O adversário não descansa. As empresas também não deveriam
Artigo por Jeferson Propheta, country manager da CrowdStrike
Recentemente, a equipe interdisciplinar Falcon OverWatch, da CrowdStrike, que conduz rastreamento de atividades de ameaça em cibersegurança em ambientes de clientes, divulgou o seu Relatório Anual de Caça às Ameaças. O relatório, que na mesma época do ano passado chamou a atenção para as crescentes ameaças cibernéticas enfrentadas pelas organizações enquanto corriam para adotar práticas de trabalho remoto e se adaptar às restrições impostas pela crise da Covid-19 em rápida escalada, infelizmente, mostra que, entre julho 2020 e junho deste ano, quase não houve indulto para os defensores. Esse período foi marcado por alguns dos ataques cibernéticos mais significativos e generalizados que o mundo já viu. As empresas estiveram expostas, diariamente, a ataques sem precedentes e em níveis bastante sofisticados.
Analisando os dados apresentados, nota-se uma explosão na atividade do adversário, tanto em volume quanto em velocidade. O rastreamento apontou um aumento de 60% nas tentativas de invasão em todos os setores da indústria, com destaque para o segmento de telecomunicações, e em todas as regiões geográficas. Além disso, houve uma queda significativa no tempo médio de fuga - o tempo que um adversário leva para se mover lateralmente de um hospedeiro inicialmente comprometido para outro dentro do ambiente de vítimas - de apenas uma hora e 32 minutos, uma redução de três vezes em relação a 2020.
Constatações extremamente preocupantes que mostram como os agentes de ameaças estão constantemente adaptando táticas, técnicas e procedimentos (TTPs) para acelerar sua marcha em direção a seus objetivos. Aliás, em 36% dessas invasões, o adversário foi capaz de se mover lateralmente para hosts adicionais em menos de 30 minutos, o que é realmente assustador.
O malware já não é a principal ameaça usada pelos adversários. Eles continuam a inovar e evoluir seus modelos de negócios para aumentar suas chances de sucesso, usando técnicas cada vez mais sofisticadas, furtivas e feitas sob medida para evitar detecções. Nota-se, por exemplo, que a maioria dos operadores de ransomware envolvidos em big game hunter (BGH) tem adotado a ameaça de vazamentos de dados, ao lado criptografia, como meio de extrair pagamento das vítimas.
Outro ponto que chama a atenção é que houve um grande aumento na atividade de intrusão interativa voltada para o setor de telecomunicações. Essa atividade abrange todas as principais regiões geográficas e está associada a uma ampla gama de adversários.
É fato que os provedores de telecomunicações desempenham um papel único e crítico nas sociedades modernas. A maioria das empresas, governos e indivíduos depende deles para todos os tipos de comunicação. A centralidade e a onipresença de sistemas de telecomunicações os tornam alvos de alto valor para os governos e criminosos em todo o mundo. Não se pode negar que as organizações de todos os tamanhos e em todas as verticais têm o potencial de se tornar um alvo, mas só a indústria de telecomunicações representou 40% de toda a atividade de intrusão.
Apresentados todos esses fatos, é importante destacar que o eCrime domina o cenário de ameaças, com 75% das atividades de intrusão interativa, enquanto invasões direcionadas representaram 24% e o 1% restante foi atribuído à atividade hackativista. Motivada por ganhos financeiros, a atividade de eCrime tem demonstrado que o seu potencial de crescimento é quase ilimitado, impulsionado por novos atores, novas vulnerabilidades ou falhas por parte das organizações para manter a segurança básica.
O que se conclui com todas essas informações é que existem inúmeras técnicas que os adversários podem usar para comprometer contas válidas e aproveitá-las para uso malicioso. É mais do que sabido que a educação do usuário é uma parte essencial para combater essas ameaças. Mas, diante do contínuo poder de se renovar do inimigo, é preciso ir além.
A fim de frustrar as táticas e técnicas furtivas e ousadas dos adversários modernos, é imperativo que as organizações incorporem a caça de ameaças especializada e inteligência de ameaças em suas pilhas de segurança, detecção e resposta de endpoint habilitada para aprendizado de máquina em camadas (EDR) em suas redes e tenham visibilidade em endpoints. Ações que devem ser adotadas 24 horas por dia, sete dias por semana, 365 dias no ano para, em última análise, barrar os adversários em seu caminho. O adversário não descansa. As empresas também não podem se dar a esse luxo.