This post is also available in: Português English Español
Quando falamos em segurança de perímetro, um dos principais aspectos que devemos considerar é o cuidado com a exposição das portas utilizadas nos serviços internos da empresa para a internet.
Este tipo de vulnerabilidade, facilmente explorada por criminosos com o uso de técnicas relativamente simples (port scan com Nmap, por exemplo), tem figurado entre as maiores causas de ataques de ransomware nas empresas.
Conhecendo a anatomia do ataque
Para que possamos trabalhar na prevenção, é importante entender a anatomia deste tipo de ataque. Em suma, o modus operandi ocorre da seguinte forma:
- O criminoso executa o port scan no endereço da empresa, buscando portas expostas para a internet (ou seja, para conexões vindas de qualquer origem).
- Em posse destas informações, são buscados padrões para direcionar os ataques, geralmente baseados nas portas padrões utilizadas pelos serviços (3389, por exemplo, bastante conhecida em conexões remotas do Windows).
- Os ataques seguem basicamente duas linhas: exploração de vulnerabilidades nos sistemas e/ou vulnerabilidades nas credenciais via brute-force (força bruta, tentativa e erro de quebra de senha).
- Ao conseguir acesso ao ambiente, o objetivo é encontrar o que for de importante na rede da empresa, bancos de dados são alvos comuns.
- Estes dados são criptografados com uma chave praticamente inquebrável, geralmente baseada em AES-256. Outra prática criminosa que tem ocorrido também é ameaçar o vazamento dos dados (técnica criminosa denominada doxing, que foca no risco da exposição de informações de caráter confidencial).
- Para que a empresa tenha acesso novamente aos seus dados e/ou não tenha informações confidenciais divulgadas, é cobrado uma espécie de resgate em bitcoin (moeda virtual cotada em dólar e sem rastreabilidade). Vale frisar que o pagamento não dá absolutamente nenhuma garantia de resgate ou manutenção da confidencialidade dos seus dados, você está nas mãos dos criminosos.
Após contextualização sobre o tipo de ataque é possível apresentar sugestões para prevenir a ocorrência de tal sinistro.
Redirecionamentos de portas, para combater ataques Ransomware
O primeiro passo é executar um port scan para identificar a visibilidade das portas da sua empresa na internet. Exatamente o mesmo que um indivíduo mal-intencionado faria para revelar seus pontos fracos.
Ao identificar as portas abertas, é importante que seja feito um estudo em cima de cada uma delas, podendo partir do seguinte modelo para classificação:
- Redirecionamentos de portas obsoletos e/ou desnecessários:
Para estes casos, a recomendação é simples e óbvia: devem ser imediatamente cancelados.
- Redirecionamentos de portas utilizados esporadicamente e/ou por usuários específicos:
Estes serviços, por serem utilizados por um público específico e pré-definido, permitem com maior facilidade a aplicação de políticas de controle e restrição. Podem ser utilizados acessos por túneis VPN seguros com credenciais individuais ou implementadas restrições de origem apenas para endereços IPs específicos.
- Redirecionamentos de portas que precisam estar expostas para a internet:
Para casos onde não temos escolha, precisamos estar atentos a alguns detalhes críticos:
Credenciais: Evite utilizar nomes de usuários padrões, como “admin”, “administrador” etc.
Senhas: Utilize senhas complexas, incluindo letras números, caracteres especiais que possuam no mínimo 12 caracteres;
Updates: Mantenha os serviços sempre atualizados. Muitas brechas de segurança são exploradas em sistemas desatualizados, sendo que os updates lançados pelos fabricantes são justamente, em sua maioria, para solucionar vulnerabilidades descobertas e mapeadas.
Criptografia web: Em serviços que rodam sob o protocolo HTTP, habilite o HTTPS (seguro). Dados trafegados em cima de HTTP não seguro podem ser facilmente interceptados.
Durante o processo é possível que seja identificada a existência de alguma porta, cuja necessidade de existência não seja clara. Para estes casos é recomendado cancelar os redirecionamentos de portas (como apresentado no item 1) e documentar tal intervenção. Após a intervenção, estabeleça uma janela de monitoramento, para evitar o comprometimento de algum serviço crítico para o negócio. Tomando estas precauções, em caso de necessidade, será possível restabelecer o redirecionamento rapidamente.
Outra dica valiosa é, sempre que possível, modificar as portas padrões dos serviços, dificultando um pouco mais a ação de usuários mal-intencionados.
Como complemento, é importante considerar a implementação de políticas de monitoramento com alertas e logs de acessos externos às portas, a fim de facilitar a identificação de conexões anormais, que de fato podem ser sinais de tentativas de exploração maliciosas.
Agora que você conhece um pouco mais, aproveite para fechar as portas da sua empresa, evitando ameaças virtuais. Caso ainda possua dúvidas sobre o tema, fique a vontade para conversar com um de nossos especialistas.
This post is also available in: Português English Español