Por Tim McKnight, Richard Puckett, Mariano Nunez
Quase todos os dias temos um novo caso de ransomware. Historicamente, empresas de todos os portes são alvos desse tipo de ataque, mas, recentemente, todas as notícias parecem girar em torno de ataques para debilitar sistemas críticos para os negócios ou a missão de grandes empresas – desde empresas de combustíveis e energia até empresas de processamento de alimentos.
E a questão não é que essas empresas deixaram de tomar as medidas para proteger esses ativos; a maneira “tradicional” de se preparar e responder ao ransomware simplesmente não funciona mais.
Então, o que é necessário para proteger seus aplicativos críticos da ameaça iminente do ransomware? Isso é exatamente o que a SAP e a Onapsis procuram responder aqui.
Quando a maioria das pessoas pensam sobre o ransomware, duas soluções imediatas e “tradicionais” vêm à mente: backups e segurança de ponto de acesso. Os dois são componentes críticos de um programa de segurança sólido, não há dúvidas. No entanto, a presença desses componentes pode dar às organizações uma falsa sensação de segurança.
Ainda existem lacunas, especialmente relacionadas aos sistemas críticos conectados das formas mais diversas possíveis.
O problema é que a maioria das empresas percebe muito tarde que, ao se preparar para um ataque de ransomware, é preciso fechar todas as portas e janelas da sua casa – não apenas a porta da frente de proteção do ponto de acesso. Quando pensamos sobre os vetores de ataque do ransomware, é importante considerar todos os possíveis pontos de entrada para o ambiente crítico do negócio e como protegê-los. Para continuar nessa metáfora, isso inclui avaliar os vizinhos e saber como eles entram na sua casa também.
E se você pensar sobre todos esses vetores, começará a perceber que esse desafio vai além da segurança do ponto de acesso e dos backups. Isso exige uma visão mais global da segurança dos aplicativos críticos, incluindo, sim, coisas que classificaríamos como “higiene da boa segurança”.
Em relatório recente de inteligência sobre ameaças cibernéticas, lançado pela Onapsis e SAP, demonstramos claramente que os invasores têm os meios, a motivação e o conhecimento para identificar e explorar aplicativos críticos desprotegidos e, de fato, é o que acabam fazendo.
Por exemplo, recentemente os dados do aplicativo ERP (enterprise resource planning) de uma grande empresa de capital aberto foram alvos de um ataque de ransomware. Eles tinham backups? Sim: o backup era atualizado uma vez por semana. No entanto, as operações foram suspensas. Quando isso acontece, mesmo com backups implementados, a restauração pode demorar horas ou mesmo dias, e o impacto negativo sobre o negócio e as perdas financeiras são enormes. Eles tinham segurança de ponto de acesso? Sim; no entanto, os invasores passaram pelo software EDR (endpoint detection and response) acessando os dados por meio do aplicativo. O EDR é ótimo para identificar as atividades em ativos ameaçados e permitir a contenção e a coleta de artefatos como árvores de processo e arquivos criados por malware, mas, no nível do aplicativo, isso ainda é um desafio. E esses invasores usaram essa camada de aplicativo, que não era monitorada pela própria ferramenta, para comprometer a segurança dos ativos críticos do negócio.
Vulnerabilidades como 10KBLAZE, PayDay e RECON permitem que os invasores tenham controle total sobre os aplicativos por meio da própria camada de aplicativo. Esses invasores vão direto para o aplicativo e, uma vez lá, descem até o nível do sistema operacional. Quando você considera as iniciativas de transformação digital do CIO ou o ajuste rápido para o trabalho remoto devido à pandemia de COVID-19, existe um risco significativamente maior. A Onapsis observou que novos aplicativos da SAP desprotegidos e provisionados nos ambientes IaaS foram descobertos por invasores e atacados em menos de três horas, com mais de 400 invasões bem-sucedidas já reportadas até a data desta publicação.
Por fim, existe a necessidade de um novo modelo para defender os sistemas contra o ransomware, com um escopo que vai além de apenas proteger pontos de acesso, fazer backup dos arquivos e torcer para que nada dê errado. A Gartner afirma que as organizações devem “implementar um processo de gerenciamento de vulnerabilidades baseado em riscos que inclua inteligência de ameaças. O ransomware geralmente explora sistemas desatualizados para conseguir movimento lateral. Isso deveria ser um processo contínuo. O risco associado a vulnerabilidades muda conforme elas são exploradas pelos invasores.”
Concordamos plenamente.
É necessário ter um compromisso renovado com alguns fundamentos de segurança importantes:
- Fortalecimento da segurança dos aplicativos críticos
- Gerenciamento pontual de patches
- Avaliações de vulnerabilidade point-in-time
- Monitoramento contínuo das vulnerabilidades e ameaças aos seus aplicativos críticos
- Proteção do código personalizado nos aplicativos críticos
- Compromisso com o controle e a governança
A SAP está comprometida com a inovação contínua do software para manter as suas informações seguras – tanto on-premise, como na nuvem. Nós priorizamos a segurança para que você se concentre na gestão do seu negócio e nas relações com o cliente usando efetivamente as soluções SAP, com a certeza de que seus dados estão seguros. Para proteger os clientes dos ataques de ransomware, a proteção da infraestrutura de desenvolvimento, como a cadeia de criação e implementação, é o fator de maior importância para evitar a manipulação dos artefatos de entrega.
Como parte do compromisso com os clientes, a SAP segue um ciclo de vida seguro de desenvolvimento do software e operações para identificar e mitigar todos os tipos de pontos fracos de segurança e vulnerabilidades durante o desenvolvimento dos produtos e serviços. Com o uso de técnicas de identificação de riscos como o método de modelagem de ameaças e treinamentos de desenvolvimento seguro, a SAP capacita as equipes de desenvolvimento para eliminarem pontos de entrada em potencial do ransomware e de outros tipos de ataque. Isso também garante que os princípios básicos de segurança, como o do privilégio mínimo, façam parte do DNA dos desenvolvedores da SAP.
A SAP continua fortalecendo nossos sistemas com análise automatizada de código estático, escaneamentos de vulnerabilidade e validação de uma equipe de segurança interna independente e dedicada. O ciclo de vida do desenvolvimento de software da SAP serve como um exemplo aos clientes sobre como dar suporte a um modelo DevSecOps que abrange aspectos de desenvolvimento e operações para entrega contínua e segura do software.
Ao implementar e executar aplicativos da SAP, é crucial que as organizações tenham como foco o fortalecimento dos sistemas para minimizar a superfície de ataque geral – por exemplo, assegurando a configuração adequada dos parâmetros do sistema e outros aspectos da configuração, incluindo a ativação de recursos e funcionalidades de segurança. É importante que configurações corretas sejam implementadas para proteger uma organização de possíveis vulnerabilidades de segurança.
A SAP oferece recursos importantes como o serviço SAP EarlyWatch Alert, que monitora as áreas administrativas essenciais dos componentes SAP para manter as organizações atualizadas sobre o desempenho e a estabilidade, e o serviço SAP Security Optimization, que verifica e aprimora a segurança identificando os problemas de segurança em potencial relacionados à solução SAP e fornecendo as principais recomendações.
À medida que os invasores continuam elaborando novos modos de ataque e as vulnerabilidades a esses ataques são identificados, a SAP fornece continuamente as atualizações de segurança do código existente para manter seus sistemas seguros. A SAP entrega essas atualizações de segurança por meio de pacotes de suporte e, na segunda terça-feira de cada mês, como parte do “Security Patch Day”, a SAP publica notas de segurança com as correções e recomendações de segurança mais recentes. Conforme mencionado, a implementação de um processo de manutenção de segurança para avaliar e implementar atualizações de segurança recomendadas é a melhor prática comprovada para mitigar os riscos.
A Onapsis tem como foco a proteção de aplicativos críticos para o negócio desde 2009. Nós usamos a plataforma Onapsis para analisar a camada de aplicativo e atendemos uma parte essencial dos planos dos nossos clientes para proteger os aplicativos críticos da SAP de ataques de ransomware.
- Com a visibilidade automática das vulnerabilidades críticas, da ausência de patches e atualizações de segurança importantes, de configurações incorretas e de interfaces inseguras, o sistema Onapsis identifica todas as portas abertas. Esse é um componente crucial em qualquer iniciativa de prevenção a ransomware. Depois que os pontos de entrada são identificados, eles podem ser fechados, o que reduz a superfície de ataque que poderia levar ao ransomware.
- Com o monitoramento contínuo e os alertas em tempo real de indicadores de ameaça, o sistema Onapsis ajuda a monitorar as tentativas em tempo real de acesso aos sistemas críticos por meio de portas abertas remanescentes. Ganhe um tempo precioso para impedir que invasores consigam mais acesso.
- Com a análise de código em tempo real, antes de mover para a produção e durante o transporte, o sistema Onapsis pode ajudar você a identificar código estranhos, como malware ou novas vulnerabilidades, antes deles serem lançados para o público. As vulnerabilidades de código podem parecer um vetor secundário de ataque até a hora em que deixam de ser, por exemplo, o caso do ataque à Solar Winds. Na experiência da Onapsis, é comum encontramos uma vulnerabilidade crítica a cada 1.000 linhas de código, mas nossos clientes geralmente têm milhões de linhas de código personalizado. É importante fechar essas milhares de portas abertas para evitar o acesso aos sistemas críticos.
É hora de pensar de forma diferente sobre o ransomware. Estamos no meio de uma tempestade perfeita, com mais aplicativos SAP desprotegidos e mais trabalhadores remotos do que nunca, invasores especialistas com conhecimento para atacar esses sistemas, sistemas críticos hiperconectados na nuvem e equipes de segurança da informação pressionadas que podem falhar na aplicação de patches e no gerenciamento de vulnerabilidades. Ransomware é a etapa final de um ataque que pode utilizar uma miríade de vetores de ataque para acessar diretamente seus aplicativos críticos.
As organizações devem usar os poderosos recursos de segurança nativos da SAP, estabelecer corretamente o patch, o código e os processos de gerenciamento de vulnerabilidades baseado no risco e se beneficiar das ferramentas otimizadas e da inteligência de ameaça crítica da Onapsis. Se fizerem isso, as organizações poderão reduzir drasticamente os perfis de risco, se anteciparem aos grupos de ransomware e, por fim, manterem a reputação intacta.
Tim McKnight é CSO da SAP.
Richard Puckett é CISO da SAP.
Mariano Nunez é CEO da Onapsis.
Outros colaboradores deste conteúdo incluem: Elena Kvochko, Imran Islam, Oliver Meli, Vic Chung e Robert Lorch da SAP, bem como David D’Aprile, Maaya Alagappan e Tess Cunard da Onapsis.