O termo "público" refere-se a uma aplicação ou sistema que pode ser acessado não apenas pela rede interna, mas também pela internet. Essas aplicações geralmente estão conectados a bancos de dados como MySQL, serviços padrão como Server Message Block (SMB) ou Secure Shell (SSH) e outras aplicações com soquetes abertos acessíveis pela internet, como servidores web. Como os servidores web são acessíveis pela internet, eles são altamente vulneráveis a ataques cibernéticos.

Os elos mais fracos

O Relatório de Ameaças Cibernéticas da SonicWall de 2020 revelou que os ataques cibernéticos a aplicações web aumentaram 52% em 2019, com mais de 40 milhões de ataques relatados. Atores mal-intencionados podem tentar se aproveitar de uma vulnerabilidade em computadores ou programas com acesso à internet usando software, dados ou comandos para causar comportamentos indesejados ou imprevistos. A vulnerabilidade pode ser um bug ou uma vulnerabilidade de design.

Um dos métodos de ataque mais comuns é o método de injeção de SQL, que consiste em pequenas sequências de injeção. Nesse método, o invasor injeta uma consulta SQL na aplicação por meio dos dados de entrada do cliente. Esse método de ataque pode facilmente permitir que invasores leiam, modifiquem ou excluam dados confidenciais do banco de dados; executem operações administrativas no banco de dados, como desligar o sistema de gerenciamento do banco de dados; ou enviem comandos ao sistema operacional. Isso significa que a gravidade de um ataque de injeção de SQL depende da habilidade e imaginação do invasor.

Detectando intrusões que exploram vulnerabilidades

De acordo com o MITRE ATT&CK, cibercriminosos frequentemente exploram aplicações públicas para obter acesso inicial à rede de uma organização. Para detectar qualquer tentativa de exploração, é importante monitorar os logs das aplicações em busca de comportamentos anormais. A falta de métodos adequados de logs e monitoramento pode permitir que a maioria das atividades maliciosas dos invasores passe despercebida.

Para detectar intrusões com precisão, é importante entender o tráfego de aplicações e de rede. Uma solução de gerenciamento de informações e eventos de segurança não apenas monitora suas aplicações e máquinas para fornecer informações sobre ocorrências anormais encontradas em sua rede em tempo real, mas também detecta eventos de segurança que podem indicar tentativas ou sucessos de exploração. Por exemplo, ao implementar uma inspeção completa de logs, você pode identificar scripts maliciosos imediatamente e responder antes que eles afetem sua organização.

Outro método que pode ajudar a identificar intrusões em aplicações públicas é a inspeção de pacotes. Nela, o tráfego de rede é analisado para distinguir entre tráfego malicioso e não malicioso. Ao monitorar e analisar o tráfego de entrada e saída em sua rede, você pode determinar se uma aplicação específica está comprometido, permitindo impedir uma possível tentativa de exfiltração de dados ou um ataque de botnet.

Melhores práticas para mitigar a exploração

Proteger aplicações e máquinas acessíveis ao público permite que as organizações controlem sua postura geral de segurança cibernética. Para evitar que vulnerabilidades em sua rede sejam exploradas por agentes mal-intencionados, aqui estão algumas práticas recomendadas que você pode seguir:

  • Verifique regularmente se há vulnerabilidades em aplicações e sistemas. Analise os relatórios e resolva imediatamente quaisquer problemas de segurança detectados.
  • Limite o nível de acesso do invasor em aplicações comprometidas usando o princípio do menor privilégio em contas de serviço.
  • Atualize o software em suas aplicações e máquinas frequentemente para as versões mais recentes para evitar intrusões.

Como o Log360 pode ajudar a detectar e mitigar esse ataque

O Log360 monitora todos os servidores web da sua rede em busca de vulnerabilidades. O mecanismo de correlação de eventos do Log360 contém regras predefinidas para detectar ataques de injeção de SQL. Por exemplo, se houver tentativas repetidas de injeção de SQL em um servidor web específico, um alerta será acionado e o administrador de segurança será notificado por e-mail ou SMS.

O administrador de segurança pode então investigar imediatamente o evento de segurança e desligar o servidor web ou bloquear o usuário, além de verificar vulnerabilidades e removê-las. Essa ação de resposta também pode ser automatizada usando workflows de incidentes, economizando tempo e esforço sem comprometer a segurança web.

O Log360 também fornece relatórios prontos para uso para servidores web Apache e IIS, servidores de banco de dados Oracle e servidores Microsoft SQL.

Products mentioned on this page:

ASSINE O CONTEÚDO MAIS RECENTE

Mantenha-me atualizado

Postagens relacionadas

Receba o conteúdo mais recente entregue
direto na sua caixa de entrada!

Obrigado por se inscrever.

Você receberá atualizações regulares sobre as últimas notícias em cibersegurança.

  • Please enter a business email id
  •  
  •  
    Ao clicar em Mantenha-me Atualizado você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Conversas de Especialistas

     
     
Home » SIEM

Prêmios e reconhecimentos

ManageEngine é reconhecida no Quadrante Mágico de 2024 da Gartner para SIEMEscolha dos Clientes Gartner Peer Insights para SIEM

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas