/
  • Última atualização
/
  • 10 min de leitura

4 conceitos errôneos que muitos MSPs e profissionais de TI ainda têm sobre segurança cibernética

by Jonathan Crowe, Director of Community & Advocacy
Missverständnisse in der Cybersicherheit

Resumo instantâneo

Resumir o blog

Esta postagem do blog NinjaOne oferece uma lista abrangente de comandos CMD básicos e um mergulho profundo nos comandos do Windows, com +70 comandos CMD essenciais para usuários iniciantes e avançados. Explicamos sobre comandos práticos de prompt de comando para gerenciamento de arquivos, navegação em diretórios, solução de problemas de rede, operações de disco e automação, tudo com exemplos reais para maximizar a produtividade. Seja para aprender comandos básicos CMD ou dominar ferramentas avançadas de CLI do Windows, este guia ajuda você a usar o prompt de comando com mais eficiência.

Teste grátis

Pontos principais

Os MSPs devem ir além do suporte básico de TI e assumir total responsabilidade pelo fornecimento de serviços com foco em segurança.

  • Desenvolva conhecimentos internos de segurança ou faça parcerias com especialistas, mantendo a responsabilidade final pela segurança do cliente.
  • Exigir e aplicar treinamento de conscientização de segurança para funcionários e clientes para reduzir os riscos de phishing e erros humanos.
  • Implemente e valide regularmente as proteções de linha de base, como MFA, controles CIS e bloqueios de RDP.
  • Teste e ensaie planos de resposta a incidentes com exercícios de mesa para garantir a prontidão em condições reais.

A conscientização sobre a segurança está aumentando no canal, mas, infelizmente, os velhos hábitos e equívocos são difíceis de serem eliminados.

Esta postagem é uma colaboração entre:

meu círculo
Jonathan Crowe
Diretor de Conteúdo e Comunidade da NinjaOne

 


Tom Watson
Consultor-chefe de canal da NinjaOne

 

Com pressa? Assista a uma versão em vídeo de 3 minutos desta postagem:

 

Recentemente, a NinjaOne organizou nossa segunda Cúpula de Segurança MSP virtual anual com o objetivo de ajudar os MSPs a melhorar seu desempenho em termos de segurança. Essa meta só cresceu em prioridade desde que organizamos o evento do ano passado e, neste ano, ficamos entusiasmados com a participação de especialistas e fornecedores de vários setores verticais (incluindo um concorrente direto) e com o fato de ser um esforço verdadeiramente de todo o canal.

Como ex-proprietário de MSP, Tom foi ao evento com o objetivo de identificar as principais conclusões e passou muito tempo pensando em como as coisas mudaram no que diz respeito ao que é exigido de um proprietário de MSP atualmente. Quando ele começou seu negócio de MSP, tudo se resumia a suporte técnico. O foco estava no hardware e no software que era executado nele. Vender e gerenciar itens essenciais, como os servidores Microsoft Exchange, era um grande negócio para nós, e eles exigiam habilidades técnicas. Como todos sabemos, grande parte desse foco mudou para a nuvem e, de modo geral, o papel do MSP está evoluindo.

 

“Quando se trata de segurança, já se foram os dias em que se instalava um antivírus e um firewall e se cruzava os dedos.”


Tom Watson, consultor-chefe de canal da NinjaOne

 

 

Estamos em um ponto em que os MSPs precisam assumir a responsabilidade, ter conhecimento sobre segurança e aproveitar os recursos certos para oferecer serviços de segurança especializados aos seus clientes.

Essa mensagem foi repetida várias vezes durante as sessões do dia, que incluíram uma análise detalhada das recentes campanhas de ransomware, lições em primeira mão de um importante provedor de resposta a incidentes e um passo a passo de como os provedores de serviços de TI podem usar melhor suas ferramentas existentes.

O conteúdo e a discussão durante a cúpula foram excelentes. No entanto, ficou claro para nós que vários equívocos persistentes ainda servem como obstáculos para um grande número de MSPs atuais (sem mencionar seus clientes de PMEs). Até que eles sejam esclarecidos, a falta de segurança eficaz continuará sendo um problema, portanto, vamos nos aprofundar em cada um deles a seguir.

Equívoco nº 1: A experiência em segurança é opcional

Vários alertas ocorreram durante a cúpula, mas dois dos mais memoráveis foram dados por Alex Fields, autor do popular blog ITProMentor e Microsoft MVP. Alex deixou claro que os MSPs precisam expandir ativamente seu acesso aos recursos e à experiência em segurança por dois motivos.

 

Você não pode terceirizar sua responsabilidade sobre a segurança de TI.

Por quê? Por um lado, os clientes acreditam que tudo relacionado à TI está sob sua alçada. Por que eles deveriam se preocupar com a segurança? Não foi para isso que o contrataram? E, até certo ponto, eles têm razão. Como provedor deles, você tem as chaves do reino e deve levar essa responsabilidade a sério. Isso não significa que você precise assumir toda essa responsabilidade diretamente. A segurança é um campo enorme com várias disciplinas e, em muitos casos, a terceirização de aspectos específicos para especialistas treinados – resposta a incidentes, por exemplo – é absolutamente o caminho a seguir. Mas isso não elimina sua responsabilidade de fazer isso. Em última análise, a responsabilidade é sua.

 

“O suporte de TI é orientado para os custos e altamente comoditizado. É uma corrida para o fundo do poço”

Para ilustrar esse ponto, Alex compartilhou o gráfico a seguir, explicando que tudo abaixo da “linha de missão” está vinculado ao suporte tradicional de TI, que a liderança vê como um centro de custos. Tudo o que está acima da linha ajuda a empresa a cumprir sua missão e agrega valor ao negócio. Os requisitos de segurança e conformidade existem em cada camada e devem aumentar ao longo do tempo com o acréscimo de novas ameaças e regulamentações.

A linha de missão

 

A principal lição de Tom

Para sobreviver e prosperar, os MSPs precisam encontrar caminhos para se especializarem no gerenciamento e na proteção dessas áreas acima da linha que estão associadas ao valor. Se ele estivesse abrindo um MSP hoje, o suporte padrão de TI que ele fornecesse seria complementar às suas ofertas principais, que seriam focadas em segurança e adaptadas para ajudar as empresas a crescer (automação, produtividade, treinamento etc.).

Equívoco nº 2: A segurança é um problema puramente técnico

Por falar em treinamento, achamos interessante que a sessão mais técnica da cúpula – a apresentação “Analyzing Ryuk” do pesquisador de segurança sênior da Huntress, John Hammond – tenha tido esse resultado importante:

 

“A educação do usuário, embora chata e talvez brega, é o melhor que podemos fazer no momento. Não é possível resolver isso fechando as janelas e trancando as portas. A segurança cibernética não é um problema de tecnologia. É um problema de pessoas”

john hammond
John Hammond, pesquisador sênior de segurança da Huntress

 

 

Essa citação foi feita no contexto do mergulho forense de John no ataque do ransomware Ryuk ao Universal Health Services (UHS). Apesar de todas as técnicas, táticas e procedimentos sofisticados demonstrados durante a pós-exploração desse ataque, o vetor de ataque inicial era extremamente comum: uma campanha de phishing.

Embora possamos e devamos tentar atenuar os ataques por meio de software, muitos ataques ainda chegam por meio dos usuários e da falta de aplicação das práticas recomendadas básicas de segurança. Estamos falando de senhas compartilhadas, usuários com privilégios de administrador local, falta de MFA e segmentação de rede adequada, RDP exposto e outros serviços vulneráveis. O fato é que a educação do usuário e o fortalecimento do sistema de linha de base sólida são tão (se não mais) importantes quanto o gerenciamento de qualquer produto de segurança.

 

A principal lição de Tom

Se ele estivesse administrando um MSP hoje, colocaria o treinamento de conscientização de segurança no topo de sua pilha em termos de importância. Ele exigiria que seus funcionários conhecessem bem as práticas recomendadas, forneceria a eles documentação e diretrizes claras e daria a eles o tempo e os recursos necessários para concluir o treinamento exigido. No que diz respeito aos clientes, ele tornaria obrigatório, por meio de seus contratos, o treinamento de conscientização sobre segurança e a adesão às linhas de base de segurança de sua empresa. O não cumprimento seria motivo para rescindir um contrato. O risco e a responsabilidade são altos demais, tanto para os MSPs quanto para seus clientes, para permitir algo menos do que a conformidade total quando se trata de protocolos de segurança. 

Equívoco nº 3: O básico está abaixo de nós

Todos nós nos acostumamos a revirar os olhos e balançar a cabeça quando ouvimos que outra vítima recente de ransomware estava usando “admin” como senha ou tendo o RDP exposto à Internet. Mas todos nós precisamos ser cuidadosos. A arrogância é o beijo da morte na segurança e, como apontou o líder de resposta a incidentes da TrustedSec, Tyler Hudak, o caminho para os comprometimentos está repleto de declarações do tipo “estamos cobertos”

Tyler explicou que trabalhou em vários incidentes de segurança com MSPs e, em mais de uma ocasião, o MSP foi inflexível ao afirmar que não havia RDP exposto, até que uma simples varredura descobriu que esse era exatamente o caso naquele servidor mais antigo do qual eles haviam se esquecido. Ter certeza é sempre melhor do que ter certeza, e Tyler recomenda verificar rotineiramente o Shodan para ver o que de fato está aberto nos endereços IP de seus clientes.

Deixar de proteger o RDP é um dos exemplos mais flagrantes de falha em cobrir os aspectos básicos, mas está longe de ser o único. Alex Fields aconselhou que mais MSPs precisam se concentrar na adoção de padrões estabelecidos, como os Controles de CIS, e que, se não estiverem abordando ativamente pelo menos os seis primeiros, é provável que tenham falhas que os coloquem em risco, bem como a seus clientes.

Controles CIS

 

A principal lição de Tom

Os MSPs não apenas precisam se esforçar para adotar os padrões básicos de controles de CIS, mas também precisam ser transparentes com seus clientes e exigir a adesão e o envolvimento ativo deles.

Antes de entrarmos no último equívoco, talvez você se interesse pelas perguntas comuns que recebemos sobre o gerenciamento de patches aqui.

Equívoco nº 4: Ter um plano é suficiente

Até que você tenha passado por um incidente, é difícil avaliar completamente o quão caótico e estressante pode ser um incidente de segurança ativo. Em sua função como responsável pela resposta a incidentes, Tyler explicou que muitas vezes viu tanto os MSPs quanto as equipes internas de TI ficarem completamente sobrecarregados. Em muitos desses casos, a falta de políticas e procedimentos significa que eles estão presos a tentativas de planejar na hora, o que é a última coisa que você quer quando o tempo está passando e você tem um possível desastre em suas mãos.

As equipes que têm planos de incidentes em vigor podem se sair melhor, mas, mesmo assim, se os procedimentos nunca tiverem sido testados, elas também podem se ver lutando para se ajustar a condições e cenários que não haviam previsto.

Como disse Mike Tyson, “Todo mundo tem um plano até levar um soco na boca”

Os incidentes quase sempre envolvem surpresas inesperadas, mas para reduzi-las ao mínimo, você precisa trabalhar ativamente em sua preparação. Não basta ter um ótimo livro de jogadas. Você precisa realmente praticar a execução das jogadas e estabelecer um pouco de memória muscular para que não seja necessário pensar muito

agir de forma rápida e eficaz (mesmo após o golpe inicial).

Tyler recomendou que os MSPs realizem exercícios de mesa, seja por conta própria ou com um especialista em resposta a incidentes. Sei que é demorado executar simulações e atualizar planos de “e se”, mas agora estamos em um ponto em que todos nós temos que aceitar totalmente a mensagem que transmitimos aos clientes e prospects – não se trata mais de saber se você sofrerá um incidente de segurança, mas quando.

Tenha acesso a todas as sessões do MSP Security Summit sob demanda

MSP Security Summit 2021 sob demanda

Se estiver interessado em ouvir mais sobre Tyler, Alex e John, você pode assistir às gravações de suas sessões sob demanda aqui.

Teste gratuito
Manual de proteção de endpoints

FAQs

Os clientes esperam que os MSPs gerenciem todos os aspectos da TI, inclusive a segurança. Embora os MSPs possam contratar especialistas externos, eles permanecem responsáveis pela supervisão e pelos resultados. A responsabilidade não pode ser transferida inteiramente para terceiros.

O treinamento do usuário é fundamental, pois muitas violações começam com phishing ou práticas inadequadas de senha. O treinamento consistente e a aplicação de linhas de base de segurança reduzem a probabilidade de ataques bem-sucedidos.

Os MSPs devem adotar e aplicar os seis primeiros controles de CIS, que incluem inventário de ativos, configurações seguras, gerenciamento de vulnerabilidades e privilégios administrativos controlados. Essas medidas fecham as brechas mais comuns exploradas em ataques.

Os MSPs precisam de mais do que um plano por escrito. Eles devem realizar regularmente exercícios de mesa para testar procedimentos, identificar pontos fracos e desenvolver a familiaridade da equipe. A prática sob pressão simulada garante respostas mais rápidas e coordenadas durante incidentes reais.

Recomendados para você

Automatiser la gestion des correctifs

Como automatizar o gerenciamento de patches

How to secure IoT devices blog banner

Como proteger os dispositivos de IoT

Sicurezza IoT

A importância da segurança da IoT: Dicas para MSPs e equipes de TI

Log di Linux

Entendendo os logs do Linux: Visão geral com exemplos

Software regression blog banner

Como a regressão de software afeta os MSPs

Skull and cross bones inside an envelope representing email spoofing

Compreensão e prevenção de ataques de falsificação de e-mail

Voltar para a página inicial do blog
Pronto para simplificar as partes mais difíceis da TI?
Inicie seu teste gratuito
Veja uma demonstração

NinjaOne Terms & Conditions

By clicking the “I Accept” button below, you indicate your acceptance of the following legal terms as well as our Terms of Use:

  • Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
  • Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
  • Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library belonging to or under the control of any other software provider.
  • Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
  • Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
  • Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
  • EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
I Accept