Como a IA pode parar o Zero-Day Ransomware

Views: 43
0 0
Read Time:9 Minute, 12 Second

No ano passado, o grande número de ataques de ransomware aumentou drasticamente, com organizações de todos os matizes sendo afetadas: entidades governamentais, instituições educacionais, instalações de saúde, varejistas e até grupos agrícolas.

Embora a maior parte da atenção da mídia tenha sido em infraestrutura crítica e grandes organizações, os atacantes não estão se limitando apenas a esses tipos de vítimas.

“Essa é realmente apenas a ponta do iceberg”, diz Max Heinemeyer, diretor de caça a ameaças da Darktrace. “Vemos não apenas grandes nomes sendo atingidos. É basicamente qualquer empresa onde os adversários pensam que podem pagar o resgate. Qualquer um que tenha dinheiro e esteja administrando algum tipo de negócio digital está basicamente na mira.”

O que é ainda mais preocupante – mais do que o fato de que praticamente qualquer organização pode ser alvo – é que os ataques de ransomware estão evoluindo rapidamente para adicionar novos recursos. Onde ataques anteriores envolveram uma – ou um punhado – de máquinas comprometidas, os ataques agora derrubam redes inteiras. Onde o malware se concentrou apenas em criptografar arquivos e torná-los inacessíveis, agora o malware exfiltra os dados fora da rede. As gangues agora ameaçam ataques secundários além da infecção inicial, como lançar ataques de negação de serviço ou despejar os arquivos em público. Esta última ação exporia a organização a todo um outro conjunto de problemas associados à violação de dados.

Ameaças em constante evolução

Há uma tendência a assumir que as gangues de ransomware sempre seguem um script definido ao projetar seus ataques. No entanto, a “profissionalização” do cenário de ransomware significa que esses atacantes têm sua própria cadeia de suprimentos para trabalhar.

“Eles têm operadores de penetração especializados para invadir sistemas, compram acesso a redes e negociadores para discutir resgates”, diz Heinemeyer.

As gangues de ransomware nem sempre usam phishing, exploram dias zero ou abusam de cadeias de suprimentos, acrescenta ele.

“Eles vão com o que quer que seus hackers tragam a bordo”, diz Heinemeyer. “Se [hackers] quiserem usar Cobalt Strike, eles usam Cobalt Strike. Ou eles podem usar seu próprio malware. Se preferirem o fluxo de domínio, eles usam o fluxo de domínio. Se eles são muito hábeis em engenharia social, vão usar isso. Se eles comprarem acesso na Dark Web, como cookies de acesso ou sistemas comprometidos com pr, eles podem usar isso.”

Embora ataques aleatórios e oportunistas ainda existam, essas gangues estão cada vez mais pesquisando os alvos de antemão para encontrar o método de ataque adequado.

“Você pensa: ‘Oh, meu Deus, isso é estilo 1995, mas ainda funciona porque há tantas empresas por aí que são vulneráveis. Eles têm infraestrutura aberta ou funcionam em sistemas de borda”, diz Heinemeyer. Mas as gangues não precisam ficar com apenas um método de ataque. Eles estão dedicando um tempo para entender as redes que estão segmentando e podem trocar ferramentas conforme necessário.

A indústria tende a pré-definir a ameaça — “Mimikatz é a raiva mais recente, ou esta versão do Cobalt Strike” — e concentrar as soluções nesses elementos, diz Heinemeyer.

“Você não quer que seu controlador de domínio tenha uma porta RDP aberta sem qualquer proteção contra força bruta agora. E você não quer ter um servidor Exchange não corrigido que não tenha sido corrigido”, explica ele. “Mas para a maioria das organizações, há o problema do que fazer a seguir: devo criar mais campanhas de conscientização de segurança porque phishing é a última coisa? Devo aumentar meus ciclos de patch ou obter mais inteligência contra ameaças?”

Heinemeyer adverte contra confiar demais na definição de como seria o ataque. Defensores focados apenas em técnicas, ferramentas e procedimentos (TTPs) e indicadores de compromisso (IoCs) provavelmente verão apenas ransomware legado e ataques que estão utilizando métodos já conhecidos.

“Não há mais nenhum modus operandi comum”, diz ele. “Nós [a indústria] tentamos extrapolar o ataque de amanhã dos ataques de ontem: Vejamos a inteligência contra ameaças de ontem. Vejamos as regras de ontem. Há ataques aproveitando HTTPS – vamos nos concentrar no monitoramento de HTTPS. Mas agora, ainda mais no cenário dinâmico de ameaças de hoje, isso simplesmente não aguenta mais. Os atacantes de amanhã podem usar técnicas que nunca foram aplicadas antes. E é aí que as equipes de segurança lutam, porque investem nas últimas tendências com base no que ouvem.”

A IA é a resposta?

“Como você pode se defender contra algo imprevisível?” Heinemeyer pergunta. A resposta, na sua opinião, é aproveitar a inteligência artificial (IA) para entender todas as possibilidades e encontrar relacionamentos que analistas humanos e ferramentas de segurança tradicionais, como firewalls, perderiam.

“É super importante entender o que a IA faz”, diz Heinemeyer. “AI não é pó mágico. Nós não o usamos apenas porque é uma palavra da moda.”

Heinemeyer diferencia entre IA e aprendizado de máquina supervisionado, que depende de um grande conjunto de dados para treinar os dados para encontrar e reconhecer padrões. Portanto, se a IA vir e-mails suficientes em seus dados de treinamento, quando apresentada com um novo e-mail, ela pode dizer se pode ser malicioso. O aprendizado de máquina supervisionado procura coisas que são semelhantes às coisas anteriores, mas que não abordam a questão de encontrar coisas novas. É aí que entra o aprendizado de máquina não supervisionado – “e ainda é muito difícil acertar”, diz Heinemeyer.

Com aprendizado de máquina não supervisionado, ou autoaprendizagem, não há dados de treinamento.

“Você pega a IA, a coloca em um ambiente e, em vez de dizer que estes são exemplos de explorações de aplicativos da web, e estes são exemplos de e-mails de phishing, e estes são exemplos de domínios maliciosos, deixamos a IA ver os dados, software, dados de serviço, e-mail, comunicação, dados de rede, dados de endpoint e aprender em tempo real”, diz Heinemeyer. “A IA entende o que significa normal para tudo o que vê e pode então detectar vários desvios disso.”

Em outras palavras, a IA é contextualizada.

“É específico para o seu ambiente”, diz Heinemeyer. “A IA aprende que você normalmente usa o Teams, faz upload de coisas para o seu CRM, vai ao Twitter, trabalha em um determinado fuso horário e usa o Office 365. Com o autoaprendizagem, a IA aprende com a vida e não com base em dados de ataque anteriores ou com base no que aconteceu em outras organizações.

“Se, de repente, você receber um e-mail que parece muito fora do lugar para sua comunicação anterior, visitar um link nesse e-mail e acessar um site que nunca visita antes de uma maneira incomum para você e seu grupo de pares, depois baixar algo que é super estranho e começar a digitalizar toda a infraestrutura e usar SMB para criptografar dados, o que você nunca faz, ande como um ataque”, diz Heinemeyer.

A IA pode identificar o ataque mesmo que nunca tenha sido visto antes, mesmo que não haja assinatura ou se houver uma vulnerabilidade de dia zero sendo explorada.

A IA pode parar o Ransomware?
Uma coisa é detectar um ataque que nunca foi visto antes. Mas a IA pode parar o ransomware? Heinemeyer diz que pode.

“Muitas pessoas pensam: ‘Quando quero parar o ransomware, tenho que interromper o processo de criptografia’, mas a maioria das pessoas esquece que um ataque de ransomware é, em primeiro lugar, uma intrusão de rede”, diz Heinemeyer. “Há muitos passos chegando antes — alguém tem que entrar [na rede] de alguma forma. Eles têm que encontrar uma maneira de implantar o seu controlador de domínio, e eles têm que chegar ao segmento de rede certo.” Há mais etapas se forem ataques em vários estágios, como extrair os dados para servidores externos ou envergonhar publicamente a organização.

Muitos desses ataques acontecem ao longo de alguns dias, como nos fins de semana, feriados ou fora do expediente, para reduzir o tempo de resposta das equipes humanas. O ataque pode começar na sexta-feira à noite e os dados são criptografados até domingo, diz Heinemeyer.

“Há muitas chances de interromper o ataque de ransomware antes que a criptografia realmente aconteça”, acrescenta ele.

Se a IA puder detectar esses sinais iniciais antes do início da criptografia, o ataque pode ser interrompido expulsando os atacantes, diz Heinemeyer.

“Você pode talvez impedir que o e-mail de phishing seja clicado ou impedir que o movimento lateral aconteça”, diz ele. “Talvez você possa matar o processo de controle de comando. Você contém os atacantes matando conexões de rede.”

Talvez não houvesse tempo para os primeiros indicadores porque todas as peças de ataque já estavam no lugar, ou foi lançado por um informante. Pode ser difícil diferenciar entre alguém clicar em um botão para iniciar o ataque a partir de um processo legítimo de backup, diz Heinemeyer. A IA de autoaprendizagem tem mais contexto para poder dizer quando essa criptografia não é um processo normal. Mesmo que a IA não tenha conseguido detectar o ataque antes, ela pode interromper a criptografia matando o processo do sistema e bloqueando as conexões de rede. Talvez os arquivos locais sejam criptografados, mas bloquear conexões de rede significa que os compartilhamentos de rede não. Isso minimiza os danos com os quais a organização tem que lidar.

A IA de autoaprendizagem detecta ataques em áreas que os seres humanos podem perder porque há tantas coisas para acompanhar, e pode responder mais rápido do que os humanos.

“Esses ataques acontecem na velocidade da máquina, mais rápido do que qualquer equipe humana pode reagir”, diz Heinemeyer. “Então você precisa contê-lo e impedi-lo de causar danos. Dê tempo à equipe humana para depois entrar com a resposta a incidentes para descobrir a causa raiz.”

IA Pode Escalar, Humanos Não Podem

“A segurança nunca foi um problema de escala humana. É muito complexo”, diz Heinemeyer, observando que, mesmo quando a maioria das cargas de trabalho corporativas estava no local, era muito difícil conhecer prós e contras e entender a superfície de ataque. O ambiente corporativo agora é mais complicado, com plataformas locais competindo com plataformas em nuvem, trazendo desafios de seu próprio dispositivo, ataques à cadeia de suprimentos, ameaças internas e riscos associados à terceirização para provedores terceirizados.

“Há tantas coisas que complicam ainda mais isso”, diz ele. “Acertar tudo com segurança sempre foi difícil em uma rede local. Conseguir tudo agora, onde você nem consegue colocar o dedo onde começa e seus fornecedores começam, é impossível para os seres humanos.”

As pessoas entendem como são os ataques de rede – quando alguém clica em um e-mail de phishing, o malware é instalado. Esse malware se move, exfiltra dados e os criptografa. Tente extrapolar isso para ambientes de nuvem, e torna-se mais difícil visualizar como é um ataque contra sistemas em nuvem. A maioria das equipes de segurança nunca viu como é um compromisso contra uma instância da Amazon Web Services, muito menos ter que lidar com isso, diz Heinemeyer.

“Não é apenas um problema de tecnologia. É um problema de escala. E não é um problema de escala humana entender isso, manter-se atualizado e manter-se atualizado”, diz Heinemeyer. “A complexidade explodiu. A complexidade matou o gato.”

FONTE: DARK READING

Previous post Teste de Penetração vs Verificação de Vulnerabilidade
Next post Após a correção falhada, o pesquisador libera a falha do exploit para Windows EoP (CVE-2021-41379)

Deixe um comentário