0
0
Equipe do Sophos Rapid Response aponta os principais mitos que podem também servir de alertas para organizações
Por Peter Mackenzie*
Quais mitos ou percepções erradas sobre cibersegurança foram mais vistos nos últimos 12 meses? E como a crença neles pode servir de alerta às organizações, colaboradores e usuários?
Na lista abaixo, a equipe do Sophos Rapid Response identifica os principais mitos sobre cibersegurança e os contextualiza, com observações dos responsáveis da linha de frente no combate aos ataques.
Mito 1: “Não somos um alvo; somos muito pequenos e/ou não temos ativos de valor para um cibercriminoso”
Muitas vítimas de ataques cibernéticos presumem que são muito pequenas, em um setor sem interesse ou sem o tipo de ativo lucrativo que atrairia um cibercriminoso. A verdade é que não importa: se você tem poder de processamento e presença digital, você é um alvo. Apesar das manchetes da mídia, a maioria dos ataques não é perpetrada por atacantes avançados de estados-nação; eles são lançados por oportunistas em busca de uma presa fácil e de resultados mais fáceis, como organizações com brechas de segurança, erros ou configurações incorretas que os cibercriminosos podem explorar facilmente.
Se você acredita que sua organização não é um alvo, provavelmente não está procurando ativamente por atividades suspeitas em sua rede — como a presença de Mimikatz (um aplicativo de código aberto que permite aos usuários visualizar e salvar credenciais de autenticação) em seu controlador de domínio — e você pode perder os primeiros sinais de um ataque.
Mito 2: não precisamos de tecnologias de segurança avançadas instaladas em todos os lugares
Algumas equipes de TI ainda acreditam que o software de segurança de endpoint é suficiente para parar todas as ameaças e/ou eles não precisam de segurança para os seus servidores. Os invasores tiram total proveito dessas suposições já que quaisquer erros na configuração, patching ou proteção tornam os servidores um alvo primário, não mais secundário, como poderia ser o caso no passado.
A lista de técnicas de ataque que tentam contornar ou desabilitar o software de endpoint e evitar a detecção pelas equipes de segurança de TI aumenta a cada dia. Os exemplos incluem ataques operados por humanos que exploram a engenharia social e vários pontos de vulnerabilidade para conseguir entrar; código malicioso fortemente compactado e ofuscado injetado diretamente na memória; ataques de malware sem arquivo, como carregamento reflexivo de DLL (Dynamic Link Library); e ataques usando agentes legítimos de acesso remoto, como Cobalt Strike, juntamente com ferramentas e técnicas de administração de TI do dia a dia. As tecnologias antivírus básicas terão dificuldade em detectar e bloquear essa atividade.
Da mesma forma, a suposição de que terminais protegidos podem impedir que invasores cheguem a servidores desprotegidos é um erro. De acordo com os incidentes que o Sophos Rapid Response investigou, os servidores são agora o alvo número um de ataques e os invasores podem encontrar facilmente uma rota direta usando credenciais de acesso roubadas. A maioria dos invasores também conhece uma máquina Linux e costumam invadir e instalar backdoors para usá-los como refúgios seguros e para manter o acesso à rede de um alvo.
Se a organização depende apenas de segurança básica, sem ferramentas mais avançadas e integradas, como detecção comportamental baseada em IA e um centro de operações de segurança 24 horas por dia, 7 dias por semana, os invasores provavelmente encontrarão um caminho para além das defesas.
Por último, mas não menos importante, é sempre bom lembrar que, embora a prevenção seja ideal, a detecção é uma obrigação.
Mito 3: temos políticas de segurança robustas em vigor
Ter políticas de segurança para aplicativos e usuários é fundamental. No entanto, eles precisam ser verificados e atualizados constantemente à medida que novos recursos e funcionalidades são adicionados aos dispositivos conectados à rede. Por isso, é importante verificar e testar as políticas, usando técnicas como teste de penetração, exercícios de mesa e testes de planos de recuperação de desastres.
Mito 4: os servidores Remote Desktop Protocol (RDP) podem ser protegidos contra invasores
A porta padrão usada para serviços RDP é 3389, portanto, a maioria dos invasores varrerá essa porta para encontrar servidores de acesso remoto abertos. No entanto, a varredura identifica todos os serviços abertos, independentemente da porta em que estejam e, por isso, alterar as portas oferece pouca ou nenhuma proteção por si só.
Além disso, embora a introdução da autenticação multifator seja importante, ela não aumenta a segurança, a menos que a política seja aplicada a todos os funcionários e dispositivos. A atividade RDP deve ocorrer dentro dos limites de proteção de uma rede privada virtual (VPN), mas mesmo isso não protege totalmente uma organização se os invasores já tiverem um ponto de apoio em uma rede. Idealmente, a menos que seu uso seja essencial, a segurança de TI deve limitar ou desabilitar o uso de RDP interna e externamente.
Mito 5: bloquear endereços IP de regiões de alto risco garante proteção contra ataques dessas regiões
Bloquear IPs de regiões específicas provavelmente não causará nenhum dano, mas pode dar uma falsa sensação de segurança se você confiar apenas nisso para proteção. Os cibercriminosos hospedam sua infraestrutura maliciosa em muitos países, com hotspots incluindo os EUA, Holanda e o resto da Europa.
Mito 6: nossos backups fornecem imunidade contra o impacto do ransomware
Manter backups de documentos atualizados é essencial para os negócios. No entanto, se os backups estiverem conectados à rede, eles estarão ao alcance de invasores e vulneráveis a serem criptografados, excluídos ou desativados em um ataque de ransomware.
É importante notar que limitar o número de pessoas com acesso aos backups pode não aumentar significativamente a segurança, pois os invasores terão passado algum tempo na rede procurando essas pessoas e credenciais de acesso.
Da mesma forma, o armazenamento de backups na nuvem também precisa ser feito com cuidado — em um incidente investigado pelo Sophos Rapid Response, os invasores enviaram um e-mail ao provedor de serviços em nuvem de uma conta de administrador de TI hackeada e pediram que excluísse todos os backups. O provedor cumpriu.
A fórmula padrão para backups seguros que podem ser usados para restaurar dados e sistemas após um ataque de ransomware é 3: 2: 1: — três cópias de tudo, usando dois sistemas diferentes, um dos quais está offline.
Mito 7: Nossos funcionários entendem a segurança
De acordo com o State of Ransomware 2021, 22% das organizações acreditam que serão atingidas por ransomware nos próximos 12 meses por ser difícil impedir que os usuários finais comprometam com a segurança.
Táticas de engenharia social, como e-mails de phishing, estão se tornando cada vez mais difíceis de detectar. As mensagens costumam ser feitas à mão, escritas com precisão, persuasivas e cuidadosamente direcionadas. Os funcionários precisam saber como identificar mensagens suspeitas e o que fazer ao recebê-las. Quem eles notificam para que outros funcionários fiquem em alerta?
Percepção errada 8: equipes de resposta a incidentes podem recuperar dados após um ataque de ransomware
Isso é muito improvável. Hoje, os cibercriminosos cometem muito menos erros e o processo de criptografia melhorou, portanto, depender dos respondentes para encontrar uma brecha que possa desfazer o dano é extremamente raro. Backups automáticos como cópias de sombra de volume do Windows também são excluídos pela maioria dos ransomwares modernos, além de sobrescrever os dados originais armazenados no disco, tornando a recuperação impossível, exceto com o pagamento do resgate.
Mito 9: pagar o resgate recupera os dados após um ataque de ransomware
De acordo com a pesquisa State of Ransomware 2021, uma organização que paga o resgate recupera em média cerca de dois terços (65%) de seus dados. Apenas 8% recuperaram todos os seus dados e 29% recuperaram menos da metade. Pagar o resgate — mesmo quando parece a opção mais fácil e/ou está coberto pela sua apólice de seguro cibernético — não é, portanto, uma solução simples para se recuperar.
Além disso, restaurar dados é apenas parte do processo de recuperação — na maioria dos casos, o ransomware desativa completamente os computadores, o software e os sistemas precisam ser reconstruídos do zero antes que os dados possam ser restaurados. A pesquisa de 2021 descobriu que os custos de recuperação são, em média, dez vezes o tamanho da demanda de resgate.
Mito 10: o lançamento de ransomware é todo o ataque — se sobrevivermos, estaremos bem
Infelizmente, raramente é esse o caso. O ransomware é apenas o ponto em que os invasores querem que você perceba que eles estão lá e o que fizeram.
É provável que os adversários estejam em sua rede por dias, senão semanas, antes de liberar o ransomware, explorando, desativando ou excluindo backups, encontrando as máquinas com informações ou aplicativos de alto valor para criptografar, removendo informações e instalando cargas úteis adicionais, como backdoors. Manter uma presença nas redes da vítima permite que os invasores lancem um segundo ataque, se quiserem.
*Peter Mackenzie é pesquisador da Sophos
FONTE: COMPUTERWORLD