computação.
O relatório também serve de lembrete de que os atacantes estão continuamente a procurar formas de contornar estas defesas. Embora as regras de controlo de acesso possam ser apertadas, não podemos depender apenas delas. Por exemplo, táticas de delimitação geográfica. Os cinco principais países de origem dos pedidos maliciosos incluíam os EUA, a França, a Alemanha, a Rússia e a Chechénia, com a China notavelmente ausente. Devemos esperar que a China esteja no topo dessa lista, como outros grandes países ligados à Internet. No entanto, esta visão desafia a dependência excessiva da delimitação geográfica e enfatiza a necessidade de uma abordagem mais abrangente às medidas de conformidade e segurança. Sabemos que os atacantes muitas vezes comprometem servidores, VPCs e dispositivos de Internet das Coisas a aproveitarem na mesma região que os seus alvos finais. Entenda as necessidades da sua empresa e os requisitos regulamentares (como não vender a países embargados) quando usar a tática de delimitação geográfica. Não é que esta tática deva ser jogada fora, mas não excessivamente utilizada.
Uma ameaça muito específica e notável que assinalou para cima no quarto trimestre foram os ataques de Caminho/Passagem de Directórios. Imaginem a vossa aplicação como uma fortaleza. Agora, pense nos ataques de passagem de caminho como invasores de métodos astutos que exploram a menor supervisão na arquitetura da sua fortaleza para se infiltrar profundamente no seu domínio através de pastas sobrepermitidas no seu servidor web. Estes ataques não são apenas sobre bater à porta; eles são sobre encontrar uma passagem escondida que leva diretamente ao coração do seu império. As consequências? Acesso não autorizado, perda de informações de identificação pessoal (PII), e potencialmente entrega das chaves ao seu reino através da execução remota de código. O significado aqui não pode ser exagerado, uma vez que estas intrusões ameaçam os pilares da confidencialidade, integridade e disponibilidade de dados que o nosso mundo digital se mantém.
Em suma, o relatório trimestral sobre tendências de ataque não é apenas uma coleção de dados; é uma narrativa que destaca a batalha em curso no domínio digital. Serve como lembrete de que compreender e adaptar-se às complexidades da arquitetura de aplicações é fundamental não só para sobreviver, mas também para prosperar nesta paisagem. Ao empregar uma estratégia que inclua defesas em camadas, aproveitando a inteligência de ameaças e adaptando soluções às necessidades únicas da sua aplicação, você pode construir uma fortaleza que se mantém resistente contra as ameaças em constante evolução do mundo cibernético. Segurança eficaz não é apenas colocar ferramentas em prática; é sobre entender como o seu negócio funciona e usar esse conhecimento para informar os seus controles de segurança.
Mais uma coisa, este relatório é apenas a ponta do icebergue. A equipa do Edgio está a trabalhar incansavelmente para adicionar mais dados a relatórios futuros. Fique de olho no nosso relatório do Q1 de 2024. Estou confiante de que você não vai ser decepado.
Saltando para a direita, dois pontos de dados chave que me chamaram a atenção: Solicitar métodos e solicitar tipos de mime. À primeira vista, descobrir que mais de 98% dos pedidos são GET e POST não é surpreendente. Bem-vindo à Internet, certo? “Não notável”, pode-se dizer, mas estas funções aparentemente pedonais fornecem um conhecimento valioso sobre uma aplicação, como ela está a ser usada ou atacada, e onde pode ser vulnerável. Também deve colocar a questão: Que tipos de métodos de solicitação a sua aplicação requer para funcionar? Deve permitir que outras pessoas cheguem ao seu aplicativo, ou deve reduzir a oportunidade de exposição bloqueando essas ações muito antes mesmo de chegarem ao seu servidor de origem?
Saltando para tipos de mímica, 76% dos blocos estavam ligados a tipos de mime de aplicação/json. Esta visão não é apenas uma estatística; é uma narrativa sobre a mudança na arquitetura moderna de aplicações e a natureza evolutiva das ameaças que visam estas arquiteturas. Claramente, mostra que as suas APIs são altamente direcionadas por agentes de ameaças e destaca a necessidade de proteger as APIs – tanto conhecidas como as de “sombra” ou “zombie” que a sua equipa de segurança pode ainda não ter descoberto.
Categorizámos as proteções neste relatório em três estratégias principais: Regras de controlo de acesso, conjuntos de regras geridos e assinaturas personalizadas. Dos três, vale a pena notar que 45% dos blocos eram regras de controle de acesso. Falar mais sobre as bases de uma defesa eficaz começa com táticas básicas, mas extremamente eficazes, como impedir o acesso a fontes mal conhecidas (endereços IP na lista negra, agentes de utilizadores e países). Bloqueá-los muito antes de se aproximarem das suas aplicações, infraestruturas e dados para obter benefícios imediatos – não só do ponto de vista da segurança, mas também de uma perspetiva de custo. A atenuação de pedidos defeituosos na borda com um firewall de aplicativo da Web (WAF) poupa ciclos de largura de banda e de computação.
O relatório também serve de lembrete de que os atacantes estão continuamente a procurar formas de contornar estas defesas. Embora as regras de controlo de acesso possam ser apertadas, não podemos depender apenas delas. Por exemplo, táticas de delimitação geográfica. Os cinco principais países de origem dos pedidos maliciosos incluíam os EUA, a França, a Alemanha, a Rússia e a Chechénia, com a China notavelmente ausente. Devemos esperar que a China esteja no topo dessa lista, como outros grandes países ligados à Internet. No entanto, esta visão desafia a dependência excessiva da delimitação geográfica e enfatiza a necessidade de uma abordagem mais abrangente às medidas de conformidade e segurança. Sabemos que os atacantes muitas vezes comprometem servidores, VPCs e dispositivos de Internet das Coisas a aproveitarem na mesma região que os seus alvos finais. Entenda as necessidades da sua empresa e os requisitos regulamentares (como não vender a países embargados) quando usar a tática de delimitação geográfica. Não é que esta tática deva ser jogada fora, mas não excessivamente utilizada.
Uma ameaça muito específica e notável que assinalou para cima no quarto trimestre foram os ataques de Caminho/Passagem de Directórios. Imaginem a vossa aplicação como uma fortaleza. Agora, pense nos ataques de passagem de caminho como invasores de métodos astutos que exploram a menor supervisão na arquitetura da sua fortaleza para se infiltrar profundamente no seu domínio através de pastas sobrepermitidas no seu servidor web. Estes ataques não são apenas sobre bater à porta; eles são sobre encontrar uma passagem escondida que leva diretamente ao coração do seu império. As consequências? Acesso não autorizado, perda de informações de identificação pessoal (PII), e potencialmente entrega das chaves ao seu reino através da execução remota de código. O significado aqui não pode ser exagerado, uma vez que estas intrusões ameaçam os pilares da confidencialidade, integridade e disponibilidade de dados que o nosso mundo digital se mantém.
Em suma, o relatório trimestral sobre tendências de ataque não é apenas uma coleção de dados; é uma narrativa que destaca a batalha em curso no domínio digital. Serve como lembrete de que compreender e adaptar-se às complexidades da arquitetura de aplicações é fundamental não só para sobreviver, mas também para prosperar nesta paisagem. Ao empregar uma estratégia que inclua defesas em camadas, aproveitando a inteligência de ameaças e adaptando soluções às necessidades únicas da sua aplicação, você pode construir uma fortaleza que se mantém resistente contra as ameaças em constante evolução do mundo cibernético. Segurança eficaz não é apenas colocar ferramentas em prática; é sobre entender como o seu negócio funciona e usar esse conhecimento para informar os seus controles de segurança.
Mais uma coisa, este relatório é apenas a ponta do icebergue. A equipa do Edgio está a trabalhar incansavelmente para adicionar mais dados a relatórios futuros. Fique de olho no nosso relatório do Q1 de 2024. Estou confiante de que você não vai ser decepado.
Quer mais informação?
Tom e membros da equipa de Segurança de Edgio discutem o Relatório de Tendências de Ataque Trimestral no último episódio do ThreatTank.
