Blog WatchGuard

As violações de segurança que não se veem: a razão pela qual monitorizar a exposição externa ajuda a prevenir incidentes

A cibersegurança tende a centrar-se nos ataques, mas muitas violações de segurança acontecem porque as organizações expõem inadvertidamente sistemas, aplicações ou dados à Internet.

Grande parte das conversas sobre cibersegurança centra-se em impedir que os atacantes consigam entrar nos sistemas. Novas variantes de malware, campanhas de ransomware, ataques potenciados por inteligência artificial e vulnerabilidades zero-day dominam as manchetes. No entanto, muitas violações de segurança ocorrem por uma razão muito mais simples: as organizações expõem, sem se aperceberem, sistemas, aplicações ou dados à Internet.

Um exemplo recente envolveu a cadeia de retalho Express, que revelou uma vulnerabilidade que permitia a utilizadores não autorizados aceder às páginas de confirmação de encomendas de clientes através da simples alteração dos números de encomenda no URL. A informação exposta incluía, alegadamente, nomes, números de telefone, endereços de e-mail, moradas, histórico de encomendas e dados mascarados de cartões de pagamento. Algumas destas páginas chegaram mesmo a ser indexadas por motores de pesquisa, tornando-se mais fáceis de encontrar.

O que torna incidentes como este são particularmente preocupantes é o facto de não exigirem técnicas de ataque sofisticadas. Se os recursos sensíveis já estão expostos, o atacante não precisa de ultrapassar mecanismos de defesa avançados. Em muitos casos, uma violação de segurança não começa com uma intrusão bem-sucedida, mas sim com a incapacidade de compreender o que está publicamente acessível.

Para os prestadores de serviços geridos (MSPs), este representa um desafio crescente. A questão já não é apenas como impedir os atacantes. A verdadeira questão é perceber se eles deveriam sequer conseguir encontrar esse recurso.

A superfície de ataque mudou

Ao longo da última década, as organizações expandiram significativamente a sua presença digital.

As plataformas de cloud, as aplicações SaaS, as tecnologias de trabalho remoto, as integrações com terceiros, as APIs e os ambientes híbridos criaram novas oportunidades para as empresas operarem de forma mais rápida e eficiente. Contudo, também aumentaram o número de sistemas, serviços e dados suscetíveis de ficarem expostos à Internet.

Na maioria dos casos, estas exposições não resultam de negligência, mas sim do funcionamento normal das operações de TI modernas.

Uma regra temporária de firewall permanece ativa depois de um projeto terminar. Uma ligação de um fornecedor continua ativa após o fim de uma colaboração. Uma aplicação na cloud é implementada sem ser integrada nas revisões regulares de segurança. Um sistema legado mantém-se em funcionamento porque ninguém quer correr o risco de interromper a atividade da empresa.

Isoladamente, estas decisões parecem inofensivas. Com o tempo, porém, contribuem para uma superfície de ataque cada vez mais difícil de compreender e controlar.

A inteligência artificial está a alterar a forma como os atacantes identificam alvos

Tradicionalmente, os atacantes precisavam de tempo e conhecimento técnico para identificar sistemas vulneráveis. Faziam análises manuais às redes, procuravam serviços expostos, investigavam vulnerabilidades e avaliavam quais os alvos que justificavam um ataque.

A inteligência artificial está a mudar completamente este cenário.

As ferramentas baseadas em IA conseguem analisar rapidamente grandes quantidades de ativos expostos à Internet, identificar serviços acessíveis, relacionar versões de software com vulnerabilidades conhecidas e priorizar os alvos mais atrativos. Atividades que anteriormente exigiam dias de trabalho podem agora ser realizadas de forma contínua e à escala, reduzindo os tempos de descoberta de semanas para apenas alguns segundos.

Para os MSPs, isto significa que a margem para erro está a diminuir rapidamente. Uma aplicação exposta, um serviço de acesso remoto esquecido ou um sistema voltado para a Internet sem atualizações de segurança pode ser descoberto muito mais rapidamente do que acontecia no passado. À medida que a IA reduz o custo da fase de reconhecimento dos atacantes, minimizar exposições desnecessárias torna-se tão importante como detetar ameaças.

A visibilidade está a tornar-se um verdadeiro controlo de segurança

Durante anos, as equipas de segurança concentraram-se sobretudo na prevenção, deteção e resposta a incidentes. Estas capacidades continuam a ser fundamentais, mas partem do princípio de que a organização conhece todos os ativos que tem de proteger.

Essa premissa está a tornar-se cada vez mais desatualizada — e perigosa.

Não é possível proteger ativos cuja existência se desconhece. Não é possível proteger serviços cuja exposição não foi identificada. E não é possível avaliar o risco sem visibilidade sobre a superfície de ataque externa.

Por isso, a visibilidade está a assumir um papel de controlo de segurança. As organizações que identificam, validam e gerem continuamente os recursos expostos à Internet encontram-se em melhor posição para reduzir o risco antes mesmo de os atacantes terem oportunidade de os explorar.

Da visibilidade à ação

A visibilidade só tem valor quando conduz à ação. Depois de compreenderem o que está exposto, as organizações precisam de adotar um processo consistente para avaliar e reduzir o risco.

Para os MSPs, a gestão da exposição deve deixar de ser uma auditoria pontual para passar a constituir uma disciplina operacional contínua.

  • Minimizar a presença pública: Todos os serviços acessíveis a partir da Internet devem ter uma justificação clara de negócio. Se um sistema, aplicação ou serviço não necessita de estar acessível publicamente, não deve estar exposto.
  • Reforçar a proteção dos serviços expostos: Sempre que um serviço tenha de permanecer acessível pela Internet, o acesso deve ser rigorosamente controlado. Isto inclui limitar acessos, implementar mecanismos robustos de autenticação, manter os sistemas atualizados e aplicar controlos de segurança em várias camadas.
  • Proteger recursos administrativos e internos: Interfaces de administração, consolas de gestão, bases de dados, ferramentas de administração remota e outros recursos sensíveis nunca devem estar diretamente expostos à Internet quando existem alternativas seguras.
  • Segmentar os sistemas críticos: Os serviços voltados para a Internet devem estar isolados das redes internas e dos recursos críticos da organização. Uma segmentação eficaz impede que uma única exposição evolua para um incidente de maior dimensão.
  • Validar continuamente a exposição: A gestão da exposição não é um projeto com início e fim definidos. As regras de firewall, os serviços na cloud, os acessos de fornecedores e as ligações externas devem ser revistos regularmente para confirmar que continuam a responder a uma necessidade legítima do negócio.
  • Assumir que qualquer exposição será descoberta: À medida que o reconhecimento automatizado por IA se torna mais comum, as organizações devem partir do princípio de que tudo o que estiver exposto à Internet acabará por ser identificado. As estratégias de segurança devem ser concebidas tendo esta realidade em consideração.

Uma mudança de paradigma para os MSPs

Tradicionalmente, o papel dos MSPs consistia em implementar tecnologia, manter infraestruturas e responder a incidentes.

Hoje, essa função está a evoluir.

Os clientes esperam cada vez mais que os seus prestadores os ajudem a compreender os riscos, gerir a complexidade e reduzir a exposição antes da ocorrência de incidentes. Isso implica ir além da gestão de dispositivos e da monitorização de segurança, adotando uma abordagem de governação contínua dos ambientes protegidos.

Os MSPs mais bem-sucedidos não serão apenas aqueles que ajudam os clientes a responder a ameaças. Serão aqueles que ajudam a reduzir as oportunidades para que essas ameaças surjam.

Olhando para o futuro

A próxima grande violação de segurança poderá não resultar de uma vulnerabilidade zero-day sofisticada ou de um ataque avançado gerado por inteligência artificial.

Poderá começar com um sistema esquecido, uma aplicação exposta, uma exceção temporária que se tornou permanente ou um serviço que permaneceu visível muito depois de deixar de ser necessário.

À medida que as superfícies de ataque continuam a expandir-se e a IA acelera a capacidade dos atacantes para identificar vulnerabilidades, as organizações precisam de repensar a forma como gerem a sua exposição externa.

Para os MSPs, isso significa tratar a exposição externa como um risco de negócio contínuo, e não como uma tarefa de segurança realizada apenas de forma periódica. Porque, no panorama atual das ciberameaças, aquilo que os atacantes conseguem ver pode ser tão importante como aquilo que conseguem explorar.

Para saber mais

Aprofunde as melhores práticas para otimizar a segurança das redes dos seus clientes através destes artigos do nosso blogue: