O que é um vetor de ataque?

O que é um vetor de ataque?

Um vetor de ataque, ou vetor de ameaça, é uma maneira de os invasores entrarem em uma rede ou sistema. Os vetores de ataque comuns incluem ataques de engenharia social, roubo de credenciais, explorações de vulnerabilidades e proteção insuficiente contra ameaças internas. Uma parte importante da segurança da informação é fechar vetores de ataque sempre que possível.

Suponha que uma empresa de segurança seja encarregada de guardar uma pintura rara que está pendurada em um museu. Há várias maneiras de um ladrão entrar e sair do museu — portas da frente, portas dos fundos, elevadores e janelas. Um ladrão poderia entrar no museu de alguma outra forma também, talvez se passando por um membro da equipe do museu. Todos esses métodos representam vetores de ataque e a empresa de segurança pode tentar eliminá-los colocando guardas de segurança em todas as portas, colocando fechaduras nas janelas e examinando regularmente a equipe do museu para confirmar sua identidade.

Da mesma forma, todos os sistemas digitais têm áreas que os invasores podem usar como pontos de entrada. Como os sistemas de computação e ambientes de aplicativos modernos são muito complexos, cercar todos os vetores de ataque normalmente não é possível. Mas fortes práticas de segurança e salvaguardas podem eliminar a maioria dos vetores de ataque, tornando muito mais difícil para os invasores encontrá-los e usá-los.

Quais são alguns dos vetores de ataque mais comuns?

Phishing: o phishing envolve o roubo de dados, como a senha de um usuário, que um invasor pode usar para invadir uma rede. Os invasores obtêm acesso a esses dados enganando a vítima para revelá-los. O phishing continua sendo um dos vetores de ataque mais usados — muitos ataques de ransomware, por exemplo, começam com uma campanha de phishing contra a organização da vítima.

Anexos de e-mail: um dos vetores de ataque mais comuns, os anexos de e-mail, podem conter código malicioso que é executado depois que um usuário abre o arquivo. Nos últimos anos, vários grandes ataques de ransomware usaram esse vetor de ameaças, incluindo ataques Ryuk.

Invasão de conta: os invasores podem usar vários métodos diferentes para assumir a conta de um usuário legítimo. Eles podem roubar as credenciais de um usuário (nome de usuário e senha) por meio de ataque de phishing, ataque de força bruta, ou comprá-los no mercado clandestino. Os invasores também podem tentar interceptar e usar um cookie de sessão para representar o usuário em um aplicativo web.

Falta de criptografia: os dados não criptografados podem ser visualizados por qualquer pessoa que tenha acesso a eles. Eles podem ser interceptados em trânsito entre redes, como em um ataque on-path, ou simplesmente visualizado inadvertidamente por um intermediário ao longo do caminho de rede.

Ameaças internas: uma ameaça interna ocorre quando um usuário conhecido e confiável acessa e distribui dados confidenciais ou permite que um invasor faça o mesmo. Tais ocorrências podem ser intencionais ou acidentais por parte do usuário. Os invasores externos podem tentar criar ameaças internas entrando em contato diretamente com os insiders e pedindo, subornando, enganando ou ameaçando-os para que forneçam acesso. Às vezes, insiders maliciosos agem por conta própria, por insatisfação com sua organização ou por algum outro motivo.

Explorações de vulnerabilidade: uma vulnerabilidade é uma falha em software ou hardware — pense nela como uma fechadura que não funciona corretamente, permitindo que um ladrão que saiba onde está a fechadura defeituosa entre em um prédio seguro . Quando um invasor usa uma vulnerabilidade com sucesso para entrar em um sistema, isso é chamado de "exploração" de vulnerabilidade. A aplicação das atualizações do fornecedor de software ou hardware pode corrigir a maioria das vulnerabilidades. Mas algumas vulnerabilidades são vulnerabilidades "vulnerabilidade de Dia Zero" — vulnerabilidades desconhecidas para as quais não há correção conhecida.

Ataques baseados em navegador: para exibir páginas web, os navegadores da internet carregam e executam o código que recebem de servidores remotos. Os invasores podem injetar código malicioso em um site ou direcionar os usuários para um site falso, induzindo o navegador a executar código que baixa malware ou compromete os dispositivos do usuário. Com a computação em nuvem, os funcionários geralmente acessam dados e aplicativos apenas por meio do navegador da internet, tornando esse vetor de ameaças particularmente preocupante.

Comprometimento do aplicativo: em vez de ir atrás das contas do usuário diretamente, um invasor pode tentar infectar um aplicativo confiável de terceiros com malware. Ou pode criar um aplicativo malicioso e falso que os usuários baixam e instalam sem saber (um vetor de ataque comum para dispositivos móveis).

Portas abertas: uma porta é uma entrada virtual para um dispositivo. As portas ajudam os computadores e servidores a associar o tráfego de rede a um determinado aplicativo ou processo. As portas que não estão em uso devem ser fechadas. Os invasores podem enviar mensagens especialmente criadas para abrir portas para tentar comprometer o sistema, assim como um ladrão de carros pode tentar abrir portas para ver se alguma está destrancada

Como uma organização pode proteger seus vetores de ataque?

Não há como eliminar totalmente os vetores de ataque. Mas essas abordagens podem ajudar a parar ataques internos e externos.

• Boas práticas de segurança: muitos ataques são bem-sucedidos devido a erros do usuário: os usuários caem em ataques de phishing, abrem anexos de e-mail maliciosos ou fornecem acesso a uma pessoa não autorizada. Treinar os usuários para evitar esses erros pode ajudar bastante a eliminar vários vetores de ataque importantes.
• Criptografia: a criptografia de dados em trânsito evita que eles sejam expostos a qualquer parte intermediária.
• Isolamento do navegador: essa tecnologia move o processo de carregamento e execução de código não confiável para um local fora da rede segura de uma organização. O isolamento do navegador pode até ajudar a eliminar a ameaça de ataques de dia zero, pelo menos no navegador.
• Correção de vulnerabilidades: um grande número de ataques ocorre porque uma organização não corrigiu uma vulnerabilidade. A correção de vulnerabilidades e a atualização regular de software e hardware reduzem muito as chances de uma exploração de vulnerabilidade bem-sucedida.
• Serviço de Acesso Seguro de Borda (SASE): como a dependência da nuvem mudou os modelos de computação corporativa, muitas organizações percebem que seus modelos de rede e segurança também precisam mudar. O Serviço de Acesso Seguro de Borda (SASE) é um método de integração de rede e segurança. O SASE inclui várias proteções de segurança que fecham os vetores de ataque descritos acima — saiba mais sobre o SASE.

O que é uma superfície de ataque?

Uma superfície de ataque é a combinação de todos os vetores de ataque disponíveis para um invasor. Quanto mais vetores de ataque uma organização tiver, maior será a superfície de ataque. Por outro lado, uma organização pode reduzir sua superfície de ataque eliminando vetores de ataque sempre que possível.

Pense em um invasor como sendo um jogador ofensivo no futebol de associação (futebol), e a superfície de ataque como o gol. Sem um goleiro, a frente do gol apresenta uma área bastante grande para o jogador chutar a bola. No entanto, o goleiro reduz a área disponível para o ataque posicionando-se em lugares estratégicos e os companheiros do goleiro podem fazer o mesmo pela forma como defendem.

Da mesma forma, todas as organizações têm um "objetivo" que os invasores externos visam: a superfície de ataque e os dados sensíveis por trás dela. Mas os produtos e práticas de segurança são como o goleiro e os defensores, impedindo que os invasores usem esses vetores de ataque.

Para descobrir como a Cloudflare ajuda a eliminar vetores de ataque, leia sobre a plataforma SASE da Cloudflare,o Cloudflare One.