33% dos ataques na nuvem usam credenciais de acesso

Views: 127
0 0
Read Time:3 Minute, 35 Second

A Elastic lançou o Elastic Global Threat Report de 2022, detalhando a natureza evolutiva das ameaças à segurança cibernética, bem como o aumento da sofisticação dos ataques relacionados à nuvem e a endpoints.

O erro humano representa o maior risco para a segurança na nuvem

33% dos ataques na nuvem alavancam o acesso a credenciais, indicando que os usuários geralmente superestimam a segurança de seus ambientes de nuvem e, consequentemente, falham em configurá-los e protegê-los adequadamente.

Principais descobertas adicionais de segurança na nuvem:

  • 58% das tentativas iniciais de acesso usaram uma combinação de tentativas tradicionais de força bruta e pulverização de senhas previamente comprometidas.
  • Quase 57% da telemetria de segurança na nuvem veio da AWS, seguida por 22% do Google Cloud e 21% do Azure.
    • AWS : Mais de 74% dos alertas relacionados ao acesso de credenciais, acesso inicial e táticas de persistência, com quase 57% das técnicas relacionadas à tentativa de roubo de token de acesso ao aplicativo — uma das formas mais comuns de roubo de credenciais na nuvem.
    • Google Cloud : quase 54% dos alertas estão relacionados a abusos de contas de serviço, com 52% das técnicas aproveitando a manipulação de contas e indicando que o comprometimento da conta de serviço permanece desenfreado quando as credenciais de conta padrão não são alteradas.
    • Microsoft Azure : mais de 96% dos alertas relacionados a eventos de autenticação, com 57% dos eventos de autenticação tentando recuperar tokens OAUTH2 .

Software comercial projetado para ajudar equipes de segurança está sendo usado por agentes de ameaças

Embora o software comercial de simulação de adversários, como o CobaltStrike , seja útil para a defesa de seus ambientes por muitas equipes, ele também está sendo usado como uma ferramenta maliciosa para implantes de malware em massa. O Elastic Security Labs descobriu que CobaltStrike era o binário ou carga útil maliciosa mais difundida para endpoints do Windows, respondendo por quase 35% de todas as detecções, seguido por AgentTesla em 25% e RedLineStealer em 10%.

Principais descobertas adicionais de malware:

  • Mais de 54% de todas as infecções globais por malware foram detectadas em terminais Windows, enquanto mais de 39% estavam em terminais Linux.
  • Quase 81% do malware observado globalmente é baseado em trojan, seguido por criptomineradores com 11%.
  • O MacKeeper foi classificado como a maior ameaça para o macOS com quase 48% de todas as detecções, com o XCSSet na segunda posição com quase 17%.

Os ataques de endpoint estão se tornando mais diversificados nos esforços para contornar as defesas

Mais de 50 técnicas de infiltração de endpoints estão sendo utilizadas por agentes de ameaças, sugerindo que a segurança de endpoints está funcionando bem, pois sua sofisticação exige que os agentes de ameaças encontrem continuamente novos métodos de ataque para serem bem-sucedidos.

Três táticas MITRE ATT&CK representaram 66% de todas as técnicas de infiltração de endpoint:

  • Um total de 74% de todas as técnicas de evasão de defesa consistia em mascaramento (44%) e execução de proxy binário do sistema (30%). Isso indica que, além de contornar a instrumentação de segurança, as técnicas de evasão de defesa também contornam a visibilidade, resultando em tempos de espera mais longos para as ameaças.
  • 59% das técnicas de execução relacionadas a comandos e intérpretes de script nativos, seguidos por 40% atribuídos a abusos da Instrumentação de Gerenciamento do Windows, indicando que os adversários abusam do PowerShell, Windows Script Host e arquivos de atalho do Windows para executar comandos, scripts ou binários.
  • Quase 77% de todas as técnicas de acesso a credenciais são atribuídas ao dumping de credenciais do sistema operacional com utilitários comumente conhecidos. Isso segue a tendência dos adversários de confiar em contas válidas para atrair menos suspeitas dos administradores em ambientes de implantação baseados em híbridos entre hospedagem no local e provedores de serviços em nuvem.

Embora as técnicas de acesso a credenciais tenham sido uma prioridade para os invasores, o investimento do adversário em técnicas de evasão de defesa indica uma reação às melhorias nas tecnologias de segurança que têm impactado seu sucesso. Quando combinados com técnicas de execução, os invasores são capazes de ignorar os controles de endpoint avançados enquanto permanecem indetectáveis ​​nos ambientes das organizações.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL