Não é um fã da equipe de vendas perseguindo uma ambulância quando os defensores estão fazendo o possível para mitigar o mais recente vetor de ameaça, mas fornecer orientação é outra história.
Dito isto, o adversário não tem culpa e, de fato, é o horário nobre para eles. Eles não estão apenas fazendo com que a ambulância seja despachada, mas também o está usando como cobertura de ar para outros vetores de ameaças nos quais os olhos não estão mais focados.
À medida que as empresas continuam a consertar sistemas, podemos usar esse tempo para explorar a oportunidade para os defensores. Há lições a serem aprendidas com as ameaças atuais e passadas. Para que o adversário fosse bem -sucedido, eles precisavam de algumas coisas a seu favor:
- Sistema vulnerável remotamente acessível
- Proteção, detecção e resposta fraca ou sem terminais
- Sem prevenção de intrusões
- Sem firewalls de aplicativos da net
Tudo o que eles precisam é de uma rachadura em nossa armadura e é isso. Isso piora se o adversário já estiver dentro do ambiente e agora tiver a oportunidade de expandir sua posição e, em muitos casos, com restrições limitadas.
O patch é o método recomendado para remediar o risco, mas nem sempre viável em tempo hábil.
A oportunidade para os defensores
- Implementar acesso remoto ao SharePoint em uma VPN ou, melhor ainda, Zero Belief Entry (ZTA) – O acesso Zero Belief oculta o FQDN desses sistemas da Web. De fato, eles nem são resolvíveis externamente e aproveitam protocolos seguros como Quic e Masque embrulhados com autenticação multifactor baseada em riscos (MFA) e postura robusta. Os adversários não têm acesso direto a esses sistemas, fechando esta porta.
- Ativar assinaturas para sistemas de prevenção de intrusões e firewalls de aplicativos da net – Snort: SID 65092, SID 65183. Outra porta fecha. Confira Pesquisa de vulnerabilidade de Talos para o mais recente.
- Aproveite o AMSI da Microsoft e aproveite as plataformas avançadas de proteção de endpoint que adicionam proteção comportamental com acesso a buffers AMSI de digitalização -Além disso, as detecções de CLAMAV: asp.webshell.sharpyshell-10056352-3. Mais uma oportunidade negada. Confira Pesquisa de vulnerabilidade de Talos para o mais recente.
Agora, todos sabemos que as proteções falham, o que nos leva de volta a corrigir sempre que possível.
A maioria das organizações saberá quais servidores estão executando o SharePoint, mas devemos ser capazes de identificar rapidamente esses sistemas pela CVE Discovery (quando foi log4j, a descoberta não foi fácil, mas deveria ser). Depois de identificarmos esses sistemas com CVEs, removemos rapidamente o acesso externo a esses sistemas instantaneamente com base na exposição. Usamos o CVE para identificar os sistemas e categorizá-los em “CVE-BAD”, onde implantamos uma política de carga / aplicativo diretamente no Home windows Firewall (neste caso), impedindo / limitando sua capacidade de se comunicar externamente.
Além disso, também podemos limitar a capacidade dos ativos de ser usados para se mover lateralmente dentro da rede, se o compromisso acontecer-totalmente restrito e limitado a apenas serviços necessários para prestar o referido serviço e nada mais-isso impulsiona um resultado de belief zero no ambiente de carga de trabalho/aplicativo. Esta é a redução de risco no seu melhor, prescritiva e precisa.
Agora, uma vez que a vulnerabilidade é corrigida, esses sistemas têm a restrição automaticamente removida – não há necessidade de os seres humanos gerenciarem o conjunto de regras após a correção. A regra é removida automaticamente, não há mais cuidado e alimentação.
Junte isso com o Zero Belief baseado no campus e o ZTA ao aplicativo com a segmentação de carga de trabalho/aplicativo e temos uma receita para o sucesso. Esses resultados nos proporcionam a capacidade de permanecer resilientes nos piores momentos e, mais importante, dá a suas equipes mais tempo para resolver os problemas sem causar riscos adicionais.
Não se esqueça que ainda aproveitamos todas as defesas existentes em nosso arsenal para uma abordagem abrangente em camadas de segurança.
Sempre assuma a violação, pois fornece os melhores resultados possíveis. 2025-2026 é o ano em que começamos a combater a segmentação de carga de trabalho/aplicação em um ecossistema de controles.
Por que? É aqui que o adversário acabará e nos coloca o maior risco e, ao mesmo tempo, é nossa maior oportunidade de mudar a equação.
Adoraríamos ouvir o que você pensa! Faça uma pergunta e mantenha -se conectado à segurança da Cisco nas mídias sociais.
Cisco Safety Social Media