0
0
À medida que toda a força de trabalho passou a ser remota durante a noite de 2020, as organizações mudaram as operações para a nuvem e os funcionários aumentaram a quantidade de trabalho que realizaram no navegador. Embora essa mudança para a nuvem permitisse produtividade e colaboração, apesar da incapacidade de ver os colegas pessoalmente, isso deixou os sistemas de segurança legados mais ineficazes contra ataques do que eram em ambientes anteriores no local de trabalho.
Como os sistemas de segurança existentes permaneceram no local, os atores de ameaças estavam ocupados trabalhando silenciosamente nos bastidores para se infiltrar em organizações onde o trabalho estava sendo feito: no navegador da Web.
Para explorar trabalhadores na Web, os atores de ameaças de hoje geralmente enviam links maliciosos através de e-mails de phishing ou spear-phishing. Esses e-mails aleatórios e direcionados são uma maneira simples de os atacantes potencialmente obter acesso a um tesouro de dados através do dispositivo de um indivíduo. Essas táticas são eficientes e não vão embora, embora os atacantes estejam sempre trabalhando para ficar um passo à frente, mudando seus métodos e procurando novos vetores de ataque.
Uma nova variação de ataque implanta uma classe recentemente identificada de ameaças cibernéticas observadas pela Menlo Security, apelidada de ameaças adaptativas altamente evasivas (HEAT), que usam técnicas para evitar especificamente a detecção por múltiplas camadas nas pilhas de segurança atuais. Essas ameaças fornecem malware ou credenciais de compromisso, servindo como beachheads para roubo de dados, monitoramento furtivo, aquisições de contas e iniciação de cargas de ransomware. Os ataques térmicos estão sendo aproveitados por grupos de ameaças conhecidos, incluindo o Nobelium (a gangue por trás do ataque do SolarWinds) e estão em ascensão. De fato, a equipe de pesquisa do Menlo Labs observou um aumento de 224% nos ataques de CALOR apenas no segundo semestre de 2021.
Com os usuários finais gastando uma média de 75% de seu dia de trabalho no navegador e ransomware mais prevalentes do que nunca, o volume e a sofisticação desses ataques altamente evasivos dispararam. A maioria das organizações não estão preparadas para se defender contra elas.
Entendendo ataques HEAT
Para ser considerada um ataque HEAT, a ameaça deve aproveitar uma ou mais das quatro técnicas evasivas a seguir que contornam as defesas tradicionais de segurança da rede:
- Evita a inspeção de conteúdo estático e dinâmico: Os ataques heat evitam mecanismos de assinatura e análise comportamental para fornecer cargas maliciosas à vítima usando técnicas inovadoras, como contrabando html.
- Evita a análise de links maliciosos: Essas ameaças evitam mecanismos de análise de links maliciosos tradicionalmente implementados no caminho de e-mail onde links podem ser analisados antes de chegar ao usuário.
- Evita a categorização offline e a detecção de ameaças: Os ataques heat contornam a categorização da Web, fornecendo malware de sites benignos, comprometendo-os ou criando pacientemente novos, que são chamados de sites “Good2Bad”. A equipe observou um aumento de mais de 137% dos sites good2Bad de 2020 a 2021.
- Evita a inspeção de tráfego HTTP: Em um ataque HEAT, conteúdo malicioso como explorações de navegador, código de criptografia, código de kit de phishing e imagens personificando logotipos conhecidos da marca são gerados pelo JavaScript no navegador pelo seu mecanismo de renderização, tornando qualquer técnica de detecção inútil.
Embora alguns aspectos dos ataques de CALOR tenham atormentado as organizações há anos, esses ataques tornaram-se a maior ameaça que as empresas enfrentam hoje com a proliferação do trabalho remoto e a rápida evolução correspondente do mercado de ameaças.
Além disso, os recursos tradicionais de segurança, incluindo gateways da Web seguros, sandboxing, reputação de URL e filtragem, são inúteis contra esses tipos de ataques porque os ataques HEAT estão escondidos atrás de usos legítimos. Simplesmente bloqueá-los não funcionará. Em vez disso, as organizações devem ser capazes de evitar usos maliciosos das técnicas para se proteger adequadamente.
Proteger seus milhões de organizações de empresas e indivíduos em todo o mundo está confiando no navegador para conduzir a maioria das tarefas pessoais e de trabalho; é aí que os maiores riscos à segurança serão avançar — e a maioria das pilhas de segurança hoje não protege contra essas ameaças baseadas na Web. Como tal, não apenas as estratégias e capacidades de segurança precisam ser modernizados para as ameaças sofisticadas de hoje, mas as mentalidades devem mudar para proteger as organizações dos hackers de amanhã.
Para proteger redes, os líderes de segurança e de negócios devem mudar de uma mentalidade de detectar e remediar e, em vez disso, adotar uma abordagem preventiva para a segurança que está enraizada na arquitetura de confiança zero e adota a estrutura de borda de serviço de acesso seguro (SASE) para proteger as forças de trabalho remotas e híbridas. [Nota do editor: A empresa do autor é um dos muitos fornecedores que oferecem zero confiança e produtos SASE.] As medidas de segurança funcionam melhor quando são aplicadas perto do usuário final, aplicativo e dados.
Ao prevenir ameaças antes de se aproximar da rede, aplicativos e dispositivos que estão mirando, uma organização pode determinar que seus recursos estão limpos de infecção e se concentrar em outras ameaças potencialmente impactantes dentro de suas equipes de operações de segurança.
À medida que as ameaças continuam a evoluir, os hackers se tornam cada vez mais prolíficos, e todas as organizações, de todos os tamanhos e em todas as verticais, enfrentam maior risco de serem vítimas do que nunca. Uma coisa é certa: os líderes de segurança devem permanecer ágeis, modernizar suas pilhas de segurança para evitar que ataques aconteçam, e ter um plano concreto em vigor se eles sofrerem uma brecha.
FONTE: DARK READING