O grande número de trabalhadores trabalhando remotamente trouxe novos riscos para a segurança das empresas. Que riscos são esses e como ferramentas como o pentest podem ajudar a identificá-los e mitigá-los?
Os desafios que vivemos nos últimos meses tanto no âmbito pessoal quanto no profissional envolvem de forma especial – do ponto de vista da cibersegurança – o número de colaboradores que foi direcionado para regimes de home office. A escala e urgência deste processo, levou ao fato de que, em alguns casos, parte das ações que normalmente seriam realizadas em outra circunstância de estabelecimento de estações de trabalho remoto pode não ter sido observada – situação que inclusive nos motivou a produzir o blogpost “O mínimo de cibersegurança que você precisa considerar ao montar uma infraestrutura às pressas”, no qual aprofundamos muitos destes desafios.
Entre aspectos técnicos (estações de trabalho sob controle do usuário, inclusive no que se refere a instalação e atualização de softwares; equipamentos, redes e conexões wi-fi também sob responsabilidade do usuário; acesso a sistemas de comunicação remota e uso de ambientes colaborativos em nuvem, com criação e manipulação de dados sigilosos e sensíveis) e aspectos comportamentais (o uso das estações de trabalho para atividades pessoais; excesso de confiança no ambiente – que pode levar à falta de medidas básicas de segurança na operação de equipamentos e falta de familiaridade com um novo modelo de trabalho) há toda uma nova realidade que potencialmente abre portas para atacantes obterem acesso a dados e informações sensíveis da corporação, mesmo nos casos em que medidas mais rigorosas de segurança foram aplicadas durante a migração de ambientes.
Este artigo visa endereçar estes desafios e estabelecer o pentest como um serviço que pode auxiliar na sua mitigação. Afinal, apesar de estar claro que as abordagens deste serviço se aplicam a ambientes corporativos, com perímetros bem definidos, políticas estabelecidas de segurança que prevêem inclusive a atualização de softwares e sistemas operacionais, entre outras particularidades, o contexto nos desafia a pensar em sua aplicação em uma nova realidade na qual o corporativo e o pessoal convivem no mesmo ambiente. Nesta conjuntura, como saber que controles estabelecer? Que ações devem ser tomadas no curtíssimo prazo?
Antes de abordarmos estas questões, no entanto, vamos explorar um pouco do contexto atual de ataques e o que o pentest, como ferramenta de cibersegurança, pode oferecer a uma organização.
Não faltam artigos demonstrando que cibercriminosos estão enxergando grandes oportunidades na pandemia. Um estudo da Check Point chama a atenção para um aumento considerável no número de ataques explorando temáticas ligadas ao Coronavírus (desde websites maliciosos registrados com URLs contendo “corona” ou “covid” até arquivos contendo estes nomes e enviados em campanhas de phishing). Segundo a empresa, em fevereiro, ataques deste tipo representavam algumas centenas por dia; no entanto, apenas no dia 28 de março de 2020, detectou-se um salto no número de ataques para mais de 5.000 (em meados de abril, quando o estudo foi divulgado, a média era de 2.600 ataques por dia).
Além disso, em apenas duas semanas de abril foram registrados mais de 30 mil domínios relacionados com o coronavírus dos quais quase 10% foram considerados maliciosos – passíveis de serem usados em ciberataques – ou suspeitos pelos pesquisadores.
Nesse contexto, é claro que corporações estão entre os alvos dos atacantes. No Reino Unido estatísticas mostram um grande aumento nos ciberataques especificamente direcionados a trabalhadores que estão em home office, mas mirando suas empresas. Segundo o jornal The Guardian, a proporção de ataques envolvendo phishing cujo alvo eram trabalhadores em home office passou de 12% para 60% nas seis semanas após o início do lockdown, em março.
O jornal também cita o uso de ferramentas de comunicação remota como o Zoom como vetores de ataques que envolvem desde o envio de solicitações para resetar suas contas de VPN, envio de convites falsos para reuniões e de páginas falsas de login (no SideChannel, abordamos em profundidade as recentes questões envolvendo o Zoom e as consequências do aumento do seu uso).
Sem nos estendermos muito no número e variedade de ameaças, se, do ponto de vista da pessoa física, cair em golpes desse tipo pode trazer consequências que incluem roubo de identidades e credenciais e dados de pagamentos, do ponto de vista das empresas a infecção de uma estação de trabalho por algum tipo de malware pode levar ao acesso e roubo de dados sensíveis. Em um cenário de pessoas trabalhando em casa o risco de criminosos obterem acesso à estrutura da empresa é potencialmente maior devido aos aspectos técnicos e comportamentais que expusemos anteriormente, de forma especial, pelo fato de que estas pessoas estão acessando o ambiente corporativo (e suas informações confidenciais) fora do perímetro da empresa.
Pentests ou testes de intrusão são testes cujo objetivo varia entre dar visibilidade sobre potenciais vulnerabilidades existentes no ambiente, ou fornecer um diagnóstico sobre o nível de resiliência do ambiente a ataques direcionados. Trata-se de uma ferramenta interessante para responder às perguntas que propusemos anteriormente, independente do momento em que são aplicados, mas de forma especial em períodos de turbulência que exijam respostas que possibilitem direcionar esforços com agilidade e precisão.
Em um pentest, diferentes abordagens e posicionamentos são possíveis, e podem ser combinados de forma a oferecer um grande número de possibilidades. A combinação ideal para um teste será definida pelo modelo de ameaças, ou da identificação dos riscos e ameaças em potencial.
Entre as abordagens estão:
1) White box pentest: na qual o profissional que irá aplicar os testes recebe algumas informações a respeito da segurança do ambiente que será testado.
2) Black box pentest: na qual o profissional não recebe nenhuma informação sobre o ambiente a ser testado.
3) RedTeam pentest ou Pentest furtivo: abordagem na qual as equipes de TI e de segurança da empresa não são informadas de que há um teste em andamento.
Já do ponto de vista do posicionamento, é possível realizar um pentest externo (simulando um atacante remoto, posicionado em algum lugar da Internet), de wi-fi (onde o atacante é um visitante ou vizinho), ou interno (onde o atacante pode ser um visitante ou funcionário, ou, assumindo que ambiente interno já foi previamente comprometido, por um malware).
No que se refere à metodologia, o pentest envolve algumas fases principais. Três fases de reconhecimento (footprinting, scanning e enumeration) nas quais basicamente o profissional recolhe o máximo de informações a respeito do alvo através do uso de técnicas de inteligência (footprinting); identifica sistemas, portas de acesso expostas, e potenciais vulnerabilidades, falhas em regras de negócio e em configurações de aplicativos e sistemas (scanning e enumeration). Nas fases seguintes ocorre a busca e execução de exploits para as vulnerabilidades detectadas nas fases anteriores (exploitation, post-exploitation), nesta fase também ocorre a criação e desenvolvimento de novos exploits (ou remodelação de algum já existente) e são aplicadas técnicas de exploração em aplicativos e sistemas mal configurados (misconfiguration); também pode ser realizada a subversão de regras de negócio consideradas potencialmente vulneráveis.
Segundo Marcelo Pessoa, Head do Time de Consultoria da Tempest, “no cenário atual, a grande diferença que teríamos é que o modelo de ameaças mudou. Esse modelo – responsável por direcionar o pentest – agora envolve tecnologias de terceiros, comportamentos domésticos não previstos, novas tecnologias disponibilizadas pelas empresas, e estações de trabalho remotas provavelmente conectadas por meio de redes pouco seguras (domésticas, sem dispositivos de segurança, etc.). Com isso os objetivos e principais vetores do pentest tendem a mudar, já que o modelo de ameaças mudou”.
Na prática, o contexto apresentado no início deste artigo, de profissionais trabalhando em casa compartilhando redes e equipamentos domésticos, conectando a colegas e gestores via softwares como o Zoom, Google Meet e outros, usando smartphones para consultar emails e receber mensagens, recebendo conexões remotas de colegas de departamentos de TI para solucionar eventuais problemas é desafiador mas, nem por isso, impossível de controlar.
Esse contexto faz com que o foco do pentest passe a ser explorar os aspectos técnicos e comportamentais que apresentamos anteriormente a fim de encontrar “vulnerabilidades que viabilizem ataques aos usuários e não diretamente aos servidores, vulnerabilidades relativas às novas tecnologias envolvidas, que podem não ter sido bem configuradas devido à urgência, além da possível infecção de redes domésticas e estações de trabalho, visando um acesso mais fácil à rede corporativa da organização. Também é importante atenção especial às ferramentas utilizadas para acesso remoto aos dados e ao ambiente da organização”.
Marcelo Pessoa destaca que pentests devem ter como objetivo “simular um atacante real, com habilidade técnica e objetivos definidos”. É importante, nesse sentido, “pensar” como o atacante. O que ele está buscando? Que ferramentas irá usar para conseguir o que quer. É esse entendimento que irá definir o modelo de ameaças a ser usado.
Dessa forma, é preciso destacar que a mudança no escopo proposta pelo nosso Head de Consultoria depende de um fator que não pode ser automatizado, qual seja o uso da inteligência humana na aplicação de pentests os quais, mais do que nunca, precisam ir além da simples auditoria de sistemas e equipamentos.
Ao direcionar os esforços de entendimento desse novo contexto e da identificação das abordagens e posicionamentos que melhor se aplicam a ele, essa inteligência também permite identificar outros fatores de risco, incluindo os fatores humanos, sejam eles comportamentais (como os apontados no início deste artigo) sejam deficiências do ponto de vista do conhecimento e capacitação dos próprios colaboradores para identificar potenciais ataques, que podem ser sanadas com treinamentos e simulações que irão colaborar ativamente para a segurança da organização.
Nunca é demais destacar que, do ponto de vista da cibersegurança, inteligência humana ainda é um fator preponderante o qual, até o presente momento, não pode ser replicado por nenhuma ferramenta.
Concluindo, acreditamos que em poucos momentos o pentest nunca fez tão importante. Seja para identificar de forma mais precisa o impacto das transformações recentes no perímetro da organização, seja para estar preparado para os novos desafios no âmbito da cibersegurança.
Quer saber mais sobre Pentest? Clique aqui
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!