Palo Alto aponta vulnerabilidades a ataques de ransomware em ambientes de Nuvem

O relatório de 2023 sobre Ameaças à Superfície de Ataque da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, revelou que 85% das empresas que utilizam Protocolo de Área de Trabalho, que é um prática de comunicação que permite que um computador acesse e controle remotamente outro computador através da Internet, estão vulneráveis a ataques de ransomware.

Os Dados apontam que 80% das exposições de segurança estão presentes em ambientes de Nuvem. “Ataques de ransomware também ocorrem no Brasil e aumentaram 51% em um ano, segundo uma pesquisa anterior da Unit 42, e o País ocupa a primeira posição como o País mais atacado da América Latina”, afirma Marcos Nehme, líder América Latina e Caribe da Prisma Cloud para Palo Alto Networks.

Além disso, a pesquisa evidencia que a maioria das empresas enfrenta problemas de gerenciamento de superfície de ataque (ASM) e ainda não sabe disso, devido à falta de visibilidade total dos vários ativos e proprietários de TI. E as exposições aos serviços de acesso remoto representaram quase um em cada cinco problemas encontrados na Internet.

Por esse motivo, Marcos Nehme reforça a importância da vigilância constante. “A cada mudança de configuração, nova instância de Nuvem ou vulnerabilidade recém-divulgada, se inicia uma nova corrida contra invasores que estão cada vez mais rápidos, enquanto as organizações enfrentam dificuldades em gerir superfícies de ataque na velocidade e escala necessárias para combater a automatização dos cibercriminosos”, afirma.

Principais descobertas e destaques do relatório
De acordo com o relatório recente da Unit 42, os invasores estão cada vez mais rápidos e têm a capacidade de verificar todo o espaço de endereços IPv4 em busca de alvos vulneráveis em questão de minutos. Das 30 vulnerabilidades e exposições comuns (CVEs) analisadas, três foram exploradas poucas horas após a divulgação pública e 63% foram exploradas dentro de 12 semanas após a publicação. Das 15 vulnerabilidades de execução remota de código (RCE) analisadas, 20% foram alvo de gangues de ransomware poucas horas após a divulgação e 40% das vulnerabilidades foram exploradas oito semanas depois.

A pesquisa revelou também que a nuvem é a principal superfície de ataque: 80% das exposições de segurança estão presentes em ambientes de nuvem, em comparação com 19% em servidores on-premise (servidores de computador que são implantados e mantidos nas instalações físicas de uma organização, em oposição a serem hospedados em um Data Center ou na Nuvem) e mais de 75% das exposições de infraestrutura de desenvolvimento de software acessíveis ao público foram encontradas na nuvem, tornando-as alvos atraentes para invasores.

“A infraestrutura de TI baseada em Nuvem está em constante mudança, mudando mais de 20% em todos os setores todos os meses. A pesquisa da Unit 42 também constatou que cerca de 50% das exposições de alto risco hospedadas na Nuvem a cada mês foram resultado da mudança constante na entrada online de novos serviços hospedados na Nuvem e/ou na substituição de antigos”, destaca Marcos Nehme.

Os Dados também mostram que exposições de acesso remoto são generalizadas. Mais de 85% das organizações analisadas tinham Protocolo de Área de Trabalho Remota – Remote Desktop Protocol (RDP) – acessível pela Internet durante pelo menos 25% do mês, sendo vulneráveis a ataques de ransomware ou tentativas de login não autorizadas.

E oito dos nove setores estudados pela Unit 42 tinham RDP acessíveis pela Internet vulneráveis a ataques de força bruta durante pelo menos 25% do mês. Isso significa que, se um invasor quiser ganhar acesso a esses sistemas, eles precisam tentar diversas combinações de senhas até encontrar a correta e obter acesso não autorizado.

A demanda por gerenciamento de superfície de ataque
Permitir que equipes de SecOps reduzam o tempo médio de resposta (MTTR) de maneira significativa requer visibilidade de todos os ativos organizacionais e a capacidade de detectar automaticamente a exposição desses ativos, incluindo aplicações nativas em Nuvem. “Soluções da Palo Alto Networks de gerenciamento de superfície de ataque, como o Cortex Xpanse e a plataforma Prisma Cloud, oferecem às equipes uma compreensão mais precisa de seus ativos globais voltados para a Internet, assim como segurança desde o código até a Nuvem, permitindo que as equipes de segurança e DevOps colaborem de forma eficaz para acelerar desenvolvimento e implantação seguros de aplicativos nativos da Nuvem, além de possíveis configurações incorretas para descobrir, avaliar e mitigar continuamente os riscos”, diz Nehme.

O Cortex Xpanse, por exemplo, realiza mais de 500 bilhões de varreduras de ativos voltados para a Internet todos os dias, fornecendo a capacidade de encontrar exposições e corrigi-las automaticamente, pois descobre ativos que a equipe de TI desconhece e não está monitorando, e recentemente a empresa introduziu novos recursos ao seu portfólio, que utilizam inteligência do mundo real e fluxos de trabalho assistidos por IA, como é o caso do Cortex XSIAM.

Sobre o relatório
A Unit 42 analisou vários petabytes de Dados públicos da Internet coletados pelo Cortex Xpanse – a solução de gerenciamento de superfície de ataque da Palo Alto Networks – em 2022 e 2023. Este relatório descreve estatísticas agregadas sobre como as superfícies de ataque em todo o mundo estão mudando e detalha os riscos específicos que são mais relevantes ao mercado.