Visão Geral
Eventos como o SaltTyphoon são um excelente lembrete da vulnerabilidade de empresas e usuários a violações devido à dependência de infraestruturas que podem não estar sob seu controle. Com aplicativos cada vez mais distribuídos, servidos por nuvens públicas, SAAS e provedores globais de serviços para computação, armazenamento e redes, as superfícies de ataque estão fora do seu controle. E, como dizem, as violações se tornaram uma questão de “quando” e não de “se”. A abordagem mais clara para prosperar nesse ambiente é reduzir as superfícies de ataque externas e internas usando os princípios de Zero Trust para garantir a segurança desde o design. Garantir o acesso seguro à rede com o Unified SASE as a Service é um grande avanço ao oferecer simplicidade operacional, removendo a proliferação de fornecedores de rede e segurança. No caso de uma violação, é ainda mais crítico isolar o problema, reduzir a zona de impacto e continuar a atender às necessidades do negócio. O SASE controla o deployment de várias tecnologias de segurança e oferece um tempo de resposta mais rápido, o que ajuda significativamente com a higiene da rede e reduz as superfícies de ataque.

Infraestrutura Alvo

Produtos de infraestrutura populares, como switches e roteadores, são amplamente utilizados na indústria. É amplamente conhecido que, às vezes, a senha padrão de fábrica não é alterada. Dada a prevalência dos equipamentos da Cisco, não é surpreendente que o SaltTyphoon mire dispositivos da Cisco. Vários motivos são discutidos abaixo:

  • Considerando sua ubiquidade e domínio de mercado, a Cisco é um dos maiores fornecedores de equipamentos de rede no mundo. Seus dispositivos são implantados em empresas, provedores de serviços e infraestrutura crítica. Um comprometimento bem-sucedido de equipamentos Cisco pode conceder aos atacantes acesso a redes com informações sensíveis e de alto valor.
  • O SaltTyphoon frequentemente foca em governos, militares e infraestrutura crítica, onde os equipamentos Cisco são amplamente implantados. Equipamentos Cisco, como roteadores, switches e firewalls, são essenciais para o gerenciamento de tráfego de rede, tornando-os pontos ideais para interceptação, exfiltração de dados ou manipulação de tráfego. Os equipamentos Cisco são frequentemente utilizados em organizações que gerenciam operações politicamente ou economicamente sensíveis, tornando-os um alvo perfeito para espionagem. Esses dispositivos ocupam posições de rede confiáveis e, quando comprometidos, podem contornar medidas de segurança e interromper operações, dando aos atacantes vantagem sobre as organizações-alvo.
  • Devido ao acesso persistente e operações furtivas, os dispositivos Cisco fornecem uma base sólida para implantar um backdoor. O SaltTyphoon frequentemente implanta código malicioso persistente diretamente na infraestrutura de rede, visando os dispositivos Cisco, já que equipamentos de rede comprometidos frequentemente escapam dos sistemas de detecção de endpoints, proporcionando aos invasores uma base furtiva.
  • O SaltTyphoon é conhecido por explorar vulnerabilidades não corrigidas, e dispositivos Cisco estiveram associados a vulnerabilidades de alto perfil ao longo dos anos (por exemplo, Cisco Smart Install, falhas em VPN). Desenvolver ou adquirir exploits avançados visando sistemas Cisco é uma tarefa fácil. Ao explorar os dispositivos Cisco em posições estratégicas, os atacantes podem comprometer várias organizações downstream em uma cadeia de suprimentos.

Desafios Associados à Limpeza de Sistemas de TI

A principal razão para tanto trabalho são as soluções fragmentadas e conectadas que várias empresas frequentemente fornecem. Além disso, há muito pouca visibilidade e nenhum sistema de monitoramento disponível, o que significa que o malware pode estar escondido em qualquer parte da infraestrutura. Portanto, o desafio é determinar quais sistemas estão infectados e encontrar uma maneira de remediar isso. Vamos entender as limitações técnicas:

  • APTs usam táticas furtivas (malware sem arquivo, criptografia e ofuscação), mecanismos de persistência (chaves de registro ocultas, tarefas agendadas, modificações no firmware) e ferramentas personalizadas para evitar a detecção e as tentativas de limpeza.
  • Falta de visibilidade devido a ambientes complexos, como sistemas de TI espalhados com inúmeros endpoints, servidores e integrações em nuvem, o que dificulta o monitoramento. Muitas organizações não registram dados suficientes ou não os mantêm por tempo suficiente para rastrear a extensão completa da violação.
  • Limitações humanas devido a lacunas de habilidades e tempo de resposta lento permitem que os atacantes estabeleçam uma base mais forte. Muitas organizações não têm as habilidades especializadas ou recursos para responder a APTs. Além disso, as organizações priorizam as necessidades operacionais em vez da segurança, deixando lacunas nas defesas.
  • O atraso na detecção devido ao tempo de residência também é um fator contribuinte, já que APTs podem permanecer indetectadas por meses ou até anos. Durante esse tempo, podem implantar vários backdoors e comprometer diversos sistemas. Quando descobertos, os atacantes podem já estar profundamente infiltrados.

Unified SASE as a Service como Medida de Proteção Integrada

O Unified SASE as a Service, uma solução chave no arsenal da Aryaka, é fundamental na luta contra ameaças persistentes avançadas (APTs) como o SaltTyphoon. Suas defesas proativas e reativas são projetadas para superar ataques avançados, tornando-os cruciais para qualquer estratégia de segurança organizacional.

  • Aplicar o princípio do menor privilégio é um passo crítico na luta contra APTs. As organizações devem implementar controles de acesso granulares usando ZTNA para garantir que usuários, dispositivos e aplicativos só interajam com os recursos específicos necessários para seus papéis. Isso reduz significativamente o potencial de um APT causar danos generalizados, tornando-se uma estratégia de defesa essencial.
  • Políticas de identidade e contexto, que consideram localização, tempo e comportamento, são cruciais na luta contra APTs. Ao permitir a verificação contínua de usuários e dispositivos, essas políticas reduzem significativamente as chances de um atacante conseguir se passar por um usuário legítimo. Isso cria confiança nas medidas de segurança, tornando-as parte essencial da estratégia de defesa de qualquer organização.
  • O Unified SASE as a Service oferece capacidades de contenção usando microsegmentação para isolar cargas de trabalho, aplicativos e dispositivos dentro da rede. Essa estratégia restringe o movimento lateral de um APT, impedindo que os atacantes comprometam sistemas adicionais, mesmo que tenham conseguido um ponto de entrada inicial.
  • Com o Unified SASE as a Service, as organizações podem aprimorar o monitoramento e a visibilidade nas camadas de rede e segurança para detectar anomalias e correlacionar indicadores para identificar e responder a atividades de APT de forma precoce. Além disso, recursos de segurança como SWG, FwaaS, IPS, varredura de arquivos, entre outros, fornecem alertas em tempo real e respostas automatizadas a atividades suspeitas, permitindo que as organizações detectem e contenham rapidamente as ações do APT.
  • É amplamente entendido que os APTs roubam dados sensíveis e propriedade intelectual das redes-alvo, por isso os atacantes precisam exfiltrar essas informações para locais remotos. Com o Unified SASE as a Service, é possível detectar anomalias de vazamento de dados e transferência de dados durante a exfiltração, incluindo abuso de protocolos, usando recursos de segurança como CASB, DLP e motores de segurança baseados em ML/AI para detecção de anomalias.

Recomendações Gerais

Uma consideração crucial é a simplicidade operacional, pois esses processos podem adicionar uma carga significativa e são difíceis de manter de forma sustentável. Criar papéis e responsabilidades claras para a criação e gestão de políticas e procedimentos de segurança é muito útil. As organizações podem fazer mais do que o que a CISA e FBI sugeriram. Veja abaixo: