Como uma categoria de segurança relativamente nova, muitos operadores e executivos de segurança que conheci nos perguntaram “O que são essas ferramentas de Validação Automatizada de Segurança (ASV)?” Nós cobrimos isso bastante extensivamente no passado, então hoje, em vez de cobrir o ” O que é ASV?” eu queria abordar a questão ” Por que ASV?” . Neste artigo, cobriremos alguns casos de uso comuns e equívocos de como as pessoas usam mal e entendem mal as ferramentas ASV diariamente (porque isso é muito mais divertido). Para começar, não há lugar para começar como o começo.
Ferramentas de validação de segurança automatizadas são projetadas para fornecer avaliação contínua e em tempo real das defesas de segurança cibernética de uma organização. Essas ferramentas são contínuas e usam exploração para validar defesas como EDR, NDR e WAFs. Elas são mais aprofundadas do que scanners de vulnerabilidade porque usam táticas e técnicas que você verá em testes de penetração manuais. Os scanners de vulnerabilidade não retransmitem hashes ou combinam vulnerabilidades para ataques posteriores, que é onde os ASVs brilham. Seu propósito está no nome: “validar” defesas. Quando problemas ou lacunas são abordados, precisamos validar se eles realmente foram corrigidos.
Por que o ASV é necessário?
E isso nos leva à parte de mostrar isso, e nosso professor para isso é Esopo, o contador de histórias grego que viveu por volta de 600 a.C. Ele escreveu uma história chamada The Boy Who Cried Wolf que eu sei que você já ouviu antes, mas vou compartilhar novamente caso você precise de uma atualização:
A fábula conta a história de um pastorzinho que continua enganando a vila, fazendo-a acreditar que viu um lobo. Se ele foi motivado por atenção, medo ou visão terrível? Não sei. O ponto é que ele repetidamente acena as mãos no ar e grita “Lobo!” quando não há lobo à vista. Ele faz isso com tanta frequência que dessensibiliza os moradores da cidade aos seus chamados, de modo que, quando realmente há um lobo, a cidade não acredita nele, e o pastorzinho é comido. É uma história muito emocionante, como a maioria dos contos gregos.
Na segurança cibernética moderna, o falso positivo é o equivalente a “gritar lobo”. Um problema de prática comum, onde ameaças são alertadas apesar de não terem nenhuma chance de serem exploradas. Mas vamos reavaliar essa história porque a única coisa pior do que um falso positivo é um falso negativo.
Imagine, se em vez de “gritar lobo” quando não havia lobo, o menino dissesse “está tudo limpo”, sem nunca perceber que o lobo estava escondido entre as ovelhas. Isso é um falso negativo, não ser alertado quando uma ameaça é prevalente. Depois que o menino montou as armadilhas, ele se convenceu de que não havia mais uma ameaça, mas não validou que as armadilhas realmente funcionaram para bloquear o lobo. Então a versão redefinida de Crying Wolf foi mais ou menos assim:
“Ah, imaginei que tínhamos um lobo à espreita. Vou cuidar dele”, diz o garoto.
Então o pastor segue as instruções: Ele monta armadilhas para lobos, compra uma ferramenta de segurança para matar lobos, ele até coloca um Objeto de Política de Grupo (GPO) para tirar aquele lobo do seu campo. Então ele vai para a cidade orgulhoso do seu trabalho.
“Disseram-me que havia um lobo, então cuidei dele”, conta ele aos amigos pastores enquanto tomam uma cerveja na taverna local.
Enquanto isso, a realidade é que o lobo é capaz de desviar das armadilhas, passar pela ferramenta mal configurada de matar lobos e definir novas políticas no nível do aplicativo para que ele não se importe com o GPO. Ele captura um conjunto de credenciais do Domain Admin (DA) da cidade, as retransmite, se declara prefeito e, em seguida, mantém a cidade sob um ataque de ransomware. Antes que eles percebam, a cidade deve 2 Bitcoins a algum lobo, ou então eles perderão suas ovelhas e um caminhão cheio de PII.
O que o pastorzinho fez é chamado de falso negativo. Ele pensou que não havia lobo, vivendo em uma falsa sensação de segurança quando a ameaça nunca foi verdadeiramente neutralizada. E agora ele está virando tendência no Twitter por todos os motivos errados.
Hora de um cenário da vida real!
Lobos raramente são uma ameaça à segurança da informação, mas você sabe quem é? Aquele mau ator com um backdoor, um ponto de apoio na sua rede, ouvindo credenciais. Tudo isso é possível por meio de seus bons amigos, protocolos de resolução de nomes legados.
Ataques de envenenamento de resolução de nomes são um bug difícil de esmagar no que diz respeito à remediação. Se seu DNS estiver configurado incorretamente (o que é surpreendentemente comum) e você não tiver desabilitado os bons e velhos protocolos LLMNR, NetBIOS NS e mDNS usados em ataques man-in-the-middle via GPO, scripts de inicialização ou seu próprio molho especial, então você pode estar em apuros. E onde o lobo pode ter se servido de um copo de leite, seu invasor estará se servindo de dados confidenciais.
Se um invasor farejar credenciais e você não tiver a assinatura SMB habilitada e necessária em todas as suas máquinas unidas ao domínio (se você está se perguntando se tem, então provavelmente não tem), então esse invasor pode retransmitir o hash. Isso obterá acesso à máquina unida ao domínio sem nem mesmo quebrar o hash capturado.
Caramba!
Agora seu pentester amigável da vila encontra esse problema e diz ao administrador do sistema, também conhecido como nosso pastor, para fazer uma das correções mencionadas acima para evitar toda essa sequência de ataques. Ele remedia isso da melhor maneira possível. Eles colocam os GPOs, pegam as ferramentas sofisticadas, fazem TODAS as coisas. Mas o lobo morto foi visto? Nós SABEMOS que a ameaça foi corrigida?
Por meio de um conjunto de casos extremos dignos de montagem, o invasor ainda pode entrar, porque quase sempre haverá casos extremos. Você terá um servidor Linux que não está unido ao domínio, um aplicativo que ignora GPO e transmite suas credenciais de qualquer maneira. Pior ainda (*arrepios*), uma ferramenta de descoberta de ativos usando enumeração autenticada que confia na rede em geral e envia credenciais DA para todos.
Alarmes falsos corrigidos
É por isso que os deuses cibernéticos nos deram o ASV, porque o ASV é o lenhador da cidade rasgada com um trabalho paralelo como um lobo fantasma. Ele se comportará como um lobo. Ele farejará as credenciais, capturará o hash e o retransmitirá para a máquina unida ao domínio para que o administrador do sistema possa encontrar o único servidor chato que não é unido ao domínio e não escuta o GPO.
Vamos trazer tudo para casa. Há algumas coisas que simplesmente fazem sentido. Você não chamaria um lobo de morto antes de vê-lo e, sem dúvida, você não chamaria algo de remediado antes de realmente validá-lo. Então, não se torne ‘O Administrador de Sistemas Que Gritou Remediado’.
Este artigo foi escrito pelo CISO de campo da Pentera, Jason Mar-Tang.