Temos diversas analogias esquisitas no mundo de TI, Watering Hole Attack é mais uma delas. Nesse caso Watering Hole seria uma analogia a uma fonte d´agua na África, onde os animais param para beber água e ficam vulneráveis aos predadores que ficam à espreita, no aguardo de uma presa fácil.
Como o predador tem dificuldade para atacar e invadir o ambiente de uma empresa maior, ele tenta atacar os ambiente dos parceiros ou outros sites que funcionários da empresa alvo normalmente acessam. Como essas empresas menores possuem verbas mais limitadas para implantação de controles de segurança – isso se essas verbas existirem – uma invasão nesses ambientes se torna mais fácil e atraente.
Hoje em dia as grandes organizações encontram-se em um nível razoável de segurança – ao menos possuem os controles e equipamentos básicos de segurança – algumas outras possuem um nível mais maduro em relação à segurança da informação.
Tendo em vista esse cenário, os atacantes procuram novos meios para conseguir furar esse bloqueio e é aí que entra esse tipo de ataque que ficou conhecido como Watering Hole Attack.
Um detalhe importante é que esse tipo de ataque funciona, pois normalmente ele usa como vetor websites legítimos hospedados por essas empresas menores que não fazem parte de blacklists e que contém vulnerabilidades que são exploradas por exploits do tipo zero-day que ainda não possuem vacinas tanto de antivírus quanto de IPS.
No passado todos acreditavam que os ataques eram sempre direcionados às grandes corporações mas esse cenário mudou. De acordo com relatórios recentes, cerca de 1/3 dos ataques já são realizados contra empresas menores.
Do ponto de vista de quem acessa, ataques deste tipo podem explorar vulnerabilidades nos navegadores ou nos seus add-ons como Java. Isto significa que manter esses programas atualizados é um item crucial na redução desses riscos. Certifique-se de que todas as estações estejam com os recursos de atualização automática e verifique periodicamente qual a versão do navegador e softwares relacionados que estão usando.
Quanto ao servidor onde as aplicações web estão, antes que uma nova aplicação web seja disponibilizada, alguns cuidados devem ser tomados:
1 – Para começar devemos realizar análises no ambiente atualmente exposto. Existem diversas ferramentas e empresas que podem realizar esses testes em pouco tempo.
2 – A aplicação foi testada com base na lista OWASP Top 10? Se o seu desenvolvedor não souber o que é isso, pode ser a hora de trocar de desenvolvedor. O ideal é que todo o desenvolvimento já tenha sido realizado seguindo melhores práticas de desenvolvimento seguro, desde o início.
3 – Uma das atividades mais importantes é a monitoração. Nesse caso dos ativos expostos, com uma ferramenta de SIEM com regras bem configuradas é possível uma visualização de qualquer tentativa de alteração de código ou outros indícios de alteração não autorizada.
Um ataque desse tipo pode ser extremamente devastador para uma empresa. Dependendo do seu grau de invasão, isso pode arruinar a reputação da empresa, causando a perda de contratos atuais e prejuízo á imagem. Por isso investimentos em segurança são indispensáveis para todos os tipos de empresa. Em qualquer selva.