0
0
Dados agregados, em um período de seis meses, mostraram que mais de 50% dos ataques se concentraram na evasão de defesa, de acordo com a Aqua Security.
Agentes de ameaças evitam detecção
Esses ataques incluíam técnicas de mascaramento, como arquivos executados a partir de /tmp, e arquivos ou informações ofuscadas, como carregamento dinâmico de código.
Além disso, em 5% dos ataques, os agentes de ameaças usaram um malware residente na memória. Em comparação com a pesquisa anterior do Aqua Nautilus em 2022, houve um aumento de 1.400% nos ataques sem arquivos. Isso indica claramente que os agentes de ameaças agora estão se concentrando mais em maneiras de evitar a detecção para estabelecer uma posição mais forte no sistema comprometido.
“Os agentes de ameaças estão mais focados e cada vez mais bem-sucedidos em evitar soluções sem agentes”, disse Assaf Morag, pesquisador-chefe de inteligência de ameaças do Aqua Nautilus. “A evidência mais persuasiva disso foi nossa descoberta do HeadCrab, o malware extremamente sofisticado, furtivo e baseado em Redis que comprometeu mais de 1.200 servidores. Quando se trata de segurança de tempo de execução, apenas a varredura baseada em agente pode detectar ataques como esses que são projetados para evitar tecnologias de varredura baseadas em volume, e elas são críticas à medida que as técnicas de evasão continuam a evoluir.”
A computação em nuvem revolucionou a maneira como as organizações projetam, desenvolvem, implantam e gerenciam seus aplicativos. Embora essa abordagem moderna traga muitos benefícios, como escalabilidade, flexibilidade e agilidade, ela também vem com complexidades inerentes. Com a mudança para arquiteturas nativas da nuvem, a superfície de ataque se expandiu significativamente, introduzindo novos riscos de segurança que devem ser abordados.
Identificando comportamentos mal-intencionados em ambientes de tempo de execução
A proteção de ambientes de tempo de execução requer pelo menos uma abordagem de monitoramento que inclua a varredura de arquivos mal-intencionados conhecidos e comunicações de rede, bloqueando-os e alertando quando eles aparecem. No entanto, isso ainda é insuficiente.
Uma solução melhor inclui o monitoramento de indicadores ou marcadores que também sugerem comportamento mal-intencionado – por exemplo, comportamentos como tentativas não autorizadas de acessar dados confidenciais, tentativas de ocultar processos enquanto eleva privilégios e a abertura de backdoors para endereços IP desconhecidos.
Em última análise, é fundamental implementar medidas de proteção robustas em ambientes de tempo de execução para garantir que os dados e aplicativos estejam seguros e evitar a vulnerabilidade a ataques.
O relatório também destacou a pesquisa da Nautilus sobre o risco da cadeia de suprimentos de software. O relatório ilustra várias áreas na cadeia de suprimentos de software em nuvem que podem ser comprometidas e representar uma ameaça significativa para as organizações.
Em um caso de uso específico, o Nautilus demonstra as implicações de configurações incorretas na cadeia de suprimentos de software e como elas podem levar a ameaças críticas. Isso é significativo porque organizações de todos os tamanhos correm o risco de configurações incorretas e até mesmo pequenas configurações incorretas podem ter um sério impacto.
FONTE: HELPNET SECURITY