O relatório de 2023 sobre Ameaças à Superfície de Ataque da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, revelou que 85% das empresas que utilizam Protocolo de Área de Trabalho, que é um prática de comunicação que permite que um computador acesse e controle remotamente outro computador através da Internet, estão vulneráveis a ataques de ransomware.
Os dados apontam que 80% das exposições de segurança estão presentes em ambientes de nuvem. "Ataques de ransomware também ocorrem no Brasil e aumentaram 51% em um ano, segundo uma pesquisa anterior da Unit 42, e o país ocupa a primeira posição como o país mais atacado da América Latina", afirma Marcos Nehme, Head Latin America & The Caribbean para Prisma Cloud da Palo Alto Networks.
Além disso, a pesquisa evidencia que a maioria das empresas enfrenta problemas de gerenciamento de superfície de ataque (ASM) e ainda não sabe disso, devido à falta de visibilidade total dos vários ativos e proprietários de TI. E as exposições aos serviços de acesso remoto representaram quase um em cada cinco problemas encontrados na Internet.
Por esse motivo, Marcos Nehme reforça a importância da vigilância constante. "A cada mudança de configuração, nova instância de nuvem ou vulnerabilidade recém-divulgada, se inicia uma nova corrida contra invasores que estão cada vez mais rápidos, enquanto as organizações enfrentam dificuldades em gerir superfícies de ataque na velocidade e escala necessárias para combater a automatização dos cibercriminosos", afirma.
Principais descobertas e destaques do relatório
De acordo com o relatório recente da Unit 42, os invasores estão cada vez mais rápidos e têm a capacidade de verificar todo o espaço de endereços IPv4 em busca de alvos vulneráveis em questão de minutos. Das 30 vulnerabilidades e exposições comuns (CVEs) analisadas, três foram exploradas poucas horas após a divulgação pública e 63% foram exploradas dentro de 12 semanas após a publicação. Das 15 vulnerabilidades de execução remota de código (RCE) analisadas, 20% foram alvo de gangues de ransomware poucas horas após a divulgação e 40% das vulnerabilidades foram exploradas oito semanas depois.
A pesquisa revelou também que a nuvem é a principal superfície de ataque: 80% das exposições de segurança estão presentes em ambientes de nuvem, em comparação com 19% em servidores on-premise (servidores de computador que são implantados e mantidos nas instalações físicas de uma organização, em oposição a serem hospedados em um data center ou na nuvem) e mais de 75% das exposições de infraestrutura de desenvolvimento de software acessíveis ao público foram encontradas na nuvem, tornando-as alvos atraentes para invasores.
"A infraestrutura de TI baseada em nuvem está em constante mudança, mudando mais de 20% em todos os setores todos os meses. A pesquisa da Unit 42 também constatou que cerca de 50% das exposições de alto risco hospedadas na nuvem a cada mês foram resultado da mudança constante na entrada online de novos serviços hospedados na nuvem e/ou na substituição de antigos", destaca Marcos Nehme.
Os dados também mostram que exposições de acesso remoto são generalizadas. Mais de 85% das organizações analisadas tinham Protocolo de Área de Trabalho Remota – Remote Desktop Protocol (RDP) – acessível pela Internet durante pelo menos 25% do mês, sendo vulneráveis a ataques de ransomware ou tentativas de login não autorizadas.
E oito dos nove setores estudados pela Unit 42 tinham RDP acessíveis pela Internet vulneráveis a ataques de força bruta durante pelo menos 25% do mês. Isso significa que, se um invasor quiser ganhar acesso a esses sistemas, eles precisam tentar diversas combinações de senhas até encontrar a correta e obter acesso não autorizado.
A demanda por gerenciamento de superfície de ataque
Permitir que equipes de SecOps reduzam o tempo médio de resposta (MTTR) de maneira significativa requer visibilidade de todos os ativos organizacionais e a capacidade de detectar automaticamente a exposição desses ativos, incluindo aplicações nativas em nuvem.
"Soluções da Palo Alto Networks de gerenciamento de superfície de ataque, como o Cortex Xpanse e a plataforma Prisma Cloud, oferecem às equipes uma compreensão mais precisa de seus ativos globais voltados para a Internet, assim como segurança desde o código até a nuvem, permitindo que as equipes de segurança e DevOps colaborem de forma eficaz para acelerar desenvolvimento e implantação seguros de aplicativos nativos da nuvem, além de possíveis configurações incorretas para descobrir, avaliar e mitigar continuamente os riscos", diz Nehme.
O Cortex Xpanse, por exemplo, realiza mais de 500 bilhões de varreduras de ativos voltados para a Internet todos os dias, fornecendo a capacidade de encontrar exposições e corrigi-las automaticamente, pois descobre ativos que a equipe de TI desconhece e não está monitorando, e recentemente a empresa introduziu novos recursos ao seu portfólio, que utilizam inteligência do mundo real e fluxos de trabalho assistidos por IA, como é o caso do Cortex XSIAM.
