Este é o segundo da nossa série de segurança em duas partes. Para ler o primeiro blog, por favor clique aqui.
O Relatório de Investigações de Violação de Dados da Verizon 2021 (DBIR) analisa mais de 70 000 incidentes de violação de dados de 88 países. Ele usa análises agregadas para informar as equipas sobre riscos de segurança que não são apenas “possíveis, mas prováveis”. Este relatório é um padrão-ouro que todas as equipas de segurança podem usar para avaliar práticas operacionais, priorizar ações e, mais importante, concentrar recursos limitados onde mais importam, evitando perdas associadas ao tempo de inatividade e a uma violação de dados.
Neste blog, nós fornecemos uma visão resumida das descobertas do DBIR relacionadas com a principal variedade de ativos direcionados a violações (o aplicativo/servidor da web), o principal vetor de incidentes (ataques DDoS) e o segundo padrão principal de violação (ataques básicos de aplicativos da web) e incluem recomendações e melhores práticas que podem lidar com esses riscos.
Insight 1: Vulnerabilidades não corrigidas
As atividades de violação registadas no DBIR eram ataques básicos contra aplicações web, definidos como tendo um pequeno número de passos ou ações adicionais após o compromisso inicial Most. Esses ataques focam em objetivos diretos, que vão desde o acesso a e-mails e dados de aplicativos da web até a redefinição de aplicativos da web para distribuição de malware, defacement ou futuros ataques DDoS.
Foram gravados 4 862 ataques básicos de aplicações web, com quase todos provenientes de agentes de ameaças externos. Destes, 1 384 experimentaram divulgações de dados confirmados, sendo o ganho financeiro o principal motivo para o ataque 89% das vezes. As credenciais foram comprometidas 80% das vezes, enquanto as informações pessoais foram adquiridas 53% das vezes.
Que princípios básicos de segurança devem implementar para proteger a sua organização contra ataques de aplicações web? Os dados acima sugerem que a aplicação de patches de vulnerabilidades é um ótimo lugar para começar para a maioria das organizações, especialmente aquelas que continuam sem patches por muito tempo. Lembre-se, todos os dias uma vulnerabilidade é sem correção, um invasor pode executar um hack exploratória de seus aplicativos na esperança de encontrar ouro. Vamos explorar um pouco mais estas duas questões.
2: Vulnerabilidades em aplicativos legados Insight
A missão dos cibercriminosos é infiltrar-se na sua empresa The. E eles querem fazê-lo o mais rápido, silencioso e barato possível.
O DBIR confirma que ataques a vulnerabilidades mais antigas (quatro ou mais anos) são mais comuns do que ataques a vulnerabilidades mais recentes. Os maus atores continuam a explorar estas vulnerabilidades mais antigas porque são frequentemente as pilhas que as equipas de segurança DE TI ignoram. Eles também são fáceis de pesquisar, encontrar explorações para e relativamente baratos de montar.
Pilhas mais antigas também têm mais vulnerabilidades. Além disso, há um conhecimento mais comum dentro da comunidade de criminosos cibernéticos sobre quais ferramentas usar para atacar essas pilhas de tecnologia mais antigas, mantendo-se indetetáveis.
Este problema existe há anos e continuará a ser um desafio durante algum tempo até que haja melhorias significativas no desenvolvimento seguro de aplicações e capacidades de gestão de patches.
Além disso, ao aproveitar vulnerabilidades mais antigas bem conhecidas, os cibercriminosos não precisam extrair (e arriscar expor) suas ferramentas mais valorizadas. Eles podem direcionar os aplicativos mais antigos usando ferramentas mais antigas e ainda têm muita área de superfície para trabalhar, a um custo muito menor.
3: DDoS vulnerabilities Insight
A negação de serviço distribuída (DDoS) aumentou drasticamente desde 2018, tornando-se a questão de segurança número um em 2020. Tecnicamente, o DBIR categoriza o DDoS como um padrão de incidente (não uma violação). Independentemente de como é classificado, um DDoS pode interromper severamente a disponibilidade – a terceira etapa da triagem de Confidencialidade, integridade e disponibilidade.
Assim como os cibercriminosos estão violando sistemas para ver o que podem extrair, eles estão usando botnets DDoS baratos e prontamente disponíveis para descobrir sistemas vulneráveis que podem ser colocados offline como parte de campanhas de resgate ou interrupção. O DBIR também confirma algumas boas notícias: O DDoS é “uma das tendências da infosec que pode ser abordada.” Infelizmente, muitas organizações podem assumir que têm proteções adequadas, até que um ataque DDoS revele pontos de falha ao custo do tempo de inatividade dos negócios.
Embora os serviços de mitigação de DDoS estejam amplamente disponíveis e possam ser implantados na sua infraestrutura de rede e aplicativos, com esses ataques aumentando, é hora de rever o alcance da sua proteção DDoS. Sugerimos que você avalie como sua proteção é acionada e o impactos em suas operações se o ataque for bem sucedido nas camadas 3, 4 e 7.
O custo da inação
Agora que discutimos alguns dos principais resultados do DBIR, vamos rever uma ameaça de segurança não coberta no relatório: A inação. Um desafio comum com a redução da superfície de ataque da aplicação é que as suas aplicações web estão em constante movimento. Muitos estão a evoluir, a adicionar novos recursos e a mudar-se para a nuvem. A implementação de soluções de segurança continua a atormentar os pipelines de aplicações, forçando compensações entre negócios, engenharia e interesses de segurança. A remoção de vulnerabilidades antigas, especialmente aplicações legadas, sofre do desafio oposto: Chamar a atenção do desenvolvedor e do gerenciamento de projetos em aplicações web ainda em uso, mas não receber mais foco/investimento no negócio. Em ambos os cenários, os maus atores contam com estas falhas de gestão e inação para encontrar e explorar vulnerabilidades.
Enquanto você constrói e fortalece os seus processos para gerir riscos, os CDNs e os firewalls de aplicações web são um método comprovado para identificar e bloquear o tráfego prejudicial à espreita na borda da internet. Estes incluem ataques DDoS e sondas automatizadas que programaticamente visam e registam vulnerabilidades nos seus serviços web sem exigir grandes doses de investimento do desenvolvedor e gestão de projetos.
A nossa firewall de aplicações web de última geração e capacidades de proteção DDoS , integradas na nossa rede de ponta, oferecem uma solução simples e escalável que aborda os riscos de aplicações web reportados pelo DBIR 2021. Por exemplo, no quarto trimestre de 2020, mitigámos 1,5 mil milhões de pedidos. Definimos “mitigar” como qualquer evento WAF que desencadeia um bloco, uma resposta personalizada ou um redirecionamento de URL. Estas são as mesmas atividades nefastas reportadas pelo DBIR, vulnerabilidades conhecidas e incidentes DDoS que impulsionam a maioria dos ataques de aplicações web.
Comece com o básico
The O DBIR revela pontos cegos que podem ocorrer por causa do ruído quando ocorre uma violação grave. Como dizem os autores do DBIR, “da próxima vez que enfrentarem uma violação de mudança de paradigma que desafia a norma do que é mais provável de acontecer, não ouçam os ornitólogos no site da bluebird dizendo em voz alta que “não podemos corrigir, gerir ou controlar o acesso à nossa saída desta ameaça.”
Na verdade, ao fazer o básico, você pode parar a grande maioria dos ataques que provavelmente afetarão a sua organização.
Ligue-se a nós para saber como o nosso CDN e o WAF podem mitigar as vulnerabilidades dos seus aplicativos web como parte de uma solução de segurança completa.
