Consequências não intencionais da COVID-19: Exposição Operacional

Tempos extraordinários exigem medidas extraordinárias.

Muitas pessoas proferiram essa frase em vista da COVID-19. Uma dessas medidas extraordinárias foi a mudança para o trabalho remoto para muitos de nós. Nesse contexto, o acesso a aplicativos críticos é frequentemente discutido. Mas raramente ouvimos detalhes sobre como esse acesso foi habilitado.

Uma das maneiras pelas quais o acesso foi habilitado é abrindo o RDP. Não é surpresa que a SANS tenha notado que a Shodan viu um aumento significativo no número de portas RDP abertas na Internet no final de março. Muitas pessoas confiam nesta opção básica para habilitar o acesso remoto direto aos desktops.

Embora o RDP seja provavelmente o protocolo mais mencionado quando se trata de acesso remoto atualmente, parece que os consoles operacionais de TI também estão tendo passagem irrestrita pelo perímetro corporativo. O mesmo blog do SANS contém um gráfico muito interessante que, além do aumento nas portas RDP abertas, mostra um aumento significativo nas portas abertas em execução no 8080.

Agora, 8080 é a porta 'alternativa ao HTTP'. Qualquer pessoa que tenha implantado aplicativos da web reconhecerá que esse é praticamente o padrão para estruturas e consoles operacionais.   

De modo geral, os consoles operacionais têm seus próprios métodos de controle de acesso. Credenciais são necessárias, então há maneiras de limitar quem pode iniciar um cluster de repente ou desligar um aplicativo ou fazer alterações em uma configuração em execução. O problema, é claro, é que quando olhamos para o número de incidentes que ocorreram graças à falta de controle de acesso — ou seja, nenhuma credencial necessária — para consoles operacionais, não há dúvida de que alguns desses aplicativos operacionais estão sendo executados totalmente abertos, sem proteção entre eles e a Big Bad Internet.

É importante lembrar que os consoles operacionais são, fundamentalmente, aplicativos . Eles são compostos de componentes de origem externa, assim como qualquer outro aplicativo. Eles são desenvolvidos usando as mesmas bibliotecas e frameworks de qualquer outro aplicativo. Eles são implantados na mesma plataforma de qualquer outro aplicativo. 

O que significa que eles precisam ser protegidos, como qualquer outro aplicativo, porque são vulneráveis às mesmas explorações que qualquer outro aplicativo.

Não podemos simplesmente depender da movimentação de aplicativos operacionais para uma porta diferente. Na era da automação, onde os criminosos têm acesso a vastas redes de bots para escanear portas abertas, eles serão encontrados. Juntamente com a capacidade de identificar uma resposta em qualquer porta, os aplicativos serão encontrados em portas não padrão. A segurança através da obscuridade não é uma estratégia viável hoje porque o tempo e o investimento financeiro necessários para encontrar alvos são mínimos.

Sabemos por nossa pesquisa que uma porcentagem significativa de aplicativos são protegidos por um firewall de aplicativo web. O que não sabemos é qual porcentagem desses aplicativos são operacionais ou voltados para negócios.

Talvez seja hora de começar a descobrir.

À medida que as organizações avançam em sua jornada de transformação digital , elas dependerão mais de aplicativos operacionais para criar, implantar e operar os aplicativos e serviços de aplicativos que representam o negócio. Esses aplicativos operacionais precisam ser tratados com a mesma criticidade que qualquer outro aplicativo que expresse uma função comercial. Eles precisam ser protegidos contra uso malicioso porque podem e terão um impacto direto nos negócios se forem mal utilizados. 

Muitas pessoas estão dizendo que esse é o novo normal; que o trabalho remoto será mais aceitável e até preferível para muitas organizações depois que essa pandemia passar. O trabalho remoto inclui operadores de aplicativos e infraestrutura que precisam de acesso aos consoles que os mantêm no controle. Mas esses consoles — esses aplicativos operacionais — precisam ser protegidos contra abuso e uso indevido para que isso se torne realidade.  Um conjunto básico de proteções deve:

• Exigir autenticação
• Use SSL/TLS para proteger a comunicação
• Esteja ciente do acesso à API e proteja-o também
• Proteja-se contra a exploração de vulnerabilidades e abusos por bots com os serviços de aplicativos apropriados

Já passou da hora de garantir que sua estratégia de segurança inclua aplicativos operacionais e também aplicativos essenciais aos negócios. Porque, a longo prazo, os aplicativos operacionais serão aplicativos essenciais para os negócios.

Fique seguro lá fora. Pessoalmente e operacionalmente.