0
0
Nesta entrevista à Help Net Security, John Shier, Consultor Sênior de Segurança da Sophos, fala sobre as principais descobertas de dois relatórios da Sophos: o Relatório de Adversário Ativo de 2022 e o Relatório de Estado do Ransomware, que fornecem uma visão geral excepcional do cenário moderno de ameaças.
Sabemos que a Sophos está planejando lançar seu Relatório de Adversário Ativo Sophos 2022 na RSAC este ano. Você pode nos dar uma visão geral de alto nível do relatório? Alguma descoberta ou tendência fundamental que seja diferente do relatório do ano passado?
O tempo de permanência do intruso aumentou 36% em relação ao ano passado, com a mediana passando de 11 dias para 15 dias. No entanto, houve alguma variabilidade interessante nessa estatística. As vítimas de ransomware tiveram tempos médios de permanência mais baixos (11 dias) em comparação com ataques não ransomware (34 dias), e organizações menores tiveram os tempos médios de permanência mais longos. Quase metade (47%) dos ataques foram o resultado de uma vulnerabilidade explorada. Por exemplo, vulnerabilidades facilmente exploradas como ProxyLogon e ProxyShell apareceram com destaque nos dados deste ano. Essa tendência provavelmente foi liderada por corretores de acesso inicial (IAB) que se especializam em obter acesso inicial às redes e vender esse acesso a todos os tipos de cibercriminosos.
A combinação de IABs e vulnerabilidades facilmente exploradas foi uma das razões pelas quais vimos o aumento dos tempos de permanência em 2021. Uma vez comprometida por um IAB, uma vítima pode “sessair na prateleira” até que seja comprada por outro criminoso, ou a violação seja finalmente detectada. Muitas organizações provavelmente estão neste estado agora. Em alguns casos, devido à existência de uma condição pré-existente que permitia fácil acesso a uma rede, isso resultou em vários atacantes vitimizando o mesmo alvo.
Uma boa notícia foi que, em 2021, o uso do RDP para acesso externo diminuiu em relação a 2020. Isso provavelmente se deve ao acesso à pandemia de emergência ser retirado em favor de soluções mais seguras e permanentes. Mas, o uso do RDP para movimento lateral interno aumentou, passando de 69% para 82%, desde o relatório do ano passado.
Quais comportamentos, táticas, técnicas e procedimentos de atacantes você está vendo surgir este ano?
A principal tendência deste ano foi a de explorar vulnerabilidades em serviços externos para acesso inicial. Isso incluiu não apenas as vulnerabilidades ProxyLogon e ProxyShell, mas também vulnerabilidades que afetam muitas implantações de VPN e firewall. Embora possa ser tentador pensar que esta é uma tendência em evolução, foi mais um golpe e agarramento oportunista. Na maioria dos casos, um patch estava disponível antes do ataque. As explorações se manifestaram em uma quantidade maior do que o normal de shells da web encontradas em redes de vítimas. Os IABs provavelmente foram responsáveis por grande parte dessa atividade.
Outra tendência foi a dependência contínua do acesso inicial por meio de serviços remotos, mas com contas válidas. A falta de autenticação multifatorial (MFA) nesses serviços remotos fez com que os atacantes pudessem entrar pela porta da frente sem serem detectados. Na maioria dos casos, não foi possível determinar de onde vieram essas credenciais válidas. Eles poderiam ter sido colhidos através de campanhas de phishing ou por ladrões de credenciais. Eles também podem ser de violações antigas, onde a reutilização de senhas foi o culpado. Isso também pode ser o trabalho de IABs ou outros comerciantes de credenciais.
Mais abaixo na cadeia de ataques, vimos o conjunto agora familiar de ferramentas legítimas e de hackers sendo usadas para todos os tipos de propósitos. PowerShell, scripts maliciosos (excluindo o PowerShell), PsExec, Cobalt Strike, mimikatz e AnyDesk estavam entre as principais ferramentas usadas para facilitar os ataques. A lista também viu LoLBins como “net.exe”, “rundll32.exe”, “whoami.exe” e “schtasks.exe” causando impacto.
Vamos falar sobre ransomware. Os atacantes não estão diminuindo; na verdade, os ataques de ransomware são quase onipresentes. O que a Sophos está vendo?
A Sophos continua a ver um grande número de vítimas sendo vítimas de criminosos de ransomware. Esta ameaça sempre presente está passando por alguma mudança nas táticas, mas sem sinais de redução. Por exemplo, continua a haver uma tendência apenas para extorsão de roubo de dados, em comparação com a criptografia tradicional, além da extorsão de roubo de dados. À medida que a recuperação melhorou e os pagamentos diminuíram, alguns grupos estão optando por simplesmente roubar dados e ameaçando publicá-los publicamente. Isso incentivou muitas vítimas a pagar por medo de serem deixadas para seus clientes, parceiros de negócios ou reguladores de privacidade pelos criminosos.
De qualquer forma, o ransomware é a ameaça mais visível que existe. Isso às vezes esconde o fato de que o ransomware é muito mais um jogo final. Em quase todos os casos, a vítima já havia sido comprometida por uma ou mais ameaças no caminho de se tornar uma vítima de ransomware. Para se proteger contra ransomware, as organizações precisam estabelecer as bases de segurança que as ajudará a combater todas as ameaças.
A Sophos acaba de lançar seu Relatório Anual sobre o Estado do Ransomware, que descobriu que o impacto de um ataque de ransomware é imenso, com quase o triplo da quantidade de organizações atingidas que pagaram mais de US$ 1 milhão em resgate – chegamos ao auge do ransomware?
É impossível saber se atingimos o pico de ransomware até que estejamos do outro lado dele, e não há razão para suspeitar que o ransomware esteja desaparecendo tão cedo. Há simplesmente muito dinheiro a ser ganho e, infelizmente, há muitas vítimas em potencial para que essa ameaça desapareça. Agora que a Rússia aparentemente deu sua aprovação tácita aos criminosos locais que atacam o Ocidente, o problema só pode piorar. Não há mais medo de uma possível prisão, e o que quer que cause mais dor ao Ocidente provavelmente é encorajado. Mesmo indo atrás de infraestrutura crítica. Se não construirmos seriamente resiliência em nossas redes coletivas, os criminosos de ransomware continuarão a operar seu comércio enquanto houver vítimas a serem exploradas.
Como a caça de ameaças liderada por humanos em tempo real pode ajudar as organizações a impedir ataques de ransomware em seus rastros?
Muitas vezes é preciso um ser humano para detectar outro humano se movendo furtivamente pela rede. Ferramentas automatizadas só podem levá-lo até agora, e então você precisa das habilidades contextuais e analíticas que os seres humanos possuem. Mas esse nível de defesa não é onde a história começa. Esse tipo de atividade está mais ao longo do espectro de maturidade de segurança do que onde a maioria das empresas está hoje.
Antes de iniciar um programa de caça a ameaças, as organizações devem estabelecer uma base de segurança forte. Isso inclui, mas não se limita a, estabelecer padrões seguros, priorizar seus patches para ativos externos e de alto valor e endurecer a identidade com o MFA. Significa usar tecnologias de prevenção para limitar a quantidade de ameaças que passam em primeiro lugar.
Finalmente, eles precisam implementar ferramentas de detecção e resposta que atendam às suas necessidades. Agora eles podem começar a caçar ameaças usando a telemetria fornecida por suas ferramentas de segurança. Mas nem todas as organizações serão capazes de estabelecer um programa de caça a ameaças. É por isso que é importante procurar ajuda onde quer que eles precisem. Os serviços gerenciados de MDR, como os oferecidos pela Sophos, podem tirar a carga da equipe de TI para que eles possam se concentrar em estabelecer e manter a importante base de segurança em que a empresa conta para combater as ameaças de hoje.
Como funciona uma abordagem de segurança em camadas e por que é tão crítica na proteção contra ransomware e outras ameaças?
O paradigma por trás de uma abordagem de segurança em camadas é que reconhecemos que nenhuma tecnologia pode deter todas as ameaças, portanto, precisamos montar um conjunto de controles tecnológicos para mitigar o máximo de riscos possível. Cada controle terá pontos fortes e fracos. No entanto, a defesa em camadas não é apenas sobre tecnologia. Também precisamos levar em conta como os processos de negócios e as pessoas podem agir como controles mitiativos contra o risco.
Podemos pensar em cada controle como uma fatia de queijo suíço. Cada fatia tem seus pontos fortes e fracos inerentes (buracos). Quanto mais fatias você empilhar, melhores serão suas chances de se proteger contra os ataques de hoje, incluindo ransomware. A presunção, no entanto, é que, mesmo com essa abordagem, as ameaças ainda podem passar. É aqui que os seres humanos podem agir como um desses controles. Dada a combinação certa de sinais e contexto, os seres humanos se destacam em detectar atividades maliciosas. Portanto, é importante usar tecnologias projetadas para trabalhar em conjunto para fornecer as informações e o contexto relevantes necessários para que os analistas identifiquem o adversário ativo.
FONTE: HELPNET SECURITY