Os líderes de segurança estão preocupados com ataques que aproveitam dados de autenticação exfiltrados por malware, com 53% expressando extrema preocupação e menos de 1% admitindo que não estavam preocupados, de acordo com o SpyCloud.
No entanto, muitos ainda não têm as ferramentas necessárias para investigar a segurança e o impacto organizacional dessas infecções e mitigar efetivamente os ataques subsequentes – com 98% indicando que uma melhor visibilidade dos aplicativos em risco melhoraria significativamente sua postura de segurança.
A luta pelas equipes de segurança de TI
Embora a maior visibilidade dos detalhes de autenticação roubada para SSO e aplicativos baseados em nuvem seja alta, o comportamento humano continua a atormentar as equipes de segurança de TI. Os pontos de entrada mais negligenciados para malware incluem:
- 57% das organizações permitem que os funcionários sincronizem dados do navegador entre dispositivos pessoais e corporativos – permitindo que os agentes de ameaças roubem credenciais de funcionários e outros dados de autenticação de usuários por meio de dispositivos pessoais infectados, permanecendo sem serem detectados.
- 54% das organizações lutam com a TI paralela devido à adoção não sancionada de aplicativos e sistemas pelos funcionários – criando lacunas não apenas na visibilidade, mas também nos controles básicos de segurança e nas políticas corporativas.
- 36% das organizações permitem que dispositivos pessoais ou compartilhados não gerenciados acessem aplicativos e sistemas de negócios – abrindo a porta para dispositivos sem medidas de segurança robustas para acessar dados e recursos confidenciais e minimizando a supervisão que as equipes de segurança exigem para monitoramento e correção adequados.
Ações aparentemente inócuas como essas podem inadvertidamente expor as organizações a malware e ataques subsequentes, incluindo ransomware decorrente dos detalhes de acesso roubados. De acordo com a pesquisa, cada infecção expõe o acesso a uma média de 26 aplicativos de negócios.
“Embora a maioria das organizações entenda a ameaça geral e generalizada do malware, a transformação digital e os modelos de trabalho híbridos criam um ambiente perfeito para os criminosos aproveitarem as lacunas de segurança ocultas”, disse Trevor Hilligoss, diretor de pesquisa de segurança da SpyCloud.
“Os criminosos estão explorando essas vulnerabilidades aproveitando comportamentos cibernéticos frouxos e implantando infostealers projetados para exfiltrar rapidamente detalhes de acesso além das senhas. Hoje em dia, os cookies de autenticação que concedem acesso a sessões válidas são um dos ativos mais valiosos para perpetrar a tomada de conta de próxima geração por meio de sequestro de sessão – ignorando senhas, chaves de acesso e até MFA”, acrescentou Hilligoss.
Infecções por malware
Detectar e agir sobre exposições rapidamente é fundamental para interromper atores mal-intencionados que tentam prejudicar a organização. No entanto, a pesquisa revelou que muitos estão lutando com respostas rotineiras a infecções por malware: 27% não revisam rotineiramente seus registros de aplicativos em busca de sinais de comprometimento, 36% não redefinem senhas para aplicativos potencialmente expostos e 39% não encerram cookies de sessão ao sinal de exposição.
O tempo de permanência do invasor tem crescido de acordo com pesquisas recentes, proporcionando aos agentes mal-intencionados tempo suficiente para operacionalizar os dados exfiltrados por malware. A visibilidade limitada dificulta o tempo médio até a descoberta (MTTD) e o tempo médio até a remediação (MTTR), o que exacerba os riscos para os negócios e drena recursos.
“Quebrar maus hábitos requer tempo e recursos que a maioria das organizações não pode pagar e tem dificuldade em encontrar. Para reduzir o risco criado pelo acesso não autorizado à conta, dispositivos infectados e erro humano, eles precisam de uma nova abordagem para detectar e remediar malware. Para muitas equipes de segurança, responder a infecções é um processo centrado na máquina que envolve isolar e limpar o malware do dispositivo. No entanto, uma abordagem centrada na identidade é mais completa, pois o objetivo final é abordar melhor a crescente superfície de ataque ligada a um usuário individual que coloca o negócio em risco”, explicou Hilligoss.
Lacuna crítica de proteção
No primeiro semestre de 2023, os pesquisadores descobriram que 20% de todos os logs de malware recapturados tinham um programa antivírus instalado no momento da execução bem-sucedida do malware. Essas soluções não apenas não impediram o ataque, mas também não têm a capacidade automatizada de proteger contra quaisquer dados roubados que possam ser usados na sequência.
Com essa luta por visibilidade e resposta abrangente, há uma clara necessidade de que as equipes de segurança implementem uma abordagem de remediação pós-infecção mais robusta e centrada na identidade para interromper os criminosos antes que eles possam usar dados exfiltrados por malware para prejudicar ainda mais os negócios.
A chave para essa estrutura é aumentar a resposta de infecção por malware existente com etapas para redefinir credenciais expostas e invalidar sessões ativas comprometidas por infostealers.
FONTE: HELPNET SECURITY