Blindagem de sistemas: Por que isso ainda é negligenciado por muitas empresas?

O KRACK determinou a morte do WPA-2?
18 de outubro de 2017
Bad Rabbit, o novo malware da família do Ransonware: Do que se trata? Devo me preocupar?
25 de outubro de 2017
Por Raphael Paciulli, consultor de Segurança da Informação da EZ-Security.

O último semestre foi recheado de grandes ataques cibernéticos, cujos alvos foram empresas de diversos segmentos como auditoria (Deloitte), classificação de risco (Equifax), entretenimento de mídia (Viacom) entre outras.

Mas o que essas empresas tinham em comum que as tornavam vulnerável a estes ataques? Simplesmente a má configuração ou desatualização de soluções ou aplicações que possibilitaram aos atacantes explorarem falhas já conhecidas (e que já possuíam correção) para invadirem com sucesso os sistemas e provocarem grandes estragos.

No caso da Deloitte, tudo indica que o servidor estava atualizado e aparentemente sem nenhuma falha de segurança causada por algum erro de software. Então, o que permitiu a ocorrência do ataque? Simples: funcionalidades que estavam habilitadas quando na verdade não deveriam.

De acordo com o site V3 (www.v3.co.uk), a empresa colocou nada mais do que o servidor de Active Directory exposto para a internet e com o protocolo RDP (Remote Desktop Protocol) aberto, além é claro de outras diversas máquinas com o mesmo protocolo liberado, permitindo que o ataque se originasse a partir de uma conexão remota aparentemente liberada pela equipe de redes.

Erros como esse colocam a credibilidade das empresas em risco, pois medidas simples poderiam ter evitado esses ataques.

Neste caso, a equipe responsável por esses servidores não fez nenhuma análise devida do que o servidor deveria ter para executar as funções a ele designadas (Não vamos entrar em discussão aqui sobre onde o servidor deveria estar na rede, pois não é o tema deste artigo, mas convenhamos que um servidor de AD não poderia estar voltado para a internet certo?), além é claro de ter executado algum procedimento de blindagem desse servidor.

Mas afinal o que é blindagem?

Blindagem (ou hardening) é um processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la preparada para enfrentar tentativas de ataque. Ou seja, o servidor deve instalar / habilitar somente aquilo que precisará para executar as funções delegadas.

Um bom exemplo de fabricante que vem dando atenção a isso é a Microsoft. Há algum tempo, a empresa vem publicando o Baseline Server Hardening onde descreve os requerimentos para realização de blindagem utilizando ferramentas já presentes no Windows.

E para melhorar a segurança dos seus sistemas operacionais, a Microsoft começou a adotar a prática a partir do Windows Server 2008 de entregar o S.O sem nenhuma funcionalidade habilitada fazendo com que o usuário habilite manualmente quais serviços o Windows terá, bem diferente do que era encontrado no Windows Server 2003.

Já na versão 2012 do Windows Server, o usuário pode escolher durante a instalação até se deseja habilitar o modo gráfico do Windows, permitindo assim remover uma série de serviços desnecessários dependendo da função que o servidor terá.

A sua empresa dá a devida atenção a questão de blindagem de sistemas? Quais são as principais dúvidas e desafios referentes a este tema? A EZ-Security pode auxiliar nesta análise e implementação. Deixe seu comentário ou pergunta sobre o tema e podemos apoiar o seu negócio.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *