Os riscos na falta de controle de inventário

Eu comecei na área de segurança da informação aos 12 anos, hackeando jogos para me tornar o player mais poderoso online. Naquela época, eu não tinha ideia que um dia me tornaria um profissional de segurança ofensiva e, muito menos, que seria chamado para montar e liderar um ‘Dream Team’ numa multinacional como a Telefónica Tech. Hacking, era antes de tudo, um estilo de vida. De lá para cá, das muitas lições que aprendi é que nem sempre nas coisas mais complexas, na exploração de falhas mais complicadas, é que se encontram os tesouros mais preciosos. E ao decorrer da minha carreira isso se concretizou consecutivamente.  

  Algumas verdades são inegáveis – A Segurança é inversamente proporcional à praticidade, pelo menos um ataque cibernético acontece a cada 39 segundos e a falha mais simples pode desencadear o fim de um Império. Um problema recorrente que percebo em várias empresas que testei se resume a uma falha de levantamento de inventário de aplicações e se elas estão ou não divulgando serviços da rede interna de sua empresa.  

Uma atividade comum nas nossas abordagens de Red Team Testing é a modelagem de ameaças, ou seja, mapear todo o cenário de uma empresa e ver o grau de impacto que um atacante verdadeiro conseguiria causar. É neste ponto que esbarramos com as falhas de controle de inventário de aplicações. Como uma empresa vai gerenciar suas aplicações? Além disso, como patchs de segurança serão aplicados, se existem esses pontos cegos? 

 O cenário vai se tornando mais crítico quando essa mesma aplicação, que não está protegida pelo patch de segurança mais atual, divulga concomitantemente serviços internos e externos. Ela se torna um dos nossos principais alvos, e não é uma prática incomum que as equipes de Red Team estejam focadas nesse alvo. Mesmo não encontrando nenhuma vulnerabilidade crítica inicialmente, façam o download da aplicação, e pesquisem internamente, para, assim, encontrarem seus próprios Zero Days e posteriormente comprometerem a empresa alvo. 

 Saindo um pouco da ótica técnica e indo para um nível estratégico, esbarramos em problemas de políticas de segurança da informação que estão sendo desrespeitadas. Existem os problemas de conformidade com a IS027001, LGPD, GDPR que demandam levantamento de inventário e o risco da perda de credibilidade com seus clientes – O monstro que todos querem evitar. 

  A nossa recomendação é um levantamento de inventário completo, mapeando aplicações que devem ou não estar voltadas para fora, acompanhado por um gerenciamento contínuo de aplicação de patchs. Para mais informações ou dúvidas sobre como lidar com este problema entre em contato com a equipe da Telefónica Tech.  

Uma aplicação divulgando um serviço interno pode não disparar grandes alertas, para os mais leigos. Porém, é um alvo fácil para um profissional de elite.