0
0
Analisar os objetivos de ataque dos adversários é importante para poder alinhar melhor as defesas contra a velocidade de mudança das técnicas de ataque. Ao se concentrar em um punhado de técnicas, você pode efetivamente desligar os métodos de escolha do malware para entrar e se fazer em casa. Para isso, você precisa saber em quais áreas-chave devem se concentrar nos próximos meses.
Analisando as principais técnicas
Quase todos que trabalham em cibersegurança hoje estão familiarizados com a MITRE ATT&CK, uma base de conhecimento globalmente acessível de táticas e técnicas adversárias baseadas em observações do mundo real. Esforços de compartilhamento de inteligência de ameaças como este trabalham para enfrentar a desvantagem reativa do defensor, organizando os comportamentos dos adversários por seus objetivos e passos para alcançá-los (táticas e técnicas, respectivamente).
É útil para os defensores entenderem técnicas mais duradouras para que eles possam melhorar a funcionalidade de malware específico e efêmero para proteger do próximo ataque. Mas e a popularidade e prevalência de técnicas individuais? Minha equipe do FortiGuard Labs usou telemetria de amostras de malware detonadas ao longo do segundo semestre de 2021 para descobrir o que poderia ter acontecido no ambiente de uma vítima em potencial. Especificamente, analisamos a prevalência de técnicas para três táticas: Execução, Persistência e Evasão de Defesa.
Olhando para táticas de execução
A execução, definida pela MITRE ATT&CK, consiste em técnicas que resultam em código controlado por adversários em um sistema local ou remoto. Atualmente existem 12 técnicas desse tipo delineadas pela MITRE.
A execução por meio da API foi a técnica mais difundida em todos os setores e regiões geográficas que analisamos. Isso foi seguido pela execução dos usuários, que foi especialmente alta para o setor educacional. Não é uma ideia chocante para a maioria das pessoas que os usuários na vertical da educação sendo um vetor significativo de infiltração, mas é interessante descobrir que os atacantes acreditam nisso também, ao priorizar a funcionalidade de malware. E depois arredondando-o, a terceira técnica mais popular foi o scripting. Essas três técnicas constituíram 82% da funcionalidade para sistemas analisados.
Persistência compensa
O MITRE define a persistência desta forma: “A persistência consiste em técnicas que os adversários usam para manter o acesso a sistemas através de reinicializações, credenciais alteradas e outras interrupções que poderiam cortar seu acesso.” Atualmente, existem 19 técnicas descritas no quadro. O que vimos no segundo semestre de 2021 é que as duas principais técnicas de obtenção de uma base representaram 95% da funcionalidade observada. Os dois primeiros foram Tarefa Agendada (51,7%) e Registry Run Keys/Startup Folder (43%).
Outras técnicas fizeram apenas uma aparição de hóspedes, incluindo Novo Serviço, Modificação de um Serviço Existente e Modificações de Atalho.
Tentando evitar ser pego
A evasão de defesa refere-se a técnicas usadas quando um invasor está tentando evitar a detecção. Estes mostraram uma variedade muito maior com base no que nossos pesquisadores encontraram. As técnicas mais prevalentes para esta tática incluíram Janela Oculta, Oco de Processo e Injeção de Processo.
Qualquer técnica que escolherem, os adversários estão usando técnicas mais automatizadas para escalar esforços e executar ataques mais sofisticados em um ritmo tremendo. Novas e evoluídas técnicas de ataque abrangem toda a cadeia de mortes, mas especialmente na fase de armamento, mostrando uma evolução para uma estratégia de cibercrime mais avançada e persistente que é mais destrutiva e imprevisível.
Juntando tudo isso
Então, o que todas essas descobertas significam? Os profissionais de cibersegurança claramente têm seu trabalho cortado para eles – os ataques cibernéticos só continuarão a crescer em volume e sofisticação. Mas olhar para alguns dos pontos quentes e as técnicas mais proeminentes que estão sendo usadas pode ajudar as equipes a priorizar e garantir que eles não estejam perdendo nada em termos de cobertura. Essa análise pode ser usada para ajudar as organizações a priorizar suas estratégias de segurança para maximizar sua defesa, pois fala da necessidade de melhorar as capacidades globais para operações de derrubada e esforços mais amplos para interromper o crime cibernético.
As técnicas de ataque discutidas acima são apenas algumas das muitas que vimos no segundo semestre de 2021. À medida que os ataques continuam a ficar mais rápidos, as empresas precisam se afastar das coleções de produtos de ponto e em direção a soluções integradas que são projetadas para funcionar em sincronia. Para proteger as redes e seus ativos contra técnicas de ataque em evolução, as organizações precisam de soluções alimentadas por IA que possam ingerir inteligência de ameaças em tempo real, detectar padrões de ameaças e impressões digitais, correlacionar grandes quantidades de dados para detectar anomalias e iniciar automaticamente uma resposta coordenada.
Além disso, o gerenciamento centralizado, a visibilidade e a automação de uma plataforma de malha de segurança cibernética podem ajudar a garantir que as equipes de segurança de TI possam aplicar consistentemente políticas, fornecer configurações e atualizações de forma rápida e iniciar uma resposta coordenada de ameaças quando detectarem atividades suspeitas. Essas atualizações sobre a postura de segurança ajudarão você a lidar com ameaças atuais e estar preparado para o que vier a seguir.
FONTE: SECURITY WEEK