No local ou na nuvem? Lições do ataque ao Microsoft Exchange

Enquanto escrevo este blog, agentes mal-intencionados estão explorando ativamente vulnerabilidades no software Microsoft Exchange Server. Essas foram explorações de dia zero, o que significa que mesmo as organizações que foram diligentes em seus patches ficaram vulneráveis. Até agora, as estimativas são de que mais de 60.000 organizações foram comprometidas.

No passado, as organizações que optavam por manter a infraestrutura local geralmente citavam a percepção de falta de controle sobre o acesso a seus aplicativos e dados ou necessidades personalizadas que não eram atendidas pelos serviços em nuvem. Hoje, a maioria desses problemas foi superada por meio da grande abundância de opções e personalização de serviços em nuvem, sua arquitetura distribuída e os controles avançados de segurança fornecidos por tecnologias como o agente de segurança de acesso à nuvem (CASB).

A maioria das organizações, no entanto, não está fazendo a escolha de aproveitar a nuvem para obter acesso ao monitoramento e à segurança avançados fornecidos pelos próprios fornecedores da plataforma de nuvem. Os principais fornecedores de plataformas gastam consideravelmente mais tempo e esforço monitorando problemas de segurança, vulnerabilidades e comportamento anômalo do que uma única organização poderia ao executar aplicativos semelhantes no local.

Este último ataque do Microsoft Exchange demonstra os benefícios de aproveitar os aplicativos em nuvem. A Microsoft dedica uma enorme quantidade de recursos para garantir que sua plataforma de nuvem seja altamente disponível e segura. Não importa o quanto sua organização tenha recursos, é quase impossível e extremamente caro monitorar, detectar e responder a incidentes com a mesma eficácia que a Microsoft, o fornecedor da plataforma, fará.

O que está acontecendo com o Microsoft Exchange Server?

Em 2 de março, a Microsoft lançou patches para resolver as quatro vulnerabilidades de dia zero no Microsoft Exchange Server que formam uma cadeia de ataque. O primeiro deles aproveita a capacidade de se conectar diretamente ao Microsoft Exchange Server a partir da Internet. Quando usados ​​juntos, eles podem levar à Execução Remota de Código (RCE), seqüestro de servidor, instalações de backdoor e roubo de dados. Ele também abre as organizações para a implantação de malware desconhecido em sua infraestrutura.

O Microsoft Exchange Server é um dos aplicativos de negócios locais mais populares. Em poucas palavras, é o servidor que suporta os e-mails, contatos e calendários dos funcionários de uma organização. Para muitas dessas organizações, é a infraestrutura de mensagens da qual seus negócios dependem.

Atualizações instantâneas versus correção manual

Um dos encargos mais significativos que as organizações que executam o Exchange no local enfrentam é manter o software atualizado. Esse problema pode ser agravado pelo ambiente exclusivo da implantação de cada Exchange.

Para aplicativos entregues na nuvem, a aplicação de correções é realizada pelo provedor de serviços em nuvem e ocorre continuamente. Quando as correções são emitidas para resolver uma vulnerabilidade, seu aplicativo na nuvem será corrigido sem que você precise fazer nada. Para implantações locais, a responsabilidade de aplicar correções recai sobre a equipe de segurança em sua organização.

Mesmo que a organização seja capaz de manter suas correções, eles ainda estariam vulneráveis. Os serviços de software como serviço (SaaS) eliminam esse problema

As organizações estão respondendo por conta própria a esse ataque

Nesse caso, a correção proativa não o salvaria do ataque. Agora você está no gancho para descobrir se sua organização foi comprometida.

Com o software Microsoft Exchange Server, agora existem dezenas de milhares de organizações lutando para corrigir seus servidores e investigar se a ameaça persistente avançada se estabeleceu em sua infraestrutura central. Conforme recomendado pelo DHS Cybersecurity and Infrastructure Security Agency (CISA), mesmo que você tenha corrigido as vulnerabilidades, ainda estará vulnerável. Agora você precisa procurar todos os lugares no servidor em que os invasores possam ter colocado seus ganchos e investigar se eles se moveram lateralmente dentro da rede da sua organização para outras máquinas. A resposta ao incidente pode levar semanas ou até meses.

Muitas organizações de pequeno e médio porte não têm uma equipe de resposta a incidentes dedicada para buscar esses indicadores de comprometimento e responder adequadamente. Mesmo para grandes equipes de segurança corporativa, esse é um processo que exige muitos recursos para ser executado por conta própria. Por outro lado, a resposta a incidentes faz parte do trabalho de um provedor de serviços em nuvem. Com dezenas de milhares de clientes para dar suporte, eles têm escala para monitorar e responder às ameaças com eficiência.

A migração para a nuvem está se tornando um requisito de segurança

As organizações utilizam software local porque desejam controle total. Mas na verdade aumenta seus riscos. Mesmo as organizações com mais recursos terão dificuldade em executar o nível de monitoramento e manutenção, detecção e resposta fornecidos inerentemente por aplicativos SaaS.

Sua empresa agora se mudou das instalações e os funcionários estão se conectando remotamente. Nesse ambiente, é melhor aproveitar a segurança inerentemente fornecida pelos fornecedores de SaaS, garantir uma conexão segura a esses aplicativos, aproveitando tecnologias como CASB e ZTNA, e ter toda essa estratégia de segurança integrada diretamente à segurança de endpoint.

A segurança cibernética é um grande desafio que só pode ser abordado em escala. A Lookout construiu uma plataforma entregue na nuvem porque entendemos que essa é a única maneira de proteger continuamente os dados da sua organização, em qualquer endpoint e na nuvem. Visite a página da Lookout Security Platform para saber mais.