Não demorou muito para que 2025 servisse como um lembrete da importância da segurança de identidade, com o Departamento do Tesouro dos EUA notificando o congresso de que um agente de ameaça "patrocinado pelo Estado chinês" havia obtido acesso a seus sistemas por meio da exploração de vulnerabilidades (CVE-2024-12356 e CVE-2024-12686) nos sistemas da BeyondTrust.
E enquanto CISA O relatório do Departamento do Tesouro, que foi o único órgão federal a ser afetado por essa violação, ainda está se desenrolando. Mais de 13.000 instâncias dos serviços afetados ainda estão conectadas à Internet e podem estar vulneráveis, informa Censys. Desde a divulgação inicial do Departamento do Tesouro, a CISA adicionou o CVE-2024-12686 à sua Catálogo de vulnerabilidades exploradas conhecidas, que exige que os órgãos federais "protejam suas redes contra ataques contínuos direcionados à falha".
Nunca é útil brincar de "quarterback" na segunda-feira de manhã, e esse é particularmente o caso em situações como essa, quando os detalhes sobre a violação ainda estão sendo revelados. Em vez disso, achamos que é importante analisar os fatos sobre a violação do Departamento do Tesouro e explicar o que achamos que esses fatos significam para os programas de segurança cibernética das organizações no futuro.
Em seu relatório Sobre a violação, a BeyondTrust observa que "uma análise de causa raiz em um problema do Remote Support SaaS identificou que uma chave de API para o Remote Support SaaS havia sido comprometida". O relatório observa que a chave de API do Remote Support SaaS comprometida "permitia a redefinição de senhas de contas de aplicativos locais".
A BeyondTrust tomou as medidas adequadas para revogar imediatamente a chave da API, provavelmente para iniciar a redefinição de senhas. Mas a proteção das APIs deve fazer parte de uma abordagem muito mais ampla: as organizações devem proteger todo o ciclo de vida das credenciais. Esse é um problema maior do que apenas a autenticação. As organizações precisam levar em conta o provisionamento, o registro e as redefinições de contas humanas e de máquinas.
Eles também precisam garantir que o que Os dados de autenticação dos usuários ainda são relevantes. Eu só deveria poder acessar os recursos de que preciso para uma finalidade declarada. Qualquer acesso adicional - qualquer acesso que eu tenha, mas não precise - apenas perpetua o risco.
As organizações devem estender isso também às APIs. Os usuários e dispositivos humanos tendem a receber todo o foco de segurança, ignorando as contas de serviço e as APIs. As organizações precisam saber o que esses serviços podem acessar e o que fazer com esse acesso. Elas também precisam gerar e gerenciar APIs de forma independente para cada locatário - ter chaves de API duplicadas é tão arriscado e tão ruim quanto compartilhar senhas.
Em sua carta ao Congresso, o Departamento do Tesouro observou que o "agente da ameaça obteve acesso a uma chave usada pelo fornecedor para proteger um serviço baseado em nuvem usado para fornecer suporte técnico remoto aos usuários finais dos Escritórios do Departamento do Tesouro (DO)".
É difícil analisar com precisão o que isso significa nesse caso, mas há elementos que me lembram os ataques de 2023 que custaram US$ 1 bilhão. MGM Resorts e Grupo Caesars Entertainment centenas de milhões de dólares.
Tanto nos ataques de ransomware de Las Vegas quanto na violação mais recente do Departamento do Tesouro, os invasores usaram alguma combinação dos serviços de suporte e das APIs das organizações. A principal diferença é que, no caso dos ataques de Las Vegas, os invasores usaram engenharia social para enganar o Help Desk de TI e fazer com que ele redefinisse uma senha.
As organizações precisam entender os riscos que seus próprios Help Desks podem representar. Historicamente, os agentes de ameaças têm se apresentado como Help Desks de TI para fazer engenharia social em seus alvos, e essa tática parece estar em jogo no ataque ao Departamento do Tesouro.
Esses escritórios estão sob muita pressão, têm uma grande margem de manobra e podem não ter seus processos ou ações totalmente documentados.
A equipe do Help Desk pode redefinir senhas, remover a MFA ou criar novas contas. Além disso, os Help Desks podem ser pressionados a agir antes de dar a devida atenção a um caso ou documentar suas ações.
Para combater isso, a liderança precisa expressar que a segurança é fundamental, as organizações precisam documentar e usar processos de gerenciamento de mudanças e os casos de alto risco devem exigir comunicações fora da banda para verificar se a pessoa que está solicitando ajuda é quem diz ser. Assista ao nosso webinar sob demanda para ver como as organizações podem ajudar a proteger seus help desks contra ataques de phishing.
Ainda é muito cedo para conhecer todos os fatores envolvidos na violação de dados da BeyondTrust. Tudo o que os pesquisadores sabem até agora são as duas vulnerabilidades que a empresa divulgou. Todo o resto - inclusive se as vulnerabilidades foram aproveitadas "como dias zero para obter acesso aos sistemas da BeyondTrust ou como parte da cadeia de ataque para atingir os clientes", de acordo com a Computador com bipes, Se sua central de suporte foi falsificada e como ela protege suas APIs, tudo isso ainda é especulação. Pode haver outros fatores que os pesquisadores revelarão com o tempo.
E esse é o ponto. Há muitos estágios e componentes na pilha de tecnologia de qualquer organização que podem quebrar, ser negligenciados, inseguros ou mal utilizados. Embora as organizações devam se esforçar para proteger todos eles individualmente, elas também devem implementar uma estrutura mais ampla de Zero Trust.
Não provisione acesso em excesso, priorize o Secure by Default e o Secure by Design, treine seus usuários e remova qualquer confiança implícita em usuários, sistemas e dados. Analise os processos gerais de negócios e as pilhas de tecnologia em busca de pontos fracos e não deixe que o perfeito seja inimigo do bom: qualquer melhoria que você possa fazer em sua postura de segurança - ou qualquer confiança implícita que você possa remover de seu ambiente - ajudará muito a evitar ou minimizar uma violação.
