Análise técnica: o que os testes de penetração encontram na sua rede

Falhas internas incluem sistemas sem atualização de correção, compartilhamentos de arquivos abertos ou histórico de informações e a ausência de segmentação adequada.

Analisamos as vulnerabilidades internas das empresas encontradas em testes internos de penetração. Primeiro de tudo, qual a diferente entre uma ameaça externa e interna? Com uma avaliação interna, os testes devem simular ataques que um invasor de fora de sua empresa está realizando.  Eles avaliam o perímetro de defesas, serviços expostos e qualquer coisa que possibilite uma entrada na rede por uma pessoa de fora. Muitas vezes, um teste externo valida que os controles de segurança estão corretos e que o perímetro é efetivo.

á um teste de penetração interna tende  a ter mais base no cenário, com foco nos grandes medos que a empresa enfrenta, como funcionários se tornando rogues, um máquina interna comprometida com um acesso remoto troia, ou um invasor ganhando acesso físico à rede e  conectando à sua máquina. O invasor conseguiria ganhar acesso às bases de dados ou segredos? Qual ligação você teme receber de seu CSO às 2 horas da manhã?

Esses são os tipos de perguntas feitas em um teste do tipo. Infelizmente, muitas vezes, os avaliadores mostram as facilidades com as quais esses medos se tornam realidade, uma vez que ganham acesso à rede interna.

A Dark Reading falou com vários profissionais para entender melhor as tipos mais comuns de vulnerabilidades  que eles encontram em testes internos. Os maiores problemas incluem os sistemas sem atualização de correções, compartilhamento de arquivos abertos e a falta de segmentação de rede adequada. “Muitas vezes, as empresas se focam em sistemas e aplicativos externos, relegando os sistemas internos para a categoria ‘corrija quando puder’”, afirmou Kevin Johnson, consultor sênior de segurança da Secure Ideas.

Levando em conta o úmero de vulnerabilidades zero day no Java, Adobe Acrobat e Flash, que continuam a aparecer, isso pode ser surpreendente. Johnson afirma que  isso é geralmente por presumirem que o sistema é interno, então o invasor não tem acesso, “mas a ideia não podia estar mais equivocada. Funcionários descontentes ou invasores que ganharam acesso à rede podem usar essas vulnerabilidades no sistema para elevar seu aceso ou para comprometer dados sensíveis”.

Chris Sanders, um consultor de segurança sênior da InGuardians, concorda que sistemas sem atualização de correções são definitivamente um problema. Ele diz que encontra regularmente soluções fornecidas pelo fabricante que incluem um início com base na rede sobre a versão vulnerável do Apache Tomcat ou JBoss. “Quando apresentamos para os clientes no final do teste, ficam chocados por descobrir esse tipo de tecnologia existente em sua rede, sem se dar conta que ela faz parte de produto comprado”, afirmou Sanders.

Mina de ouro

A presença de compartilhamento de arquivos abertos ou informações armazenadas são a mina de ouro dos invasores. Vários profissionais de segurança entrevistados para esse artigo disseram que encontram muitas informações arquivadas em arquivos de servidores com parco controle de acesso. Muitos desses itens encontrados incluem listas de senha, backups da database contendo informações sensíveis e documentação sobre os sistemas internos. Não somente esses dados são valiosos pela perspectiva de mostrar o rico de arquivos abertos para os clientes, como também dá aos testadores em penetração mais informações e pistas sobre onde procurar com mais afinco na rede.

Os arquivos de servidores não são a única informação interessante: SharePint e Wikis também fornecem informações valiosas. “Quando realiza-se testes internos, muitas vezes descobrimos que as permissões ou estão completamente expostas ou disponíveis para mais pessoas do que o necessário”, afirmou Johnson, da Secure Ideas. A partir daí, ele usa as permissões abertas para roubar arquivos e documentos com tudo, desde senhas e informações de conexões, até cartões de créditos e informações pessoais.

A falta de segmentação adequada é um tema recorrente entre as descobertas. Uma vez na rede, eles têm acesso livre para fazer o que bem entenderem. Sanders, da InGuardian afirmou que os ativos de valor muitas vezes não têm separação lógica da máquina de trabalho do usuário ou dos ativos de baixo valor. “Uma vez que um ativo é comprometido, é incrivelmente fácil mover-se lateralmente para um perfil mais alto no sistema”.

Por que a segmentação da rede é importante? “Hoje ainda há mais foco no perímetro do que na segmentação interna da rede. Os engenheiros de rede não percebem que uma engenharia social ou ataque pelo lado do cliente de sucesso, pode significar o “fim do jogo”, uma vez que o invasor tenha acesso”, afirmou Sanders. Segmentação com base em importância de ativos e nível de confiança é uma das maneiras mais efetivas de prevenir muitos dos ataques  desempenhados quando ganha-se o acesso à rede.

Todas as vulnerabilidades descobertas pelos testadores em penetração caem por terra usando-se fundamentos básicos em TI: atualização de correção do sistema, privilégios (e controles de acessos relacionados) e segmentação de rede adequada.

É hora de as empresas voltarem ao básico e pararem de tentar comprar o próximo produto de segurança que promete resolver todos os seus problemas? Parece que sim.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *