0
0
Cibercriminosos aproveitarão recursos e vulnerabilidades aprimorados introduzidos durante crise da Covid para melhorar eficiência de ataques
Evan Schuman
Quando a Covid-19 chegou e começou a forçar grandes mudanças corporativas em março, ela causou uma mudança significativa no cenário de ameaças corporativas. Isso é ainda mais preocupante dado que tudo aconteceu em poucos dias, o que exigiu dos times de segurança para tudo, principalmente com a criação de sites remotos.
Leia também: Estresse e distração no home office levam funcionários a cometerem mais erros de cibersegurança
A Covid também acelerou o movimento para a nuvem – muito mais rápido do que o esperado em janeiro de 2020. Esses novos sites remotos, parte de uma gigantesca mudança nos fluxos de dados e pessoal, também abriram as comportas para pedidos como maior cobertura de dispositivos IoT (Internet das Coisas, na sigla em inglês). Pior ainda, eram dispositivos IoT especialmente inseguros para o consumidor, que normalmente se infiltravam em sistemas sensíveis pegando carona nas transmissões VPN.
Com um cenário de ameaças corporativas tão diferente, os CISOs devem implantar estratégias de segurança cibernética diferentes e usar ferramentas de segurança cibernética diferentes. Se o que está sendo protegido é tão diferente, isso não exigiria mecanismos de defesa igualmente diferentes?
Nenhuma mudança dramática aconteceu com a maioria das defesas de segurança cibernética corporativa porque os cibercriminosos ainda não mudaram significativamente suas metodologias de ataque. Eles aumentaram o volume e a intensidade, mas não os métodos de ataque específicos. É quase universalmente considerado que essa é uma situação de curto prazo e os cibercriminosos mudarão seus métodos muito em breve, quase definitivamente no início de 2021.
Como serão essas novas metodologias de ataque? Entramos em contato com vários especialistas em segurança cibernética para descobrir.
Novos ataques a dispositivos remotos
Jim Boehm, Parceiro Especialista da consultoria McKinsey & Co., antecipa novos ataques com foco em dispositivos de escritórios remotos que agora estão lidando com dados muito mais confidenciais do que antes da Covid. Por exemplo, em um site de um cliente no qual sua equipe trabalhou recentemente, eles descobriram protocolos VPN baseados mais na continuidade do trabalho do que nas proteções de segurança. Essa empresa configurou a VPN de forma que, se a conexão for interrompida, ela manterá algumas “funcionalidades básicas”, como reconectar-se ao WebEx. “Ele ainda enviaria e-mails internos se o cliente de e-mail tivesse sido conectado à VPN [antes da desconexão]”, diz ele. “As sessões WebEx restabeleceriam e transfeririam dados automaticamente. [Isso criou um exploit] onde os cibercriminosos podiam estabelecer persistência em um dispositivo antes que a VPN fosse iniciada”.
Quando as VPNs são responsáveis por 10% ou menos de todas as transmissões de dados, uma empresa pode considerar isso um risco aceitável. Agora que as VPNs são responsáveis por mais de 90% de todas as transmissões de dados, os CISOs precisam fazer uma reavaliação.
Boehm acrescenta que, em alguns anos, as VPNs podem não ser mais necessárias, mas muito precisa ocorrer antes que isso aconteça. “Em um mundo totalmente zero-trust, você pode se livrar das VPNs”, diz ele. “Hoje, ninguém realmente tem confiança zero, exceto no Google”.
Explorando configurações de nuvem ruins
Ataques na nuvem são outra grande preocupação. Chet Wisniekski, Principal Cientista de Pesquisa da Sophos, acredita que as configurações de nuvem e a natureza humana estão em rota de colisão, e os bandidos estão contando com isso.
Por exemplo, Wisniewski fez referência a uma empresa que tinha contas em nuvem de vários dos maiores fornecedores de nuvem corporativa. “As premissas são completamente diferentes de fornecedor para fornecedor”, diz ele, referindo-se a áreas como complexidade de senha e configurações padrão relacionadas a alterações com novos objetos, novas implantações de uma instância e não aplicá-la retroativamente.
“No Google Cloud, muitas coisas devem ser aplicadas manualmente”, o que não é como os padrões funcionam para o Microsoft Azure e Amazon Web Services (AWS), diz Wisniewski. “Quanto mais conhecimento de um determinado ambiente provavelmente lhe dará mais eficiência, mas quanto mais você domina um, maior a probabilidade de cometer erros no outro”.
Às vezes, também existem inconsistências na mesma plataforma, como novas implantações com uma nova configuração padrão, enquanto as antigas permanecem com as configurações padrão antigas, diz Wisniewski. Tudo isso torna as configurações de segurança difíceis de manter em ordem quando uma empresa tem várias contas de nuvem – deixando de lado as muitas contas de nuvem de TI de sombra que nem o CISO nem o CIO conhecem – junto com uma combinação de implantações de nuvem novas e antigas.
O que Wisniewski quer dizer é que essa confusão influencia a força dos cibercriminosos, que procuram entrar furtivamente em uma conta da maneira que puderem. Ele citou um invasor hipotético dizendo: “A Amazon faz isso por padrão e aqui está uma política mal compreendida da qual podemos abusar”.
Explorando a complexidade em configurações de escritório remoto
Muitas configurações de site remoto/home office para empresas são complexas demais, o que leva a inconsistências que os invasores podem explorar. Isso é especialmente verdade com os escritórios remotos forçados pela pandemia.
“A diversidade nas configurações de rede doméstica é impressionante. Observe e você encontrará algumas das configurações mais bizarras”, disse John Henning, Engenheiro de Segurança da Informação da SAS. “A tentativa de oferecer suporte às redes domésticas dos usuários abre uma caixa de Pandora que não pode ser fechada. Isso consumirá recursos com pouco retorno. O melhor retorno sobre o investimento de tempo? Eduque os usuários e forneça princípios orientadores e práticas recomendadas”.
Talvez contra a intuição, Henning descobre que “seu pessoal mais tecnicamente competente será o mais problemático. Funcionários tecnicamente qualificados adoram mexer em suas redes domésticas. [Eles] abrirão a porta 22 para que possam usar o SSH em seu próprio servidor pessoal. [Ou eles irão] abrir a porta 3389 para que possam RDP no laptop de trabalho de um VRBO. Seus funcionários menos técnicos são muito menos propensos a mexer. Embora as configurações padrão às vezes não sejam ideais, no mercado de hoje, a maioria das configurações padrão oferece configurações de segurança aceitáveis”. Os invasores podem se concentrar no pessoal mais técnico de uma empresa, na esperança de encontrar mais brechas para alavancar.
Outro medo? Hennings espera que os invasores rastreiem sites OSINT (sigla para open source intelligence) públicos. “Os invasores irão rastrear sites OSINT públicos em busca de dispositivos vulneráveis de funcionários, como o Shodan. Não se surpreenda se você procurar um dispositivo comprometido no Shodan e encontrar informações da empresa ou vetores de entrada”, diz ele.
Tunelamento em sistemas corporativos via VPN
Com 2021 começando com tantos dados fluindo por VPNs, Corey Nachreiner, CTO da WatchGuard Technologies, espera que os bandidos tentem agressivamente identificar os sistemas VPN como uma forma direta de criar um túnel em sistemas corporativos confidenciais. Ele diz que identificar esses usuários é relativamente fácil.
“A maioria dos cavalos de Tróia ou clientes bot permitem que o invasor execute manualmente ou execute scripts de comandos CLI [prompt de comando]. Isso por si só oferece muitas maneiras de detectar a existência de software VPN. Por exemplo, o comando ipconfig lista interfaces de rede, incluindo interfaces virtuais usadas para VPNs. Por exemplo, se o seu malware automatizou um script para analisar os resultados do ipconfig, procurando por nomes de adaptadores como TAP-Windows Adapter v9 ou TAP-NORDVPN Windows Adapter v9″, diz Nachreiner.
“Muitos outros nomes possíveis [poderiam ser usados], já que diferentes clientes VPN usam nomes diferentes para eles, mas os invasores inteligentes poderiam simplesmente compilar uma lista dos clientes VPN mais populares que desejam atingir. Em qualquer caso, você poderia criar scripts e automatizar malware para iniciar ipconfig em cada nova vítima e, em seguida, retornar um sinalizador se detectar o nome comum de uma interface VPN nos resultados”.
A partir daí, os atacantes “poderiam começar a usar a funcionalidade de worm e técnicas de movimento lateral que existiam em alguns malwares por um longo tempo para atingir especificamente essa rede acessível por VPN”, disse Nachreiner.
Implantar malware baseado em IA e machine learning
Uma possibilidade bem discutida que pode finalmente se materializar em 2021 é os invasores virarem a IA e o machine learning contra as empresas, na verdade, usando uma IA ruim para infectar a IA boa de uma empresa, diz Ben Goodman, Vice-Presidente Sênior da ForgeRock. “Em 2021, veremos um aumento no número de ataques de envenenamento de dados à medida que mais organizações estão implantando plataformas de IA em seus sistemas. Em anos anteriores, hackers mal-intencionados já haviam descoberto que podem atacar IA e software de machine learning alimentando os dados ilegítimos de IA fazer com que produza resultados negativos ou imprecisos. Isso se tornará uma questão mais proeminente em 2021 e nos anos seguintes “, afirma.
“Maus atores podem alimentar o software de IA com uma imagem com outra imagem interna que faz o oposto do que a IA deve fazer, de modo que envenena o algoritmo de IA”, acrescenta Goodman. “Por exemplo, quando a IA é usada para detectar fraude, os fraudadores podem enviar dados ruins que tornam o software incapaz de detectar a atividade fraudulenta”. Como muitas plataformas de segurança usam dados de IA e de machine learning para detectar ataques cibernéticos, identificando anomalias nos dados existentes, ele diz que os invasores podem potencialmente desviar seus métodos de detecção. “Em 2021, pode ser necessário usar IA separada para fazer verificações de integridade e segurança em dados coletados pelo software AI inicial”.
Quebrando a criptografia com a computação quântica
Uma preocupação improvável, mas possível, é que os bandidos usem uma potência superior – especialmente vinda de atores estatais bem financiados (Rússia, Coréia do Norte, China, Irã etc.). Steve Zalewski, vice-CISO da Levi Strauss & Co., empresa global de vestuário, está preocupado com a computação quântica e sua capacidade de minar, se não negar totalmente, as defesas de criptografia. “Isso é uma virada de jogo”, diz ele.
Como uma questão prática para CISOs corporativos, Zalewski diz, “a computação quântica é uma solução que está procurando um problema agora.” Ele o compara aos supercomputadores Cray da primeira geração. “O que (Cray) era realmente bom eram simulações, padrões climáticos. Crays não eram bons para computação de propósito geral”. Para os bandidos que procuram contornar a criptografia, pode acabar sendo eficaz.
FONTE: CIO