A equipe do Sophos Rapid Response compilou uma lista das percepções errôneas de segurança mais comumente encontradas nos últimos 12 meses enquanto neutralizava e investigava ataques cibernéticos em uma ampla gama de organizações.
Abaixo está uma lista dos 10 principais equívocos, juntamente com um contraponto da Sophos dissipando cada um deles com base na experiência e observações dos responsáveis pelo incidente na linha de frente dos ataques.
Percepção errada 1: Não somos um alvo; somos muito pequenos e / ou não temos ativos de valor para um adversário
Contraponto da Sophos: Muitas vítimas de ataques cibernéticos presumem que são muito pequenas, em um setor sem interesse ou sem o tipo de ativo lucrativo que atrairia um adversário. A verdade é que não importa: se você tem poder de processamento e presença digital, você é um alvo. Apesar das manchetes da mídia, a maioria dos ataques não é perpetrada por atacantes avançados de estados-nação; eles são lançados por oportunistas em busca de uma presa fácil e de resultados mais fáceis, como organizações com brechas de segurança, erros ou configurações incorretas que os cibercriminosos podem explorar facilmente.
Se você acredita que sua organização não é um alvo, provavelmente não está procurando ativamente por atividades suspeitas em sua rede – como a presença de Mimikatz (um aplicativo de código aberto que permite aos usuários visualizar e salvar credenciais de autenticação) em seu controlador de domínio – e você pode perder os primeiros sinais de um ataque.
Percepção errada 2: não precisamos de tecnologias de segurança avançadas instaladas em todos os lugares
Contraponto da Sophos: Algumas equipes de TI ainda acreditam que o software de segurança de endpoint é suficiente para parar todas as ameaças e / ou eles não precisam de segurança para seus servidores. Os invasores tiram total proveito dessas suposições. Quaisquer erros na configuração, patching ou proteção tornam os servidores um alvo primário, não secundário como poderia ser o caso no passado.
A lista de técnicas de ataque que tentam contornar ou desabilitar o software de endpoint e evitar a detecção pelas equipes de segurança de TI aumenta a cada dia. Os exemplos incluem ataques operados por humanos que exploram a engenharia social e vários pontos de vulnerabilidade para conseguir entrar; código malicioso fortemente compactado e ofuscado injetado diretamente na memória; Ataques de malware ‘sem arquivo’, como carregamento reflexivo de DLL (Dynamic Link Library); e ataques usando agentes legítimos de acesso remoto, como Cobalt Strike, juntamente com ferramentas e técnicas de administração de TI do dia a dia. As tecnologias antivírus básicas terão dificuldade em detectar e bloquear essa atividade.
Da mesma forma, a suposição de que terminais protegidos podem impedir que invasores cheguem a servidores desprotegidos é um erro. De acordo com os incidentes que o Sophos Rapid Response investigou, os servidores são agora o alvo número um de ataques e os invasores podem encontrar facilmente uma rota direta usando credenciais de acesso roubadas. A maioria dos invasores também conhece uma máquina Linux. Na verdade, os invasores muitas vezes invadem e instalam backdoors em máquinas Linux para usá-los como refúgios seguros e para manter o acesso à rede de um alvo.
Se sua organização depende apenas de segurança básica, sem ferramentas mais avançadas e integradas, como detecção comportamental e baseada em IA e um centro de operações de segurança 24 horas por dia, 7 dias por semana, os invasores provavelmente encontrarão seu caminho para além de suas defesas, eventualmente.
Por último, mas não menos importante, é sempre bom lembrar que, embora a prevenção seja ideal, a detecção é uma obrigação.
Percepção errada 3: temos políticas de segurança robustas em vigor
Contraponto da Sophos: Ter políticas de segurança para aplicativos e usuários é fundamental. No entanto, eles precisam ser verificados e atualizados constantemente à medida que novos recursos e funcionalidades são adicionados aos dispositivos conectados à rede. Verifique e teste as políticas, usando técnicas como teste de penetração, exercícios de mesa e testes de seus planos de recuperação de desastres.
Percepção equivocada 4: os servidores Remote Desktop Protocol (RDP) podem ser protegidos contra invasores alterando as portas em que estão e introduzindo a autenticação multifator (MFA)
Contraponto da Sophos: A porta padrão usada para serviços RDP é 3389, portanto, a maioria dos invasores varrerá essa porta para encontrar servidores de acesso remoto abertos. No entanto, a varredura identificará todos os serviços abertos, independentemente da porta em que estejam, portanto, alterar as portas oferece pouca ou nenhuma proteção por si só.
Além disso, embora a introdução da autenticação multifator seja importante, ela não aumentará a segurança, a menos que a política seja aplicada a todos os funcionários e dispositivos. A atividade RDP deve ocorrer dentro dos limites de proteção de uma rede privada virtual (VPN), mas mesmo isso não pode proteger totalmente uma organização se os invasores já tiverem um ponto de apoio em uma rede. Idealmente, a menos que seu uso seja essencial, a segurança de TI deve limitar ou desabilitar o uso de RDP interna e externamente.
Percepção errada 5: bloquear endereços IP de regiões de alto risco, como Rússia, China e Coreia do Norte, nos protege contra ataques dessas regiões
Contraponto da Sophos: bloquear IPs de regiões específicas provavelmente não causará nenhum dano, mas pode dar uma falsa sensação de segurança se você confiar apenas nisso para proteção. Os adversários hospedam sua infraestrutura maliciosa em muitos países, com hotspots incluindo os EUA, Holanda e o resto da Europa.
Percepção equivocada 6: nossos backups fornecem imunidade contra o impacto do ransomware
Contraponto da Sophos: Manter backups atualizados de documentos é essencial para os negócios. No entanto, se seus backups estiverem conectados à rede, eles estarão ao alcance de invasores e vulneráveis a serem criptografados, excluídos ou desativados em um ataque de ransomware.
É importante notar que limitar o número de pessoas com acesso aos seus backups pode não aumentar significativamente a segurança, pois os invasores terão passado algum tempo na sua rede procurando por essas pessoas e suas credenciais de acesso.
Da mesma forma, o armazenamento de backups na nuvem também precisa ser feito com cuidado – em um incidente investigado pelo Sophos Rapid Response, os invasores enviaram um e-mail ao provedor de serviços em nuvem de uma conta de administrador de TI invadida e pediram que excluíssem todos os backups. O provedor cumpriu.
A fórmula padrão para backups seguros que podem ser usados para restaurar dados e sistemas após um ataque de ransomware é 3: 2: 1: três cópias de tudo, usando dois sistemas diferentes, um dos quais está offline.
Uma nota final de cautela, ter backups offline em vigor não protegerá suas informações de ataques de ransomware baseados em extorsão, onde os criminosos roubam e ameaçam publicar seus dados em vez de criptografá-los.
Percepção errada 7: Nossos funcionários entendem a segurança
Contraponto da Sophos: De acordo com o State of Ransomware 2021, 22% das organizações acreditam que serão atingidas por ransomware nos próximos 12 meses porque é difícil impedir que os usuários finais comprometam a segurança.
Táticas de engenharia social, como e-mails de phishing, estão se tornando mais difíceis de detectar. As mensagens costumam ser feitas à mão, escritas com precisão, persuasivas e cuidadosamente direcionadas. Seus funcionários precisam saber como identificar mensagens suspeitas e o que fazer ao recebê-las. Quem eles notificam para que outros funcionários fiquem em alerta?
Percepção equivocada 8: equipes de resposta a incidentes podem recuperar meus dados após um ataque de ransomware
Contraponto da Sophos: Isso é muito improvável. Hoje, os invasores cometem muito menos erros e o processo de criptografia melhorou, portanto, depender de respondentes para encontrar uma brecha que possa desfazer o dano é extremamente raro. Backups automáticos como cópias de sombra de volume do Windows também são excluídos pela maioria dos ransomwares modernos, além de sobrescrever os dados originais armazenados no disco, tornando a recuperação impossível, exceto o pagamento do resgate.
Percepção errônea 9: pagar o resgate recuperará nossos dados após um ataque de ransomware
Contraponto da Sophos: De acordo com a pesquisa State of Ransomware 2021, uma organização que paga o resgate recupera em média cerca de dois terços (65%) de seus dados. Apenas 8% recuperaram todos os seus dados e 29% recuperaram menos da metade. Pagar o resgate – mesmo quando parece a opção mais fácil e / ou está coberto pela sua apólice de seguro cibernético – não é, portanto, uma solução simples para se recuperar.
Além disso, restaurar dados é apenas parte do processo de recuperação – na maioria dos casos, o ransomware desativa completamente os computadores e o software e os sistemas precisam ser reconstruídos do zero antes que os dados possam ser restaurados. A pesquisa de 2021 descobriu que os custos de recuperação são, em média, dez vezes o tamanho da demanda de resgate.
Percepção errada 10: O lançamento de ransomware é todo o ataque – se sobrevivermos, estaremos bem
Contraponto da Sophos: Infelizmente, raramente é esse o caso. O ransomware é apenas o ponto em que os invasores querem que você perceba que eles estão lá e o que fizeram.
É provável que os adversários estejam em sua rede por dias, senão semanas, antes de liberar o ransomware, explorando, desativando ou excluindo backups, encontrando as máquinas com informações ou aplicativos de alto valor para criptografar, removendo informações e instalando cargas úteis adicionais, como backdoors . Manter uma presença nas redes da vítima permite que os invasores lancem um segundo ataque, se quiserem.
Recursos adicionais
- Compreenda os comportamentos do adversário e os TTPs em estado selvagem no Manual do Adversário Ativo 2021 da Sophos
- Saiba mais sobre o serviço de Resposta Rápida da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana
- Leia o Guia de Resposta a Incidentes e as quatro principais dicas para responder a um incidente de segurança pelas equipes de Resposta Rápida e de Resposta Gerenciada a Ameaças da Sophos
- Informações técnicas sobre diferentes tipos de ransomware, incluindo indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs) podem ser encontradas no SophosLab Uncut, o lar da mais recente inteligência de ameaças da Sophos
- Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança podem ser encontrados em Sophos News SecOps
- Saiba mais sobre a prevalência global e o impacto do ransomware no Estado de Ransomware 2021
Angel
God Job … Congrats