Combatendo Ameaças de Segurança Pouco Óbvias do Trabalho Remoto - TechRobot

Combatendo Ameaças de Segurança Pouco Óbvias do Trabalho Remoto

Na primavera de 2020, a maioria dos governos e empresas ao redor do mundo foi forçada a transferir rapidamente muitos funcionários para o trabalho remoto. Por causa disso, as questões de design de um novo sistema de segurança da informação foram adiadas. Em vez disso, as organizações adotaram as medidas de proteção mais relevantes disponíveis naquele momento, por exemplo, firewalls, VPNs e autenticação de múltiplos fatores.

Devido à pressa em construir o trabalho remoto e aos orçamentos limitados, muitas ameaças urgentes de segurança foram ignoradas. Com o tempo, o sistema de proteção de informações e sua base documental foram aprimorados para levar em conta o maior número de ameaças reais. No entanto, os atacantes continuam a encontrar e usar brechas para causar danos.

Ameaças às contas de usuários

· Interceptando credenciais inseridas

Uma das medidas para proteger informações ao organizar o trabalho remoto quando os funcionários usam dispositivos pessoais é a virtualização dos locais de trabalho e a migração de aplicativos para um servidor terminal, seguida pela completa isolamento do ambiente.

De fato, se um malware for instalado no computador de um funcionário, isso não afetará o ambiente de trabalho ou as aplicações empresariais.

No entanto, mesmo que uma autenticação alternativa seja usada para a conexão remota, se você se conectar a uma estação de trabalho virtualizada (VDI) e a uma aplicação terminal (por exemplo, via RemoteApp), há uma alta probabilidade de que a aplicação exija autorização usando um nome de usuário e senha. Neste caso, o malware pode interceptar as teclas digitadas, identificar a combinação correta de login-senha e, finalmente, um atacante poderá obter acesso a dados confidenciais.

Para mitigar essa ameaça, recomenda-se o uso de soluções de Single Sign-On (SSO) em conjunto com soluções para autenticação alternativa. A solução SSO deve ser instalada nas estações de trabalho do escritório às quais o funcionário se conecta via VDI ou em um servidor terminal. Além disso, para confirmar a autenticação em aplicações corporativas, o sistema exigirá um fator de autenticação alternativo, após o qual o SSO fornecerá de forma independente as credenciais necessárias. Assim, mesmo que haja um keylogger na estação de trabalho de um funcionário, os logins e senhas digitados não podem ser interceptados.

· Clonando o gerador de senha de uso único

Não é preciso dizer que métodos de autenticação forte (multi-fator) aumentam significativamente a resistência a ameaças enquanto se trabalha remotamente. No entanto, todas as tecnologias de autenticação têm diferenças significativas tanto em termos de aplicabilidade quanto de segurança.

Os métodos populares de autenticação multifator de hoje, que usam códigos de uso único gerados no dispositivo ou enviados por mensageiros, têm vulnerabilidades significativas. Se um atacante ganhar acesso contínuo a um smartphone, ele pode tentar obter privilégios elevados no smartphone (jailbreaking para dispositivos iOS, root para Android). E se um atacante tiver sucesso, ele poderá clonar as chaves do gerador de senha de uso único e configurá-lo para enviar códigos para seu próprio dispositivo.

Para mitigar esse risco, recomenda-se abandonar senhas de uso único e usar autenticação push, que é explicitamente vinculada ao dispositivo e não funcionará no dispositivo do atacante.

Ameaças à disponibilidade dos recursos corporativos

· Bloqueio remoto de contas de usuário

Muitas vezes, os serviços web estão disponíveis pela Internet. Por exemplo, o webmail pode ser usado para acessar recursos corporativos.

Às vezes, o nome da caixa de correio é o mesmo que o nome da conta de domínio. Hackers podem tentar adivinhar a senha lançando um ataque de força bruta. Para neutralizar essa ameaça, o bloqueio da conta deve ser ativado após várias tentativas malsucedidas de senha.

No entanto, um atacante pode forçar bruscamente senhas para bloquear propositalmente uma conta de domínio. Tal ataque pode paralisar alguns processos de negócios.

Para neutralizar parcialmente essa ameaça, você pode usar uma solução especializada para autenticação de dois fatores (2FA), por exemplo, senhas de uso único. Neste caso, mesmo que uma tentativa de força bruta seja feita, o segundo autenticador, e não a conta, será bloqueado. Assim, o funcionário manterá a capacidade de acessar os recursos corporativos, embora apenas por uma conexão alternativa ou quando trabalhar localmente.

· Perda ou falha de um meio que armazena chaves de segurança

Ao executar tarefas de trabalho, trabalhadores remotos podem usar certificados digitais para assinar documentos, conectar-se a serviços web de terceiros, ou para outras tarefas. Ao mesmo tempo, no caso de perda ou falha do dispositivo (por exemplo, o pen drive que armazena as chaves), surge o problema da sua substituição rápida. Muitas vezes, isso não pode ser implementado dentro de um prazo razoável, especialmente se o funcionário estiver localizado longe do escritório.

Para neutralizar a ameaça, você pode usar soluções especializadas que implementam um cartão inteligente virtual que não mantém informações-chave em um dispositivo removível.

Neste caso, o armazenamento da chave será realizado das seguintes formas:

1) No lado do servidor, todas as operações com chaves são realizadas no servidor.

2) Um módulo especializado dentro do dispositivo – Trusted Platform Module.

Essas soluções são consideradas menos seguras do que mídias protegidas removíveis, mas essas soluções são as mais flexíveis e adequadas para a situação de emergência descrita.

Após a substituição da chave, o cartão inteligente virtual pode ser desativado. Assim, mesmo que o portador da chave seja perdido ou quebrado, não haverá interrupção nos processos de negócios da empresa.

Ameaças da não atribuição das ações que levaram ao incidente

· Disputes em caso de falha crítica de recurso

Sempre que usuários privilegiados trabalham com recursos de TI, existe sempre um risco de erro humano. Suas próprias ações podem levar à falha de um recurso crítico.

Mesmo trabalhando diretamente nas instalações de uma organização, pode ser difícil descobrir o que aconteceu e quem é responsável pelo fracasso. No caso de acesso remoto, essa situação se torna mais complicada. A investigação de tais incidentes não apenas afeta negativamente o ambiente de trabalho quando há tentativas de culpar a parte inocente, mas também desperdiça muito tempo em ações improdutivas.

Usar soluções SIEM provavelmente permitirá que você descubra quem se conectou ao recurso, mas é improvável que determine com precisão quem é responsável em caso de múltiplas conexões simultâneas. E a sequência de ações que levou à falha também é difícil de determinar.

No entanto, ao utilizar as soluções de Privileged Access Management (PAM), todas as conexões de usuários privilegiados podem ser registradas em vários formatos (vídeo, texto, capturas de tela, teclas digitadas, arquivos transferidos, etc.) Posteriormente, utilizando esses registros, você pode rapidamente determinar qual sequência de ações levou à falha e identificar a pessoa responsável pelo incidente.

· Uma tentativa de evadir-se da responsabilidade

Existem situações em que um insider malicioso trabalha em uma empresa. Ele pode intencionalmente realizar algumas ações que podem levar a uma falha ou interrupção de um recurso crítico. Por si só, a tarefa de identificar o responsável não é fácil; no entanto, usando soluções PAM, você pode rapidamente encontrar o culpado.

Quando pego, o funcionário pode dizer que sua senha foi roubada. Não é segredo que a autenticação por senha é muito vulnerável a várias ameaças, e o próprio fato da divulgação muitas vezes só é revelado após o incidente.

Obviamente, em tal situação, os oficiais de segurança podem pensar que o funcionário é inocente e que o que aconteceu é apenas uma infeliz coincidência.

Para neutralizar essa ameaça, recomenda-se o uso de 2FA em conjunto com a solução PAM. Se o funcionário for realmente um insider malicioso, será difícil para ele evitar a responsabilidade. Se, no entanto, um funcionário alegar que não apenas sua senha, mas também seu telefone foram roubados, no qual um gerador de senha única está instalado, será feita a ele uma pergunta lógica: “Por que você não notificou prontamente o serviço de segurança sobre isso?”

Conclusão

Tendo em conta as ameaças adicionais que surgem ao trabalhar remotamente, é necessário ter em mente que as ameaças à segurança da informação evoluem com o desenvolvimento das tecnologias de TI. Os atacantes se adaptam e estão sempre à procura de novas maneiras de ganhar mais dinheiro. Até que os sistemas de defesa sejam completamente reconstruídos para as novas realidades, os cibercriminosos podem aproveitar suas antigas e novas fraquezas para seus próprios fins.

Hoje, o formato de trabalho remoto entrou firmemente em nossa vida e até mesmo é regulamentado a nível estadual em alguns países. Consequentemente, especialistas em segurança da informação têm que considerar cuidadosa e sem pressa até que ponto os sistemas de proteção existentes estão prontos para resistir a desafios cibernéticos modernos. Até mesmo tivemos que começar a olhar para coisas que nunca pensamos que teríamos que considerar, como os riscos de segurança ao jantar fora.