0
0
O phishing tem sido uma das melhores maneiras de obter acesso a uma organização-alvo. Não costumava ser assim. Nos primórdios da segurança de computadores, o exploit de código remoto (RCE) era o método preferido de obtenção de acesso, pois não exigia interação do usuário. Na verdade, se algo exigisse interação do usuário, não era considerado uma ameaça séria. Melhores práticas de segurança começaram a se consolidar e o método de acesso RCE tornou-se muito mais desafiador. E descobriu-se que fazer com que os usuários interagissem era mais fácil do que se imaginava.
O mesmo ciclo começou a se repetir com alvos locais. As organizações começaram a fazer avanços na proteção de suas redes internas contra o uso de detecção e resposta de endpoint (EDR), e outras tecnologias estão mais bem equipadas para detectar malware e movimento lateral. Embora os ataques estejam se tornando mais difíceis, ainda não é uma estratégia ineficaz para um invasor. A implantação de ransomware e outras formas de malware ainda é um resultado comum.
Por que sua infraestrutura de nuvem é um dos principais alvos de ataques de phishing
A nuvem deu aos phishers uma nova fronteira para atacar, e pode ser muito perigoso. Os ambientes SaaS são alvos propícios para ataques de phishing e podem dar ao invasor muito mais do que acesso a alguns e-mails. As ferramentas de segurança ainda estão amadurecendo nesse ambiente, o que oferece aos invasores uma janela de oportunidade em que métodos como ataques de phishing podem ser muito eficazes.
Ataques de phishing visando desenvolvedores e cadeia de suprimentos de software
Como vimos recentemente, o Dropbox teve um incidente devido a um ataque de phishing contra seus desenvolvedores. Eles foram levados a fornecer suas credenciais do Github a um invasor por um e-mail de phishing e um site falso, apesar da autenticação multifator (MFA). O que torna isso assustador é que não era apenas um usuário aleatório de vendas ou outra função de negócios, eram desenvolvedores com acesso a muitos dados do Dropbox. Felizmente, o escopo do incidente não parece afetar os dados mais críticos do Dropbox.
O GitHub e outras plataformas no espaço de integração contínua/implantação contínua (CI/CD) são as novas “jóias da coroa” para muitas empresas. Com o acesso correto, os invasores podem roubar propriedade intelectual, vazar código-fonte e outros dados ou conduzir ataques à cadeia de suprimentos . Ele vai ainda mais longe, pois o GitHub geralmente se integra a outras plataformas, que o invasor pode dinamizar. Tudo isso pode acontecer sem nunca tocar na rede local da vítima ou em muitas das outras ferramentas de segurança que as organizações adquiriram, já que tudo é software como serviço (SaaS) para SaaS.
A segurança nesse cenário pode ser um desafio. Cada provedor de SaaS faz isso de maneira diferente. A visibilidade do cliente sobre o que acontece nessas plataformas costuma ser limitada. O GitHub, por exemplo, só dá acesso à sua API de log de auditoria em seu plano Enterprise. Obter visibilidade é apenas o primeiro obstáculo a ser superado, o próximo seria criar um conteúdo de detecção útil em torno dele. Os provedores de SaaS podem ser bem diferentes no que fazem e nos dados que fornecem. A compreensão contextual de como eles funcionam será necessária para fazer e manter as detecções. Sua organização pode ter muitas dessas plataformas SaaS em uso.
Como você reduz os riscos associados ao phishing na nuvem?
Plataformas de identidade, como Okta, podem ajudar a mitigar o risco, mas não completamente . Identificar logins não autorizados é certamente uma das melhores maneiras de descobrir ataques de phishing e responder a eles. É mais fácil falar do que fazer, pois os invasores aprenderam as formas comuns de detectar sua presença. Servidores proxy ou VPNs são facilmente usados para, pelo menos, parecer vir da mesma área geral que o usuário, a fim de evitar detecções de países ou viagens impossíveis. Modelos de aprendizado de máquina mais avançados podem ser aplicados, mas ainda não são amplamente adotados ou comprovados.
A detecção de ameaças tradicional também está começando a se adaptar ao mundo SaaS. O Falco, uma ferramenta popular de detecção de ameaças para contêineres e nuvem, possui um sistema de plug-in que pode suportar praticamente qualquer plataforma. A equipe Falco já lançou plug-ins e regras para Okta e GitHub, entre outros. Por exemplo, o plug-in do GitHub tem uma regra que é acionada se algum commit mostrar sinais de um cripto minerador. Aproveitar essas detecções específicas é uma boa maneira de começar a trazer essas plataformas para o seu programa geral de detecção de ameaças.
Phishing veio para ficar
O phishing e a engenharia social em geral nunca serão deixados para trás. Tem sido um método de ataque eficaz há anos e será enquanto as pessoas se comunicarem. É fundamental entender que esses ataques não se limitam à infraestrutura que você possui ou gerencia diretamente. O SaaS está especialmente em risco devido à falta de visibilidade que a maioria das organizações tem do que realmente acontece nessas plataformas. A segurança deles não pode ser descartada como problema de outra pessoa, pois basta um simples e-mail e um site falso para obter acesso a esses recursos.
FONTE: DARK READING