O entendimento dessas exposições ajuda as equipes de segurança a reduzir sua superfície de ataque para proteger de forma proativa sua organização. As descobertas a seguir oferecem insights sobre essas exposições acessíveis pela Internet, reunidos em extensos dados de exposição e ameaças coletados ao longo de 12 meses com o Cortex Xpanse.
Encontre e corrija ativamente o que é desconhecido
Xpanse é uma plataforma de gerenciamento ativo de superfície de ataque que ajuda as organizações a encontrar e corrigir automaticamente exposições em sistemas expostos à Internet. Com o Xpanse, as organizações descobrem rotineiramente de 30 a 40% mais ativos em seu ambiente do que imaginavam.
Bancos de dados com segurança fraca, suscetíveis a violações de dados. Ex: Instâncias abertas do MongoDB, servidores MySQL inseguros etc.
Sistemas de transferência de arquivos sem segurança adequada, com risco de violações. Ex: FTP não criptografado, Telnet não seguro etc.
Configurar redes incorretamente, convidando a acesso não autorizado. Ex: Páginas de administração de firewall, VPNs mal configuradas etc.
é falso
Pontos de acesso remoto inseguros, suscetíveis a entradas não autorizadas. Ex: Portas de RDP abertas, autenticação fraca do SSH etc.
é falso
Sistemas de gerenciamento de infraestruturas, potencialmente vulneráveis a ataques virtuais. Ex: Sistemas HVAC vulneráveis etc.
0 Problemas resolvidos automaticamente. 5 Problemas aguardando entrada de dados.
Para avaliar a natureza dinâmica dos ambientes de TI modernos, estudamos a composição de serviços novos e existentes executados em diferentes provedores de nuvem usados por uma organização durante um período de seis meses.
Em média, mais de 20% dos serviços em nuvem acessíveis externamente mudam todos os meses. Sem visibilidade contínua, é fácil perder o controle das configurações incorretas acidentais e da disseminação constante da TI sombra em uma organização.
20%
das infraestruturas críticas de TI baseadas na nuvem mudam todos os meses
45%
dos novos riscos são introduzidos por causa desse fluxo todos os meses
As organizações devem monitorar de forma ativa sua superfície de ataque, pois ela muda constantemente e, sem visibilidade contínua, haverá diversas exposições de rotina desconhecidas que os invasores poderão explorar.”
Matt Kraning, CTO, Cortex Xpanse
A Unit 42® analisou a inteligência de ameaças em 30 vulnerabilidades e exposições comuns (CVEs) para caracterizar a rapidez com que os adversários conseguiram começar a explorá-las.
Particularmente, três das 30 vulnerabilidades foram exploradas poucas horas após a divulgação pública do CVE. Dezenove das 30 vulnerabilidades foram exploradas 12 semanas após a divulgação pública, destacando os riscos associados a programas de patches incompletos e inconsistentes.
3/30
exposições relacionadas ao CVE
foram alvo em uma
semana após a publicação
19/30
exposições relacionadas ao CVE
foram alvo em 12 semanas
É importante reconhecer que, embora um CVE possa desaparecer do público, ainda permanece relevante para possíveis agentes de ameaças. Portanto, as organizações devem encontrar e corrigir continuamente suas exposições para reduzir sua superfície de ataque.”
Greg Heon, diretor sênior de produtos, Cortex Xpanse
A Unit 42 analisou 15 vulnerabilidades de execução remota de código (RCE) usadas ativamente por operadores de ransomware. Esses CVEs foram selecionados com base em informações de inteligência sobre o grupo de agentes de ameaças e sua exploração ativa 12 meses após a publicação.
Os agentes da ameaça visaram três dessas vulnerabilidades críticas da RCE poucas horas após a divulgação, e seis das vulnerabilidades foram exploradas oito semanas após a publicação.
3/15
As exposições relacionadas ao CVE foram
alvo poucas horas após
a publicação do CVE
6/15
As exposições relacionadas ao CVE foram usadas
por esses agentes de ameaças oito semanas
após a publicação do CVE
Os defensores devem contar com recursos de correção automatizados para encontrar e corrigir suas exposições críticas à superfície de ataque antes que os invasores as encontrem.”
Marshall Kuypers, Diretor de Capacitação Técnica, Cortex Xpanse
O Relatório de resposta a incidentes 2022 da Unit 42 revela que os ataques de credenciais de força bruta contribuíram para 20% dos ataques de ransomware bem-sucedidos. Alertas recentes da CISA e da NSA do governo dos EUA confirmam que os criminosos visam persistentemente o RDP como um vetor de ataque altamente vulnerável.
85% das organizações analisadas nesse relatório tiveram pelo menos uma instância de RDP acessível pela Internet online durante o mês. Em mais de 600 casos de resposta a incidentes, o Relatório de resposta a incidentes 2022 da Unit 42 descobriu que 50% das organizações visadas não tinham autenticação multifator (MFA) nos principais sistemas voltados para a Internet.
85%
das organizações analisadas nesse relatório tiveram pelo menos uma instância de RDP acessível pela Internet online durante o mês.
O RDP é fácil de usar com força bruta. As organizações devem identificar e eliminar as exposições de RDP no seu ambiente. Se necessário, o RDP não deve ser usado sem o MFA ativado e outros controles de compensação em vigor.”
Ross Worden, Diretor Sênior de Consultoria, Unit 42
Organizações em todo o mundo enfrentam várias configurações incorretas e acidentes rotineiros que oferecem caminhos fáceis para comprometer uma organização na Internet.
As exposições de controle de estruturas da Web, exposição de serviços de acesso remoto e exposições de infraestrutura de TI e segurança juntas representam mais de 60% de todas as exposições na superfície de ataque global. As organizações precisam lidar com isso diariamente e eliminá-las para controlar e reduzir melhor sua superfície de ataque.
23%
de todas as exposições são exposições de controle de estruturas de rede que permitem que invasores busquem ativamente e ataquem sites que utilizam software vulnerável.
20%
de todas as exposições são serviços de acesso remoto vulneráveis a ataques de força bruta.
A infraestrutura de TI e de segurança exposta representa um risco enorme para a organização. Os invasores se concentrarão nesses sistemas para entrar na sua organização, bem como para comprometer ou desativar suas medidas de segurança. A visibilidade e a automação contínuas podem ajudar você a eliminar essas exposições.”
Dominique Kilman, Diretora de Consultoria, Unit 42
Saiba como as exposições à superfície de ataque são únicas e persistentes em diferentes setores ao redor do mundo. Baixe o relatório de ASM mais recente.
