O termo “voltado para o público” refere-se a uma aplicação ou sistema que não é acessível apenas de dentro da rede interna, mas também da Internet. Eles geralmente são conectados a bancos de dados como o banco de dados MySQL, serviços padrão como Server Message Block (SMB) ou Secure Shell (SSH) e outras aplicações com soquetes abertos acessíveis pela Internet, como servidores da web. Como os servidores da Web estão abertos para acesso pela Internet, eles são altamente vulneráveis a ataques cibernéticos.
Os pontos mais fracos
No relatório de ameaças cibernéticas da SonicWall de 2020, foi revelado que os ataques cibernéticos em aplicações Web aumentaram 52% em 2019, com mais de 40 milhões de ataques relatados. Atores mal-intencionados podem tentar tirar proveito de uma vulnerabilidade em computadores ou programas voltados para a Internet usando software, dados ou comandos para causar um comportamento não intencional ou imprevisto. A fraqueza pode ser um bug ou uma vulnerabilidade de design.
Um dos métodos de ataque mais comuns é o método de injeção de SQL, que consiste em strings de injeção curtas. Nesse método, o invasor injeta uma consulta SQL por meio dos dados de entrada do cliente na aplicação. Esse método de ataque pode facilmente permitir que invasores leiam, modifiquem ou excluam dados confidenciais do banco de dados; executar operações administrativas no banco de dados, como desligar o sistema de gerenciamento de banco de dados; ou dar comandos ao sistema operacional. Isso significa que a gravidade de um ataque de injeção SQL depende da habilidade e imaginação do invasor.
Detecção de invasões que exploram vulnerabilidades
De acordo com a MITRE ATT&CK, os invasores cibernéticos geralmente exploram aplicações públicas para obter acesso inicial à rede de uma organização. Para detectar qualquer tentativa de exploração, é importante monitorar os logs da aplicação em busca de comportamento anormal. A falta de métodos adequados de registro e monitoramento pode permitir que a maioria das atividades maliciosas dos invasores não sejam descobertas.
Para detectar invasões com precisão, é importante entender o tráfego de aplicações e de rede. Uma solução de gerenciamento de informações e eventos de segurança não apenas monitora suas aplicações e máquinas para fornecer informações sobre ocorrências anormais enfrentadas em sua rede em tempo real, mas também detecta eventos de segurança que podem indicar tentativa ou sucesso de exploração. Por exemplo, implementando uma inspeção de log completa, você pode detectar scripts maliciosos imediatamente e responder antes que eles afetem sua organização.
O outro método que pode ajudar a identificar invasões em aplicações públicas é a inspeção de pacotes. É quando o tráfego de rede é dissecado para distinguir entre tráfego malicioso e tráfego não malicioso. Ao monitorar e analisar o tráfego de entrada e saída em sua rede, você pode determinar se um determinado aplicação está comprometida, permitindo interromper uma possível tentativa de exfiltração de dados ou um ataque de botnet.
Práticas recomendadas para mitigar a exploração
A proteção de aplicações e máquinas voltados para o público permite que as organizações obtenham controle sobre sua postura geral de segurança cibernética. Para evitar que vulnerabilidades em sua rede sejam exploradas por agentes mal-intencionados, aqui estão algumas práticas recomendadas que você pode seguir:
-
Examine aplicações e sistemas em busca de vulnerabilidades regularmente.
-
Analise os relatórios e atenda imediatamente a quaisquer problemas de segurança descobertos.
-
Limite o nível de acesso do invasor em aplicações comprometidas usando o princípio de privilégio mínimo em contas de serviço.
-
Atualize o software em suas aplicações e máquinas com frequência para as versões mais recentes, a fim de evitar invasões.
Como o Log360 pode ajudar a detectar e mitigar esse ataque
O Log360 monitora todos os servidores da web em sua rede para procurar vulnerabilidades. O mecanismo de correlação de eventos da ferramenta contém regras predefinidas para detectar ataques de injeção de SQL. Por exemplo, se houver tentativas repetidas de injeção de SQL em um determinado servidor da Web, um alerta será acionado e o administrador de segurança será notificado por e-mail ou SMS.
O administrador de segurança pode investigar imediatamente o evento de segurança e desligar o servidor da Web ou bloquear o usuário, além de verificar vulnerabilidades e removê-las. Essa ação de resposta também pode ser automatizada usando fluxos de trabalho de incidentes, economizando tempo e esforço sem comprometer a segurança da web.
O Log360 também fornece relatórios prontos para uso para servidores web Apache e IIS, servidores de banco de dados Oracle e servidores Microsoft SQL. Para saber mais sobre os recursos da solução e como ela pode te ajudar, confira nossa página aqui.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Esther Christopher.