0
0
No início dos anos 2000, quando Mandiant era uma pequena empresa de consultoria no norte da Virgínia, Kevin Mandia normalmente trabalhava em apenas um caso de resposta a incidentes (IR) de cada vez. Hoje, a equipe de Mandia na agora gigante do IR Mandiant – que o Google está em processo de aquisição – trabalha em mais de meia dúzia de casos simultaneamente.
O volume de ataques está crescendo, especialmente no ano passado, de acordo com Mandia. Em casos recentes de RI, a Mandiant tem investigado, ataques de dia zero e credenciais roubadas se tornaram a arma de escolha para se infiltrar em uma organização, ultrapassando o phishing.
“Muitos clientes estão dizendo: ‘Quanto tempo temos para ter nossos Shields Up?'” ele disse, em referência ao slogan atual da Agência de Segurança Cibernética e Infraestrutura (CISA) para alertar as organizações para operar em alerta mais alto em meio ao aumento da atividade de ameaças cibernéticas. “Acho que você tem que mantê-los para cima. Essa é uma lição que estamos aprendendo este ano”, disse Mandia em uma entrevista à Dark Reading esta semana.
“O impacto de uma violação é muito mais grave agora”, disse ele. Não apenas o ransomware e a extorsão estão ficando mais descarados e causadores de caos com vazamentos de dados públicos e chantagem digital, mas os cibercriminosos estão basicamente alcançando os estados-nação quando se trata de explorar vulnerabilidades caras de dia zero em software, disse ele.
“Nos primeiros dias, zero dias eram da responsabilidade dos governos. Em 2017, você começou a ver elementos criminosos armando um dia zero”, disse ele. Hoje, está perto de uma divisão de 60 a 40, com estados-nação ainda liderando em ataques de dia zero, mas com criminosos não muito atrás. “Isso veio mais cedo do que eu pensava”, acrescentou Mandia. “Isso só diz quanto dinheiro você pode ganhar hackear.”
Forro de Prata
Mas se há um pouco de boas notícias, é que as organizações que pedem ajuda à Mandiant com um incidente estão detectando suas intrusões mais cedo: “Estamos sendo contratados mais cedo no processo de violação, e há menos tempo de permanência [atacante]”, disse ele.
Especificamente, Mandiant viu a quantidade de tempo que os atacantes passaram despercebidos na rede de uma vítima cair para 21 dias em 2021, abaixo dos 24 dias em 2020. Essa tendência tem sido constante nos últimos quatro anos nos casos de RI de Mandiant.
Há também um senso de urgência agora entre os cibercriminosos para garantir que eles peguem os dados valiosos ou exijam seu resgate por dados roubados, disse Mandia. “Fui informado hoje que o período de permanência costumava ser que eles tinham acesso por cerca de sete dias, e isso está caindo para quatro a cinco dias agora. Essa velocidade significa que está ficando mais difícil de monetizar” e os cibercriminosos têm que trabalhar mais rápido e mais publicamente para ganhar dinheiro, explicou ele.
E as apostas estão mais altas do que nunca para os CISOs que tentam impedir e desviar uma grande violação. “Este é o ano mais difícil para ser um CISO”, disse ele. “Agora você [também] está protegendo seu pessoal ameaçado on-line, seus funcionários, seus clientes. É muito, e é uma luta injusta com [principalmente] nenhum risco de repercussões para os bandidos.”
A ameaça inclui a recente onda de alegações de vazamento de dados públicos falsos ou impossíveis de prova de agentes de ameaças e outros fraudadores que tentam abalar ou difamar uma organização vítima.
“É impossível provar um negativo”, disse Mandia sobre essas falsas declarações de violação que emergem. E as organizações são forçadas a investigar uma intrusão que pode nem ter ocorrido.
“Está se tornando mais frequente”, disse ele sobre essa última forma de pressão por parte dos cibercriminosos. Não há nada mais difícil de responder; algo que é público, o hacker é vocal e faz reivindicações. E uma empresa não pode contestá-los [no início] porque eles têm que descobrir as respostas primeiro. Essas são situações terríveis.”
Isso atingiu perto de casa para Mandia porque, enquanto Dark Reading o entrevistava na segunda-feira, o próprio Mandiant se tornou objeto de uma falsa afirmação de violação da gangue de ransomware LockBit, que postou no Twitter que havia hackeado a empresa de IR. A alegação parece ter sido uma retribuição por um recente relatório de ransomware da Mandiant.
“Com base nos dados divulgados, não há indícios de que os dados da Mandiant tenham sido divulgados”, disse Mandiant em um tweet hoje sobre as alegações. “Em vez disso, o ator parece estar tentando refutar nossa pesquisa de 2 de junho de 2022 sobre UNC2165 e LockBit. Estamos por trás das descobertas desta pesquisa.”
Googling Mandiant
Enquanto isso, Mandiant está se preparando para a conclusão de sua fusão com o Google. O Google anunciou sua intenção de adquirir a Mandiant em março por incríveis US$ 5,4 bilhões, e a Mandia na época elogiou a fusão como uma maneira de desenvolver a estratégia planejada da Mandiant de automatizar elementos específicos do processo de RI. O investimento do Google deve acelerar essa estratégia.
“Você tem que automatizar o máximo que puder”, disse Mandia à Dark Reading esta semana. Tarefas como detecção, coleta de artefatos e análise de arquivos de log podem ser automatizadas, observou ele. Mas ainda há partes da RI que permanecem tarefas humanas, como atribuição e análise forense de mergulho profundo.
“Se houver uma operação de falsificação profunda ou de bandeira falsa, será um ser humano que a identificará”, disse Mandian.
FONTE: DARK READING