O que é análise de vias de ataque (APA)?

A análise de vias de ataque (APA) identifica possíveis rotas que os invasores podem explorar para se infiltrar na sua rede ou no seu sistema. 

Usando o mapeamento de caminhos de ataque, você pode entender melhor como vulnerabilidades, configurações incorretas e permissões associadas a ativos e identidades na sua rede combinam-se para criar cenários que possam ser explorados.

Essa abordagem de segurança cibernética geralmente usa gráficos de ataque para ilustrar as conexões entre recursos comprometidos e seu possível impacto em ativos críticos. Em sua forma mais simples, a APA ajuda você a:

• Entender a relação entre ativos, identidades e riscos que os invasores podem explorar para comprometer os ativos da joia da coroa.
• Identificar riscos, técnicas ou pontos de obstrução específicos em uma via de ataque que os invasores podem usar para quebrar a cadeia de ataque e interromper um ou mais caminhos de ataque. 
• Recomendar patches específicos, alterações de configuração ou ações que você pode usar para mitigar o risco.

Para ser mais esperto que os invasores, você precisa pensar como eles. A APA é importante porque ajuda você a ver a sequência de etapas que o invasor pode seguir para comprometer os sistemas. Ela destaca onde os agentes de ameaças podem obter acesso à sua superfície de ataque, fazer o movimento lateral, escalonar privilégios e alcançar um resultado pretendido, como interromper serviços, extrair dados confidenciais ou manter uma rede ou dados para resgate. 

Com as perspectivas da APA, suas equipes de segurança podem tomar medidas proativas para agir de forma decisiva e fortalecer suas defesas de segurança cibernética.

• Uma superfície de ataque inclui todas as maneiras pelas quais um invasor pode explorar seus ativos digitais, como sistemas externos, identidades e vulnerabilidades. Isso varia de acordo com o porte, o setor e a pilha de tecnologia da sua organização.
• Vetores de ataque são técnicas que os invasores podem usar para explorar uma vulnerabilidade, uma configuração incorreta ou excesso de permissões da sua superfície de ataque, como vulnerabilidades de software não corrigidas, configurações incorretas, malware, identidades comprometidas etc.
• Vias de ataque são relações entre ativos, identidades e riscos que um invasor pode explorar em sequência para obter acesso, fazer o movimento lateral e alcançar um resultado pretendido.

A análise de vias do ataque está intimamente alinhada com a estrutura MITRE ATT&CK, que categoriza as táticas, as técnicas e os procedimentos (TTPs) do adversário. A APA complementa essa estrutura ao:

• Identificar TTPs: a estrutura MITRE ATT&CK descreve o que os invasores podem explorar no seu ambiente;
• Identificar combinações de TTP que um invasor pode explorar.
• Informar estratégias de mitigação para técnicas de alta prioridade.

Ao integrar a APA com a estrutura MITRE ATT&CK, você pode preencher a lacuna entre a modelagem teórica de ameaças e as medidas práticas de segurança.

1. Use as vias de ataque para demonstrar visualmente o possível impacto e validar e priorizar o gerenciamento de patches ou outras necessidades de mitigação.
2. Rastreie e reduza rapidamente as violações ativas com uma visão detalhada dos pontos fracos que levam a ativos críticos.
3. Identifique ativos e conexões não autorizados que possam comprometer a integridade dos ambientes com proteção por air-gap. 
4. Identifique configurações de risco, privilégios e vulnerabilidades que podem levar ao comprometimento de aplicações, sistemas e identidades de missão crítica. 
5. Comunique os riscos em uma linguagem que os executivos e membros do conselho consigam entender, e não por volume de riscos individuais.
6. Impeça que os invasores acessem sistemas e dados críticos para garantir a continuidade do negócio.
7. Identifique e resolva as vias de ataque que podem resultar em violações regulatórias para garantir a conformidade com normas como SOC 2 e GDPR.

• Identifique automaticamente todos os ativos e identidades da sua rede, inclusive recursos não gerenciados ou shadow IT.
• Atualize e avalie regularmente sua superfície de ataque para detectar novas vulnerabilidades ou alterações na rede.
• Forneça mapeamentos claros das possíveis rotas de ataque (visualização de vias de ataque) para mostrar como os invasores podem explorar as vulnerabilidades em sequência.
• Avalie a severidade da vulnerabilidade e o possível impacto para priorizar a correção com base no risco e na criticidade do ativo.
• Trabalhe com as ferramentas e as estruturas de segurança existentes de forma simplificada para obter uma estratégia de defesa unificada.
• Obtenha representações visuais claras e intuitivas de vias de ataque e pontos de obstrução (visualização de gráficos de ataque).
• Identifique e mapeie automaticamente todos os ativos, inclusive shadow IT e recursos de nuvem.
• Acompanhe continuamente as mudanças no seu ambiente para identificar novos riscos e vias de ataque em tempo real.
• Obtenha perspectivas práticas e orientações de correção passo a passo para abordar os riscos.
• Obtenha um mapeamento claro e em tempo real das vias de ataque com detalhes sobre a origem, o alvo e a severidade.
• Destaque as áreas em que várias vias de ataque se cruzam para uma mitigação focada.
• Obtenha suporte para ambientes híbridos ou de nuvem dinâmica.
• Notifique as equipes sobre os riscos críticos e as etapas de correção recomendadas.

• As vias de ataque de escalonamento de privilégios e credenciais concentram-se em como os invasores podem escalonar privilégios usando credenciais roubadas, mecanismos de autenticação deficientes ou permissões mal configuradas. Técnicas como Pass-the-Hash, Kerberoasting e contas com excesso de privilégios permitem que os adversários obtenham níveis de acesso mais altos, muitas vezes levando ao comprometimento de todo o domínio.
• As vias de ataque de movimento lateral permitem que os invasores naveguem por uma rede após o acesso inicial. Ao explorar delegação mal configurada, ataques de retransmissão de SMB e políticas de grupo deficientes, os invasores passam de contas ou máquinas com poucos privilégios para ativos mais críticos, como controladores de domínio ou bancos de dados confidenciais.
• As vias de exploração de vulnerabilidades dependem de invasores que exploram vulnerabilidades de software não corrigidas ou pontos fracos do sistema para obter acesso não autorizado. Os invasores têm como alvo CVEs críticos, pontos de entrada de ransomware e ambientes híbridos do Active Directory (AD) mal configurados para executar códigos, escalonar privilégios ou fazer o movimento lateral em uma rede.
• Uma segurança de rede deficiente e configurações incorretas criam vias de ataque baseadas na rede e na configuração incorreta que podem permitir acesso não autorizado ou o escalonamento de privilégios. Os invasores se aproveitam de compartilhamentos de rede abertas, interfaces de administração expostas (RDP, SSH) e relações de confiança de domínio fracas, que podem criar pontos de apoio para outros ataques.
• As vias de comprometimento de domínios concentram-se em obter controle sobre o Active Directory para manipular os mecanismos de autenticação e autorização. Os invasores exploram os ataques DC Sync, DC Shadow e Golden Ticket para se passar por usuários privilegiados e manter o acesso persistente para assumir o controle de todo o seu domínio.
• Os invasores podem explorar vias de ataque híbridas e em nuvem, como ambientes de nuvem mal configurados, políticas de gerenciamento de identidade e acesso (IAM), buckets de armazenamento expostos e mecanismos fracos de federação de identidade para comprometer os recursos baseados na nuvem. Ao utilizar o sequestro de tokens do OAuth ou abusar da confiança do Active Directory híbrido, os invasores podem se mover entre ambientes na nuvem e locais sem serem detectados.

Ao incorporar a APA ao seu programa de segurança, você pode melhorar a higiene cibernética ao:

• Antecipar e mitigar proativamente as possíveis ameaças antes que elas se materializem;
• Implantar medidas de segurança de defesa, direcionadas exatamente onde você mais precisa;
• Concentrar-se em vulnerabilidades de alto risco para otimizar a alocação de recursos de segurança;
• Aprimorar a resposta a incidentes por meio de detecção, análise e resposta a incidentes de segurança;
• Abordar e priorizar vulnerabilidades que fazem parte de caminhos de ataque de alto risco para otimizar o gerenciamento de vulnerabilidades e as iniciativas de correção;
• Usar representações visuais das vias de ataque para entender e comunicar melhor os riscos às partes interessadas técnicas e não técnicas;
• Use a threat intel para priorizar a correção das vulnerabilidades mais críticas que representam uma ameaça direta aos seus valiosos ativos;
• Apoiar a conformidade demonstrando controle sobre os riscos e as vulnerabilidades de segurança.

Também há benefícios da análise de vias do ataque no gerenciamento de vulnerabilidades:

• O mapeamento de caminhos de ataque pode ajudar você a encontrar e priorizar suas vulnerabilidades mais críticas;
• Oferece suporte a avaliações de risco proativas;
• Concentra-se em vulnerabilidades em vias de ataque ativas para reduzir o desperdício de recursos e iniciativas;
• Ajuda a aumentar a visibilidade da superfície de ataque, mostrando riscos interconectados;
• Permite o gerenciamento proativo de riscos para apoiar iniciativas de conformidade.

Ferramentas para análise automatizada de vias de ataque funcionam ao:

• Visualizar as relações entre ativos, identidades e vulnerabilidades;
• Identificar combinações tóxicas e sobreposições perigosas entre configurações e permissões;
• Simular cenários de ataque ao antecipar os movimentos do invasor com base em táticas e técnicas conhecidas.

Ao escolher uma ferramenta de APA, pergunte:

• A ferramenta pode avaliar todas as possíveis vias de ataque em toda a rede com cobertura de vários domínios?
• Ela tem representações visuais intuitivas, fáceis de usar e claras das vias de ataque?
• Ela pode ser flexível e escalonada de acordo com as necessidades do seu negócio e com a arquitetura de rede em evolução?
• Ela integra-se perfeitamente às ferramentas de segurança e aos fluxos de trabalho existentes?
• O fornecedor fornece atualizações regulares para lidar com ameaças e vulnerabilidades emergentes?

1. Escopo e descoberta: defina os limites da análise e identifique os ativos essenciais (ex.: ativos de TI, bancos de dados, contas privilegiadas, controladores de domínio) para entender o layout da rede. Seu objetivo é determinar possíveis superfícies de ataque, como serviços expostos à Internet, recursos de nuvem mal configurados ou outros controles de segurança.
2. Agregue e correlacione dados para mapear as relações entre usuários, controladores de domínio, sistemas e vulnerabilidades. Isso revela vetores de ataque ocultos, como credenciais fracas usadas em vários sistemas ou vulnerabilidades não corrigidas que podem levar ao escalonamento de privilégios.
3. Use a modelagem e a visualização de gráficos para ver como o invasor poderia se movimentar no seu ambiente explorando vulnerabilidades, escalonamento de privilégios, movimento lateral ou utilizando configurações incorretas.
4. Priorize a correção: depois de identificar as possíveis vias de ataque, classifique-as com base em fatores de risco, como explorabilidade (facilidade de ataque), priorização de pontos de obstrução, impacto (consequências ao negócio) e probabilidade (técnicas de ataque da vida real usadas no MITRE ATT&CK). As vias mais críticas, como as que levam ao acesso do administrador do domínio ou aos ativos críticos para os negócios, devem ter a prioridade mais alta.

Dentro da estrutura do CTEM, a APA:

• Identifica exposições mapeando possíveis vias de ataque;
• Destaca as vulnerabilidades mais críticas que podem resultar em violações significativas para que você possa priorizar a atenuação;
• Fornece perspectivas para informar estratégias de defesa proativas para fortalecer sua postura geral de segurança e aumentar a resiliência.

A APA dá suporte a medidas de segurança reativas e proativas:

• Segurança reativa: auxilia na resposta a incidentes, rastreando as etapas do ataque, compreendendo sua progressão e identificando os ativos comprometidos.
• Segurança proativa: ajuda suas equipes a prever possíveis vetores de ataque e a implementar defesas para prevenir a exploração.

Saiba mais sobre como a análise de vias de ataque por meio de plataformas de gerenciamento de exposição, como o Tenable One, pode ajudar você a navegar pela complexidade da superfície de ataque moderna. Os ambientes complexos dos dias de hoje, que vão além da TI tradicional e incluem aspectos como microsserviços, aplicações Web, serviços de identidade, tecnologia operacional (OT) etc., exigem um conjunto diversificado de ferramentas para avaliar as vulnerabilidades. Uma plataforma robusta deve ajudar você a antecipar, priorizar e fornecer perspectivas práticas.