Carlos Cabral

É comum às variadas áreas do conhecimento separar os temas por especialização, dividindo esforços entre as pessoas de modo que possamos evoluir como espécie à partir da contribuição de cada forma de trabalho, de cada ciência ou de cada perspectiva da realidade. No entanto, ninguém é uma ilha, e a pandemia do coronavírus é uma prova disso, repercutindo na psicologia, na política e na economia. Claro, tudo isso afeta a segurança também, pois quando o senso de emergência, a pressa e o medo passam a ditar a realidade, deixamos de fazer coisas importantes, nos expomos a riscos desnecessários e nos tornamos uma oportunidade de ganho fácil para criminosos.

Por isso, nós da Tempest entendemos que precisamos compartilhar o máximo de conteúdo possível, ajudando pessoas e empresas a se proteger de ciberataques enquanto passam pelo enorme desafio de equilibrar vida pessoal e o trabalho numa situação como essa que estamos vivendo. Longe de nós, no entanto, querer recomendar o ideal ou indicar o que é caro ou impossível. Basicamente o que faremos nessa série é dar dicas considerando as circunstâncias, e pretendemos fazer isso até essa tempestade passar.

Nesse primeiro texto consideramos as empresas que enfrentaram o desafio de montar uma infraestrutura de acesso remoto muito rápido.

No Calor do Momento

Empresas cuja atividade não pressupõe o trabalho remoto possivelmente tiveram (ou estão tendo) que montar VPNs client-to-site na correria. A literatura de tecnologia fala muito sobre a importância do planejamento e a definição dos requisitos de segurança antes do deploy, mas é evidente que estamos em um momento muito distante do ideal, portanto se você implementou essa infra sem considerar a segurança, saiba que isso é perfeitamente compreensível.

Colocar todos para trabalhar em casa é a prioridade, mas assim que essa fase termina é necessário dar atenção especial a alguns pontos como autenticação, gestão de vulnerabilidades, exposição, revisão das permissões de acesso e monitoramento. Todos são muito críticos e não podem ser negligenciados, mas “a ordem dos fatores” depende muito do seu contexto e dos especialistas que você tiver à disposição.

Autenticação

Se a situação é nova para você que colocou a infra para funcionar, imagine para os usuários. Muita gente está com medo, pensando nos seus idosos, em como lidar com as crianças em casa e outras coisas essencialmente humanas. Portanto não espere que todos irão criar senhas longas, únicas, complexas e que elas serão armazenadas em um local protegido.

Costumamos dizer em cartazes e e-mails de conscientização que “segurança é um dever de todos”, mas não é possível contar com isso em momentos de contingência como este. Nessa situação o responsável pela segurança precisa considerar este problema.

O caminho é implementar uma solução de duplo fator de autenticação (procure por 2FA) sobretudo no produto de VPN, pois isso cria mais uma barreira contra um ataque comum: quando o criminoso tenta invadir a rede usando um repositório de senhas vazadas em outros incidentes.

Há diversos produtos de 2FA, que combinam com todos os tamanhos de orçamento, inclusive versões gratuitas.

Vulnerabilidades

Recentemente foi divulgado um estudo constatando que alguns grupos de criminosos se especializam em explorar vulnerabilidades nos produtos de VPN de vários fabricantes. Estes ataques eram o ponto de partida para estabelecer persistência e roubar informações de um grande número de empresas.

Manter sistemas atualizados é algo que deve ser priorizado nas tecnologias em contato com a Internet e os sistemas de VPN podem ser o ponto mais crítico de sua infraestrutura neste momento, pois o que atrai o interesse dos atacantes é que se ele conseguir burlar a segurança desse mecanismo, poderá, entre outras coisas, se passar por um usuário legítimo acessando a rede corporativa.

O uso de 2FA pode dificultar ataques como estes, mas não resolve todos os problemas. É importante considerar que é comum ter a plataforma de VPN trocando informações com outros serviços importantes, como o controlador de domínio que autentica os usuários. Explorar vulnerabilidades nessas tecnologias podem servir como um pivô para atacar outros sistemas internos.

Além de atualizar os sistemas, é necessário parametrizar as tecnologias de maneira a evitar configurações inseguras. Algo essencial nesse sentido, por exemplo, é trocar senhas padrão ou remover acessos desnecessários.

O Center of Internet Security é uma entidade que cria guias (que eles chamam de benchmarks) para a configuração de segurança de diversas tecnologias. São documentos de download gratuito com um passo a passo sobre como fazer cada configuração, no entanto é preciso usá-los com cuidado pois algumas dessas configurações podem ser restritivas demais para o seu contexto. Procure entender os possíveis impactos antes de aplicá-las.

Se manter atualizado sobre novas vulnerabilidades pode também ser essencial para proteger seu ambiente. O centro de resposta a incidentes do governo americano publica toda semana um boletim contendo detalhes sobre as vulnerabilidades divulgadas na semana anterior. Uma semana pode ser muito em alguns casos mas é melhor do que nada. A entidade também emite outros alertas para casos relevantes.

Ainda no tema das vulnerabilidades é recomendável fazer varreduras com sistemas específicos, alguns são gratuitos (procure por “vulnerability scan”). Nem sempre esses sistemas são totalmente confiáveis, por isso é importante se informar bem sobre cada produto. Mesmo assim, eles podem ajudar a traçar um panorama sobre onde atuar, caso não você não possua nada nesse sentido.

Exposição

Quase todo dia é publicada uma notícia sobre empresas que configuram sistemas na nuvem de forma equivocada, deixando bases de dados expostas ao acesso de qualquer pessoa na Internet. Se estes equívocos são cometidos em condições normais de temperatura e pressão, imagine numa situação de pandemia.

Por isso é importante consultar periodicamente quais servidores estão expostos à Internet e corrigir desvios. O mecanismo de busca Shodan pode te ajudar nisso, basta buscar pelo seu segmento de rede.

O menu “ajuda” contém bastante informação sobre como usar plataforma e as diferenças entre os recursos gratuitos e os que demandam pagamento. Se quiser se aprofundar um pouco mais, faça o download do manual do serviço.

Permissões de Acesso

Ter todos os usuários trabalhando em casa não necessariamente quer dizer que estas pessoas desempenharão atividades diferentes às do dia a dia no escritório. Portanto, elas não precisam acessar sistemas internos adicionais ou ter privilégios de acesso além do que tinham antes.

Se os sistemas foram configurados às pressas, possivelmente há alguém com acessos além do necessário. Vale a pena dedicar um tempo para revisar as permissões e os integrantes dos grupos, evitando conceder acessos a usuários individualmente. Pois é mais fácil tirar uma pessoa de um grupo e ela perder todos os acessos relacionados ao grupo de uma vez do que procurar todas as pastas e parâmetros aos quais a pessoa estava vinculada individualmente.

Outra coisa importante. Você terá que ter os acessos documentados caso as pessoas de sua empresa (incluindo você) contraiam o novo coronavírus e tenham que sair da operação. Isso porque será necessário reavaliar os acessos dos indivíduos que substituírem os doentes. Quando as pessoas não sabem que acesso dar, elas geralmente dão acessos demais.

No caso do acúmulo de acessos é essencial ter em mente o perigo de conceder à mesma pessoa os acessos de solicitante e aprovador. O uso malicioso desses acessos (por exemplo, caso alguém tenha roubado a senha do sistema) permite a realização de fraudes em que a mesma pessoa solicita coisas (peças, mercadorias, remessas de dinheiro, etc.) e as aprova. Se muitas pessoas ficarem doentes e você não tiver outra saída a não ser acumular acessos em um indivíduo, vale a pena implementar um monitoramento bem restrito destes sistemas e usuários.

Monitoramento

Tão importante quanto corrigir falhas é monitorar os ativos e ter condições de agir caso algo suspeito ocorra. Quando montamos ambientes sob muita pressão é comum colocar o monitoramento em último lugar na escala de prioridades, mas agir assim é o mesmo que negligenciar os sintomas de uma pessoa doente.

Então, seguindo a lógica de que o contexto é de emergência e que há poucos recursos disponíveis, é recomendável ativar, no mínimo, um servidor syslog emitindo alertas de segurança para alguém que realmente irá tratá-los.

Há também sistemas que correlacionam os logs (procure por SIEM ou HIDS) oferecendo uma perspectiva um pouco mais contextualizada do que está acontecendo e gerando alertas somente para os casos com mais probabilidade de serem algo que verdadeiramente requer atenção. Deixo aqui um guia de implementação do OSSEC, um HIDS gratuito.

Espero que estejamos ajudando. Boa sorte e lave as mãos.

.   .   .

Cibersegurança no home office em tempos de coronavírus: uma questão de corresponsabilidadedicas para a proteção dos dados da empresa no ambiente de sua casa