Protegendo as Joias da Coroa: Como DSPM e DDR Defendem o Red Teaming

Ao contrário das avaliações de vulnerabilidade genéricas, o red teaming opera como um adversário do mundo real, descobrindo pontos fracos nas defesas de segurança e testando a capacidade de uma organização de detectar, responder e se recuperar de um ataque. E falando em red teaming, nós da Forcepoint estamos felizes em ver que a equipe de red team da CISA está intacta e ainda protegendo parceiros federais e de infraestrutura crítica.

De acordo com o Relatório de Custo de Violação de Dados da IBM de 2024, o custo médio global de uma violação de dados atingiu um recorde de $4,88 milhões em 2024, marcando um aumento de 10% em relação ao ano anterior. Vale notar que ferramentas como o Data Security Posture Management (DSPM) e o Data Detection and Response (DDR) da Forcepoint podem servir como um mecanismo de defesa eficaz e proteger esses alvos de alto valor.

Neste post, discutirei os diferentes tipos de joias da coroa, juntamente com como a Forcepoint pode ajudar sua organização a descobri-las e protegê-las.

Tipos de Joias da Coroa e Como Elas São Descobertas

1. Dados Sensíveis (PII, PHI, PCI, Propriedade Intelectual)

Exemplos: Bancos de dados de clientes, registros de saúde de pacientes, detalhes de cartões de crédito, segredos comerciais, algoritmos proprietários.

Táticas de Descoberta do Red Team:

• OSINT (Open Source Intelligence): Procurando por credenciais expostas, bancos de dados vazados ou informações internas.
• Phishing e Engenharia Social: Enganando funcionários para revelar credenciais de acesso a dados sensíveis.
• Configurações Incorretas na Nuvem: Identificando buckets S3 expostos publicamente, armazenamento mal configurado ou APIs não seguras.
• Escalação de Privilégios: Explorando permissões fracas para mover-se lateralmente e acessar bancos de dados sensíveis.

2. Contas Administrativas e Privilegiadas

Exemplos: Administradores de domínio do Active Directory, contas root, credenciais de administrador de nuvem, contas de serviço privilegiadas.

Táticas de Descoberta do Red Team:

• Dumping de Credenciais: Usando ferramentas como Mimikatz para extrair hashes de senhas de endpoints comprometidos, implantando ferramentas trojanizadas para capturar credenciais furtivamente para exploração posterior.
• Kerberoasting: Alvejando contas de serviço fracamente criptografadas para escalação de privilégios.
• Força Bruta e Spraying de Senhas: Explorando políticas de autenticação fracas para quebrar contas de alto valor.
• Sequestro de Sessão: Interceptando ou roubando tokens de autenticação para contornar mecanismos de autenticação.

3. Infraestrutura e Sistemas Críticos

Exemplos: Bancos de dados principais, credenciais, sistemas de transações financeiras, sistemas de controle industrial (ICS), pipelines DevOps.

Táticas de Descoberta do Red Team:

• Enumeração de Rede: Mapeando sistemas críticos usando ferramentas de varredura como Nmap.
• Credenciais Padrão e Configurações Fracas: Explorando sistemas que usam credenciais de administrador padrão ou que não possuem autenticação multifator (MFA).
• Exploração de Vulnerabilidades Não Corrigidas: Alvejando sistemas legados executando software desatualizado.
• Manipulação de Firmware: Comprometendo sistemas embarcados para obter acesso persistente.

4. Repositórios de Código-Fonte e Pipelines DevOps

Exemplos: Repositórios Git, pipelines CI/CD, chaves de API.

Táticas de Descoberta do Red Team:

• Vazamentos de Repositórios de Código: Procurando por repositórios expostos no GitHub, GitLab, Bitbucket.
• Exploits em Pipelines CI/CD: Injetando código malicioso nos processos de build e deployment.
• Falhas na Gestão de Segredos: Extraindo credenciais hardcoded ou tokens de API não protegidos.
• Envenenamento de Dependências: Inserindo dependências maliciosas nas cadeias de suprimentos de software.

5. Ferramentas de Comunicação e Colaboração

Exemplos: Sistemas de email, Google Drive, Slack, Teams, Confluence, SharePoint.

Táticas de Descoberta do Red Team:

• Comprometimento de Email Empresarial (BEC): Obtendo acesso a emails executivos via phishing.
• Escuta de Comunicações Internas: Extraindo discussões sensíveis ou dados confidenciais.
• Controles de Acesso Mal Configurados: Identificando drives compartilhados com permissões excessivas.
• Roubo de Token de Sessão: Sequestrando tokens de autenticação para obter acesso não autorizado.

Como DSPM e DDR Protegem as Joias da Coroa

O software DSPM desempenha um papel crucial na proteção das joias da coroa, monitorando e protegendo continuamente dados sensíveis em ambientes on-prem, na nuvem e híbridos. Aqui está como o DSPM neutraliza vetores de ataque comumente explorados por red teams:

Combine Red Teaming, DSPM e DDR para Segurança Proativa

O red teaming ajuda as organizações a descobrir como os adversários podem almejar as joias da coroa. O Forcepoint DSPM e DDR garantem que esses ativos permaneçam protegidos por meio de descoberta proativa, monitoramento e remediação. Nosso produto Forcepoint DSPM ajuda as organizações a descobrir, classificar e priorizar dados não estruturados.

Ao integrar insights de red teaming com capacidades de DSPM, as organizações podem construir uma estratégia de segurança resiliente que minimiza riscos e fortalece seus dados mais valiosos contra ameaças do mundo real. Fale com um especialista hoje.