Inimigo com remuneração

Informativos By mar 30, 2022

Recentemente um grupo de cibercriminosos realizou, de forma aberta em seu canal de comunicação, um anúncio de recrutamento e compra de credenciais legítimas para acesso remoto. Isso nos coloca em alerta e deixa claro que também devemos nos preocupar com acessos legítimos que podem ter sido vendidos no submundo do crime por pessoas que de fato possuem acesso.

Dicas para ajudar sua organização a se defender contra futuros ataques cibernéticos e violações de dados com credenciais legítimas como vetor inicial:

  • Revise acessos RDP, SSH, Web Consoles, Admin Consoles e etc. expostos à Internet, proteja tais acessos através de uma VPN ou tecnologias mais fortes.
  • Pratique a higiene cibernética, principalmente de acessos remotos e saiba que credenciais antigas podem ser facilmente utilizadas para ataques.
  • Muita atenção aos acessos de usuários afastados, de férias ou de licença. Realize o bloqueio temporário destes até o retorno do mesmo.
  • Implemente tecnologias de 2FA/MFA para todos os sistemas corporativos, sem exceção.
  • Implemente regras de horário de acesso à sistemas críticos, evitando que todos sempre tenham acesso 24/7.
  • Crie alertas de acesso fora do horário de expediente por grupo de usuários, caso haja um acesso em um sistema pela madrugada no fim de semana, você deve saber e entender o motivo rapidamente.
  • Repense o uso de acesso por certificado de computador e políticas de controle de acesso à rede (NAC), pois tal medida dificulta o acesso por um dispositivo não autorizado na organização.
  • Implemente controle de acesso baseado em funções (RBAC), evite o famoso “admin all” para todos os usuários, incluindo principalmente os próprios membros do TI.
  • Tenha em mente que os acessos devem ser concedidos somente o necessário para o desempenho das funções, trabalhe sempre na criação de perfis de acesso enxutos aos usuários (principle of least privilege).
  • A nível de rede, monitore o acesso em portas conhecidas por administração remota tais como 22, 23 ou 3389 e crie regras de alertas em casos suspeitos. 
  • Atenção especial aos acessos à banco de dados, sistemas de backup e sistemas ERP, estes devem levar à risca o princípio do menor privilégio e acesso somente durante o tempo necessário (just-in-time access).
  • Sempre que possível, restrinja o acesso por geolocalização, range de IPs e oriundas de redes anonimizadas, à exemplo da rede Tor.
  • Desabilite meios de acesso remoto não utilizados, exemplo: desabilite o acesso ssh e permita somente a web console, ou vice-versa.
  • Implemente boas práticas de segurança nos sistemas de acesso remoto utilizados pelo suporte técnico, tais como anydesk, teamviewer, vnc, radmin e etc.
  • Monitore a desativação de 2FA/MFA de qualquer usuário, se for desativado, saiba imediatamente para entender o motivo.