A agência de segurança cibernética dos EUA, CISA, e a NSA emitiram novas orientações sobre como lidar com as configurações incorretas de segurança cibernética mais comuns em grandes organizações.
Afectando muitas organizações, incluindo aquelas que alcançaram uma postura de segurança madura, estas configurações incorrectas ilustram uma tendência de fraquezas sistémicas e sublinham a importância de adoptar princípios de segurança desde a concepção durante o processo de desenvolvimento de software, observam a CISA e a NSA.
As dez configurações incorretas de rede mais comunsdizem as duas agências, incluem configurações de software padrão, separação inadequada de privilégios, falta de segmentação de rede, monitoramento de rede insuficiente, gerenciamento inadequado de patches, desvio de controles de acesso, higiene deficiente de credenciais, métodos inadequados de autenticação multifatorial (MFA), acesso insuficiente listas de controle (ACLs) em compartilhamentos de rede e execução irrestrita de código.
Essas configurações incorretas, observam a CISA e a NSA, foram identificadas após anos de avaliação da postura de segurança de mais de 1.000 enclaves de rede dentro do Departamento de Defesa (DoD), agências federais e agências governamentais dos EUA.
Muitas das avaliações concentraram-se em ambientes Windows e Active Directory e as orientações recentemente publicadas centram-se nas mitigações dos pontos fracos neles identificados. No entanto, ambientes que contenham outros softwares podem ter configurações incorretas semelhantes, afirmam as duas agências.
Ao implementar princípios de segurança desde a concepção e reduzir a prevalência destas fraquezas, observam a CISA e a NSA, os programadores de software podem reduzir a carga sobre os defensores da rede.
As duas agências também apontam que, com treinamento e financiamento adequados, as equipes de segurança de rede podem implementar mitigações para essas fraquezas, removendo credenciais padrão, fortalecendo configurações, desabilitando serviços não utilizados, implementando controles de acesso, implementando um forte gerenciamento de patches e por meio de auditoria e restrição contas e privilégios administrativos.
As táticas de segurança por design e segurança por padrão que os fabricantes de software devem adotar, dizem as agências dos EUA, incluem a incorporação de controles de segurança na arquitetura do produto durante todo o ciclo de vida de desenvolvimento de software (SDLC), remoção de senhas padrão, entrega de registros de auditoria de alta qualidade aos clientes e exigindo MFA resistente a phishing.
As mitigações recomendadas pela CISA e pela NSA estão alinhadas com as Metas de Desempenho de Cibersegurança (CPGs) intersetoriais desenvolvidas pela CISA e pelo NIST, publicadas no ano passado, e com os princípios de desenvolvimento seguro desde a concepção e seguro por padrão, publicados no início deste ano.
Além de aplicar essas mitigações, a CISA e a NSA recomendam que as organizações testem e validem seus programas de segurança contra os comportamentos de ameaças mapeados na estrutura MITRE ATT&CK for Enterprise, e que testem seu inventário de controles de segurança em relação às técnicas ATT&CK.
“As configurações incorretas descritas são muito comuns em avaliações e as técnicas listadas são padrão, utilizadas por vários atores mal-intencionados, resultando em vários comprometimentos reais da rede. Aprenda com os pontos fracos dos outros e implemente as mitigações adequadamente para proteger a rede, suas informações confidenciais e missões críticas”, afirmam a CISA e a NSA.
