As agências de defesa cibernética dos EUA, NSA e CISA, divulgam as dez principais configurações incorretas de segurança

A Agência de Segurança Nacional (NSA) e a Agência de Defesa Cibernética dos EUA (CISA) emitiram um novo comunicado conjunto sobre questões urgentes de segurança cibernética. As duas agências destacaram problemas com configurações de software e TI em várias agências governamentais dos EUA, ao mesmo tempo que forneceram recomendações a clientes e fabricantes.

Após alertas recentes sobre a ameaça “BlackTech” contra roteadores Cisco, a Agência Nacional de Segurança (NSA) e a Associação de Segurança da Informação de Computadores (CISA) lançaram um novo comunicado conjunto identificando as dez principais “principais configurações incorretas de rede” que levam a invasões e incidentes de segurança. O anúncio afirma que as equipas vermelhas (simulação de ataques) e as equipas azuis (análise de sistemas de TI) das duas agências norte-americanas têm trabalhado “ao longo dos últimos anos” para avaliar as organizações e identificar os problemas mais comuns nas configurações de TI.

Analistas da Agência de Segurança Nacional e da CISA passaram anos tentando entender como atores mal-intencionados obtêm acesso, movem-se lateralmente e “visam” “sistemas ou informações confidenciais” em agências governamentais dos EUA nos níveis federal e local. Eles investigaram "muitas redes" pertencentes ao Departamento de Defesa (DoD), agências federais do poder executivo civil, governos estaduais, locais, tribais e territoriais (SLTT) e ao setor privado, em busca de problemas de configuração incorreta.

O comunicado oficial lista os 10 erros de configuração de rede mais comuns detectados pelas equipes vermelha e azul da NSA e CISA:

Configuração padrão de software e aplicativos

Separação inadequada de permissões de usuário/administrador

Monitoramento de rede interna insuficiente

Falta de segmentação de rede

Gerenciamento deficiente de patches e atualizações

Ignorar o controle de acesso do sistema

Os métodos de autenticação multifator (MFA) são fracos ou mal configurados

Listas de controle de acesso (ACLs) insuficientes para compartilhamentos e serviços de rede

Má limpeza dos documentos

Execução irrestrita de código

Estas configurações erradas ilustram uma tendência perigosa de “fraquezas sistémicas em muitas grandes organizações”, incluindo aquelas com “posturas cibernéticas” maduras. Portanto, a NSA e a CISA incentivam os “defensores” cibernéticos e os administradores de TI a implementar as recomendações e mitigações contidas no comunicado para reduzir o risco de ataques bem-sucedidos por parte de cibercriminosos e atores de APT.

As recomendações afirmam que os administradores de TI devem remover credenciais padrão e fortalecer as configurações, desabilitar serviços não utilizados e implementar controles de acesso fortes. Além disso, devem ser implementadas medidas regulares e automatizadas de aplicação de patches, especialmente para vulnerabilidades conhecidas. As contas e permissões administrativas também devem ser reduzidas, restritas, monitoradas e auditadas regularmente.

A CISA também destacou medidas de TI "urgentes" que os fabricantes de software devem tomar para minimizar a incidência de erros de configuração de segurança, incluindo a eliminação de senhas padrão, a adoção de uma abordagem de design seguro no desenvolvimento de software, disponibilizando "registros de auditoria de alta qualidade" gratuitos para os clientes e tornando a autenticação multifator (MFA) um recurso padrão em vez de um recurso opcional. A agência também está a promover a sua campanha nacional recentemente lançada Protect Our World, que apresenta formas simples mas eficazes de ajudar as pessoas a protegerem-se a si próprias, às suas famílias e aos seus negócios contra ameaças cibernéticas.