Quase 33% dos ataques cibernéticos na nuvem utilizam acesso a credenciais

Views: 263
0 0
Read Time:4 Minute, 24 Second

Relatório Global de Ameaças da Elastic conclui que sucesso no roubo de identidade indica que os controles padrão de segurança na nuvem são ineficazes na prevenção de ataques

Erro humano representa o maior risco para a segurança na nuvem, pois usuários superestimam a segurança de suas implantações na nuvem. Esta é uma das conclusões do Relatório Global de Ameaças da Elastic de 2022, feito pela Elastic, para detalhar a natureza evolutiva das ameaças de segurança cibernética, bem como a maior sofisticação dos ataques relacionados a endpoint e nuvem.

As tendências identificadas fornecem às organizações a inteligência operacional que precisam para fortalecer sua tecnologia de segurança e as estratégias necessárias para observar e proteger sistemas de negócios de missão crítica contra ameaças cibernéticas.

Algumas das principais tendências abordadas no relatório:

Erro humano representa o maior risco para a segurança na nuvem, pois os usuários superestimam a segurança de suas implantações na nuvem

Cerca de 1 em cada 3 (33%) dos ataques na nuvem utilizam o acesso a credenciais, indicando que os usuários frequentemente superestimam a segurança de seus ambientes de nuvem e, consequentemente, não os configuram e protegem adequadamente. Além disso, os agentes maliciosos estão se concentrando cada vez mais em explorar os pontos onde a tecnologia e as pessoas se cruzam, especialmente quando se trata de acesso a credenciais. A Elastic Security Labs descobriu que isso responde por 1 de cada 3 (33%) alertas de nuvem em todos os provedores de serviços de nuvem.

Outras descobertas importantes sobre segurança na nuvem:

  • Quase 57% da telemetria de segurança na nuvem veio da AWS, seguida por 22% do Google Cloud e 21% do Azure.
    • AWS: mais de 74% dos alertas foram relacionados a acesso de credenciais, acesso inicial e táticas de persistência, com quase 57% das técnicas relacionadas à tentativa de roubo de token de acesso à aplicação, uma das formas mais comuns de roubo de credenciais na nuvem.
    • Google Cloud: quase 54% dos alertas foram relacionados ao uso inadequado de contas de serviço, com 52% das técnicas utilizando manipulação de contas, e indicando que o comprometimento da conta de serviço continua alto quando as credenciais padrão da conta não são alteradas.
    • Microsoft Azure: mais de 96% dos alertas foram relacionados a eventos de autenticação, com 57% das técnicas direcionadas a contas válidas na tentativa de recuperar tokens OAUTH2.
  • 58% das tentativas iniciais de acesso usaram uma combinação de tentativas tradicionais de força bruta e password spraying de contas anteriormente comprometidas.

Software comercial projetado para ajudar as equipes de segurança está sendo usado pelos agentes de ameaças para fugir dessas mesmas equipes

Embora o software comercial de simulação de adversário, como o CobaltStrike, seja útil para a defesa de ambientes de muitas equipes, ele também está sendo usado como uma ferramenta maliciosa para implantar malware em massa. O Elastic Security Labs descobriu que o CobaltStrike foi o binário ou carga malicioso mais disseminado para endpoints do Windows, representando quase 35% de todas as detecções, seguido pelo AgentTesla com 25% e pelo RedLineStealer com 10%.

Outras descobertas importantes sobre malware:

  • Mais de 54% de todas as infecções globais por malware foram detectadas em endpoints do Windows, enquanto mais de 39% foram detectadas em endpoints do Linux.
  • Quase 81% do malware observado globalmente é de trojans, seguido por criptomineradores com 11%.
  • O MacKeeper classificou-se como a maior ameaça para MacOS em quase 48% de todas as detecções, com XCSSet na segunda posição com quase 17%.

Ataques a endpoints estão se tornando mais diversificados nos esforços para contornar as defesas

Mais de 50 técnicas de infiltração de endpoint estão sendo utilizadas por agentes de ameaças, sugerindo que a segurança de endpoint está funcionando bem, pois sua sofisticação exige que os agentes de ameaças busquem continuamente métodos de ataque novos ou inovadores para serem bem-sucedidos.

Três táticas do MITRE ATT&CK® representaram 66% de todas as técnicas de infiltração de endpoint:

  • Uma combinação de 74% de todas as técnicas de evasão de defesa consistiu em mascaramento (44%) e execução de proxy binário do sistema (30%). Isso indica que, além de contornar a instrumentação de segurança, as técnicas de evasão de defesas também afetam a visibilidade, resultando em tempo de permanência mais longo para as ameaças.
  • 59% das técnicas de execução eram relacionadas a interpretadores de scripts nativos e de comando, seguidas por uma porcentagem de 40% atribuída a uso inadequado da Instrumentação de Gerenciamento do Windows, indicando que os adversários usam o PowerShell, o Windows Script Host e os arquivos de atalho do Windows para executar comandos, scripts ou binários.
  • Quase 77% de todas as técnicas de acesso a credenciais são atribuídas ao despejo de credenciais do sistema operacional com utilitários comumente conhecidos. Isso segue a tendência de os adversários confiarem em contas válidas para atrair menos suspeitas dos administradores em ambientes de implantação híbrida, com hospedagem local e provedores de serviços em nuvem.

Embora as técnicas de acesso a credenciais tenham sido uma prioridade para os invasores, o investimento do adversário em técnicas de evasão de defesas indica uma reação às melhorias nas tecnologias de segurança que têm afetado seu sucesso. Em combinação com técnicas de execução, os invasores conseguem contornar controles avançados de endpoint sem serem detectados nos ambientes das organizações.

FONTE: IP NEWS

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL