Firewalls e VPNs são o foco dos cibercriminosos: Evolução dos exploits

Ao longo do último ano, a atividade cibercriminosa tem-se focado cada vez mais na exploração de vulnerabilidades nos perímetros e sistemas de infraestrutura das empresas e os ataques são cada vez mais frequentes. 

Segundo dados do Google Threat Intelligence Group (GTIG) em 2024, 44% dos ataques de dia zero afetaram tecnologias focadas no segmento empresarial, comparando com 37% em 2023. Além disso, a maioria destas ameaças teve como alvo os produtos de segurança e rede, como firewalls, redes privadas virtuais (VPNs) e dispositivos associados a serviços na cloud.

Porque Esta Mudança de Alvo?

Dispositivos de segurança de perímetro como VPNs, routers empresariais, balanceadores de carga e firewalls de aplicações web (WAFs) costumam ter privilégios elevados, dando acesso alargado à rede aos cibercriminosos assim que estes dispositivos são comprometidos. Estes dispositivos operam fora do alcance das ferramentas tradicionais de segurança, como antivírus ou mesmo soluções de deteção e resposta em endpoints (EDR). Ao atacar estes sistemas, os atacantes conseguem comprometer os ambientes de forma mais eficaz, aumentando o retorno por cada exploit desenvolvido. Por outro lado, a exploração de navegadores ou aplicações móveis normalmente afeta apenas um utilizador de cada vez, o que reduz o impacto do ataque.

Dada esta evolução, as empresas devem compreender como é que a exploração de vulnerabilidades está a mudar e como isso afeta a sua postura de segurança — e, a partir daí, identificar as áreas que precisam de ser reforçadas:

• Melhoria na gestão de correções (patch management): Os atacantes estão mais rápidos e seletivos. Exploram vulnerabilidades críticas com rapidez, pelo que as empresas devem melhorar os seus protocolos de aplicação de patches, sobretudo em sistemas críticos.
• Isolamento quando os sistemas de perímetro estão sob ataque: Tecnologias como VPNs e firewalls devem exigir autenticação multifatorial (MFA), sendo assim monitorizadas constantemente e protegidas temporariamente (por exemplo, através de regras IPS) até que os patches sejam aplicados. Também devem ser isolados do acesso ao controlo total do Active Directory.
• Auditorias e deteção avançada: Ambientes híbridos aumentam o risco de blind spots. A ligação entre ambientes on-premises e na cloud dificulta a visibilidade. É essencial auditar e gerar alertas tanto nas redes internas como na cloud, de forma a detetar atividade suspeita de forma eficaz.

XDR: Reforçar a Defesa

Num ambiente onde as ameaças se movimentam entre diferentes camadas — do perímetro à cloud —, o uso de ferramentas isoladas dificulta uma resposta eficaz. Por isso, é fundamental uma visão unificada que permita correlacionar sinais de várias fontes, detetar padrões de ataque e responder rapidamente.

As soluções de Extended Detection and Response (XDR) integram dados de endpoints, dispositivos de perímetro e serviços cloud, melhorando a deteção de incidentes e acelerando a resposta. Para os fornecedores de serviços geridos (MSPs), o XDR também é uma ferramenta essencial para monitorizar vários ambientes de clientes a partir de uma plataforma única. Isto não só permite uma deteção antecipada de ameaças, como também facilita ações de contenção coordenadas, sem depender de sistemas desconectados — resultando numa postura de segurança mais robusta para o cliente.

Se quiser saber mais sobre o XDR e como pode melhorar a segurança da sua organização, veja os seguintes artigos no nosso blog:

• A IA no XDR: Um Passo em Direção a uma Cibersegurança Mais Avançada
• Como escolher o fornecedor certo de XDR para a sua organização
• Como usar as soluções XDR para reforçar os serviços geridos
• Qual é a diferença entre XDR e SIEM?