Quando uma empresa quer descobrir qu\u00e3o vulner\u00e1vel \u00e9 sua infraestrutura, solicita uma avalia\u00e7\u00e3o de ciberseguran\u00e7a. Nossos colegas do departamento de Servi\u00e7os de Seguran\u00e7a avaliam v\u00e1rias organiza\u00e7\u00f5es todos os anos, e por vezes encontram casos bastante peculiares. \u00c9 claro, os detalhes n\u00e3o podem ser revelados aqui, mas os acordos de privacidade n\u00e3o os pro\u00edbem de falar sobre os erros mais recorrentes \u2013 e nos dar o benef\u00edcio dessa experi\u00eancia com dicas para tornar a infraestrutura de seu neg\u00f3cio mais resiliente no \u00e2mbito na ciberseguran\u00e7a.<\/p>\n
Ao avaliar as possibilidades de penetra\u00e7\u00e3o dos per\u00edmetros de rede, nossos colegas identificaram diversos erros comuns que permitem que cibercriminosos acessem sua infraestrutura:<\/p>\n
O \u00faltimo item merece uma aten\u00e7\u00e3o especial; em 73% dos testes realizados por nossos avaliadores de testes de intrus\u00e3o, vulnerabilidades de programas web foram usadas para acessar hosts que estavam dentro do per\u00edmetro de rede. A segunda principal falha \u00e9 o acesso de rede irrestrito para gerenciamento de interfaces. \u00c0s vezes essas interfaces podem ser acessadas com credenciais obtidas por meio da explora\u00e7\u00e3o de outras vulnerabilidades; em outros casos, as credenciais-padr\u00e3o foram mantidas. Ataques com adivinha\u00e7\u00e3o de senhas e ca\u00e7as \u00e0s credenciais em outro host comprometido tamb\u00e9m compensam.<\/p>\n
Outro problema comum \u00e9 o acesso a interfaces web de gerenciamento remoto (os pain\u00e9is de controle administrativo de programas web ou um CMS). Potencialmente, essas ferramentas permitem n\u00e3o apenas o controle completo sobre o programa web como tamb\u00e9m o acesso ao sistema operacional.<\/p>\n
Para proteger sua infraestrutura dessas falhas, nossos especialistas d\u00e3o as seguintes recomenda\u00e7\u00f5es:<\/p>\n
Mais detalhes t\u00e9cnicos, exemplos de testes de penetra\u00e7\u00e3o e dados estat\u00edsticos podem ser encontrados em um relat\u00f3rio chamado \u201cSecurity Assessment of\u00a0Corporate Information Systems in 2017<\/a>\u201d (Avalia\u00e7\u00e3o de Seguran\u00e7a em Sistemas de Informa\u00e7\u00e3o Corporativos 2017<\/em>), publicado no Securelist.<\/p>\n