0
0
Os invasores patrocinados pelo estado por trás de uma violação que a News Corp divulgou no ano passado já estavam em sua rede há quase dois anos, revelou a gigante editorial.
Em uma carta aos funcionários na semana passada, a News Corp disse que uma investigação do incidente mostrou que o intruso invadiu sua rede pela primeira vez em fevereiro de 2020 e permaneceu nela até ser descoberto em 20 de janeiro de 2022. Durante esse período, o adversário teve acesso a o que a News Corp descreveu como documentos comerciais e e-mails pertencentes a um “número limitado de funcionários”. Os dados aos quais o invasor teve acesso na época incluíam nomes, datas de nascimento, números de CPF, carteiras de motorista e planos de saúde, disse a News Corp.
Uma Missão de Coleta de Inteligência
“Nossa investigação indica que essa atividade não parece estar focada na exploração de informações pessoais”, observou a carta, de acordo com relatórios . “Não temos conhecimento de relatos de roubo de identidade ou fraude relacionados a esse problema.”
Quando a News Corp – editora do Wall Street Journal, New York Post e várias outras publicações – divulgou a violação pela primeira vez em janeiro passado, a empresa a descreveu como um esforço de coleta de informações envolvendo uma ameaça persistente avançada (APT) patrocinada pelo estado. Em uma reportagem de 4 de fevereiro de 2022, o Wall Street Journal identificou o ator como provavelmente trabalhando em nome do governo chinês e se concentrou em coletar os e-mails de jornalistas visados e outros.
Não está claro por que a News Corp levou mais de um ano após a descoberta inicial da violação para revelar o escopo da invasão e o fato de que os invasores estavam em sua rede há quase 24 meses. Um porta-voz da News Corp não abordou diretamente esse ponto em resposta a um pedido de comentário da Dark Reading. No entanto, ele reiterou a divulgação anterior da empresa sobre o ataque ser parte de um esforço de coleta de informações: “Também como foi dito na época e relatado, a atividade foi contida e teve como alvo um número limitado de funcionários”.
Um tempo de permanência excepcionalmente longo
O tempo que a violação na News Corp permaneceu sem ser detectada é alto, mesmo para os padrões atuais. A edição de 2022 do relatório de custo anual de uma violação de dados da IBM e do Ponemon Institute mostrou que as organizações levaram, em média, 207 dias para detectar uma violação e outros 70 dias para contê-la. Isso foi um pouco menor do que a média de 212 dias que uma organização levou em 2021 para detectar uma violação e os 75 dias necessários para resolvê-la.
“Dois anos para detectar uma violação está muito acima da média”, diz Julia O’Toole, CEO da MyCena Security Solutions. Dado que os invasores tiveram acesso à rede por tanto tempo, eles provavelmente se safaram com muito mais informações do que foi percebido inicialmente, diz O’Toole.
Embora isso seja ruim o suficiente, o pior é que menos de um terço das violações que acontecem são realmente detectadas. “Isso significa que muito mais empresas podem estar na mesma situação e simplesmente não saber disso”, observa O’Toole.
Um problema é que as ferramentas de detecção de ameaças e os analistas de segurança que monitoram essas ferramentas não conseguem detectar os agentes de ameaças na rede se os adversários estiverem usando credenciais de login comprometidas, explica O’Toole: “Apesar de todo o investimento em ferramentas [de detecção de ameaças], mais de 82 % das violações ainda envolvem credenciais de acesso de funcionários comprometidas.”
Falta de Visibilidade
Erfan Shadabi, especialista em segurança cibernética da Comforte AG, diz que as organizações muitas vezes perdem as invasões cibernéticas devido à falta de visibilidade de seus ativos e falta de higiene de segurança. As táticas cada vez mais avançadas que os agentes de ameaças sofisticados usam para evitar a detecção – como ocultar sua atividade no tráfego legítimo – também podem tornar a detecção um grande desafio, diz ele.
Uma medida que as organizações podem tomar para reforçar seus recursos de detecção e resposta é implementar um modelo de segurança de confiança zero. “Isso requer verificação contínua da identidade e autorização do usuário, bem como monitoramento contínuo da atividade do usuário para garantir a segurança”, disse Shadabi ao Dark Reading.
As organizações também devem usar ferramentas como sistemas de detecção de intrusão (IDS) e sistemas de gerenciamento de eventos e informações de segurança (SIEM) para monitorar suas redes e sistemas em busca de atividades incomuns. Medidas fortes de controle de acesso, incluindo autenticação multifator (MFA), gerenciamento e auditoria de vulnerabilidades, planejamento de resposta a incidentes, gerenciamento de riscos de terceiros e treinamento de conscientização de segurança são outras etapas cruciais que as organizações podem adotar para reduzir o tempo de permanência do invasor, diz ele.
“Falando de modo geral, as organizações, especialmente as grandes, têm dificuldade em detectar ataques por causa de suas vastas propriedades tecnológicas”, diz Javvad Malik, principal defensor da conscientização da KnowBe4. “Muitas organizações nem mesmo possuem um inventário de ativos atualizado de hardware e software, portanto, monitorar todos eles em busca de violações e ataques é extremamente difícil”, diz ele. “Em muitos casos, tudo se resume à complexidade dos ambientes.”
FONTE: DARK READING