0
0
Nos últimos anos, os endpoints desempenharam um papel crucial nos ataques cibernéticos. Embora existam várias etapas que as organizações podem tomar para ajudar a mitigar ameaças de endpoint – como saber quais dispositivos estão em uma rede (no local e fora do local), colocar em quarentena dispositivos novos ou antigos, verificar ameaças e vulnerabilidades, aplicar imediatamente patches críticos , etc. – ainda há muito a ser feito para garantir a segurança do terminal.
Para conseguir isso, é importante entender alguns dos principais vetores de ataque que os hackers usam contra os endpoints.
Phishing/spear-phishing
O phishing, especialmente o spear phishing, é uma maneira eficaz de obter acesso a endpoints para coletar as credenciais do usuário.
Não é uma exploração em si, mas um método que os agentes de ameaças usam para fornecer uma carga útil – seja um link para um portal falso do Microsoft 365 (para coleta de credenciais) ou um documento do Word habilitado para macro com uma carga útil de malware que é executada em abertura.
Por causa dessa nuance, é fundamental que os analistas de segurança implementem não apenas a filtragem de e-mail (uma defesa grosseira, na melhor das hipóteses), mas também ferramentas de endpoint que bloqueiem a implantação de cargas úteis de malware entregues por e-mail: antivírus (AV) e antimalware (AM). A implementação de produtos AV/AM cria uma rede de segurança, bloqueando a execução de malware se um e-mail de phishing contornar com sucesso os filtros de e-mail corporativo.
Vimos recentemente como os agentes de ameaças implantaram phishing para infectar terminais de usuários em grande escala com o malware IceXLoader . O malware é agrupado em um arquivo ZIP de aparência inocente entregue como um anexo de e-mail. Depois de aberto, o malware se extrai para um diretório de arquivos oculto na unidade C de um endpoint, fornecendo uma base para o invasor realizar ataques adicionais para violar ainda mais a rede corporativa.
Exploração de vulnerabilidade do sistema operacional
As vulnerabilidades são possibilitadas por bugs, que são erros no código-fonte que fazem com que um programa funcione inesperadamente, de forma que possa ser explorado por invasores. Por si só, os bugs não são maliciosos, mas são portas de entrada para que agentes de ameaças se infiltrem nas organizações. Isso permite que os agentes de ameaças acessem os sistemas sem a necessidade de realizar ataques de coleta de credenciais e podem abrir os sistemas para exploração adicional. Uma vez dentro de um sistema, eles podem introduzir malware e ferramentas para acessar ainda mais ativos e credenciais.
Para os invasores, a exploração da vulnerabilidade é um processo de escalonamento, seja por meio de privilégios em um dispositivo ou girando de um endpoint para outros ativos. Cada endpoint protegido contra a exploração de vulnerabilidades é um obstáculo para um agente de ameaça que tenta propagar malware em um ambiente de TI corporativo.
Existem tarefas de rotina e ferramentas de manutenção que permitem que as organizações evitem que essas vulnerabilidades sejam exploradas por invasores. As ferramentas de gerenciamento de patches podem verificar dispositivos, instalar patches (correções) e fornecer relatórios sobre o sucesso ou falha dessas ações. Além disso, as organizações podem aproveitar as ferramentas de gerenciamento de configuração para manter os arquivos de configuração do sistema operacional no estado seguro desejado.
Exploração de vulnerabilidade de software
Existem vulnerabilidades de software em produtos (software) instalados em um ambiente de sistema operacional. Por exemplo, o Google Chrome recebe patches frequentes do Google, principalmente porque é um grande alvo de exploração .
Assim como ocorre com as vulnerabilidades do sistema operacional, a melhor defesa contra explorações são os patches/atualizações de terceiros lançados com frequência, cuja implementação pode ser facilitada por ferramentas de gerenciamento de endpoint.
Além disso, a aplicação de políticas de uso aceitável pode ajudar a reduzir as oportunidades para os usuários finais se envolverem em comportamentos que possam colocar em risco seus endpoints e ativos da empresa.
E além do gerenciamento de eventos e informações de segurança (SIEM) e das ferramentas antivírus, as organizações podem diminuir drasticamente o impacto causado por um ataque de ransomware executado com sucesso ao:
- Implementação de soluções de prevenção contra perda de dados (DLP)
- Criando backups externos
- Aproveitando as soluções de armazenamento de dados na nuvem
Conclusão
O cenário de ataques cibernéticos em constante mudança exige que os departamentos de TI e segurança sejam ágeis e evoluam em conjunto com as ameaças. As correções de ontem podem não funcionar hoje – embora as ameaças possam ser as mesmas, suas táticas provavelmente são diferentes. Ao trabalhar para mitigar ameaças à rede, não se esqueça da função cada vez mais vital que os endpoints desempenham.
FONTE: HELPNET SECURITY