O despontar do ataque cibernético de quatro minutos: quatro etapas para proteger sua empresa

ataque cibernetico

Em 6 de maio de 1954, o atleta britânico Roger Bannister surpreendeu o mundo ao correr a primeira milha em menos de quatro minutos. Bannister foi o primeiro, mas certamente não seria o último corredor de elite a quebrar aquele recorde que se pensava ser impossível. 

Como Bannister, os ataques cibernéticos estão abrindo novos caminhos e mudando nossa definição do que é possível. 

Em dezembro passado, 18.000 organizações – incluindo agências governamentais federais – poderiam ter sido potencialmente afetadas por hackers que, de acordo com a Dark Reading, “comprometeram sistemas na SolarWinds e inseriram malwares em atualizações dos produtos de gerenciamento de rede Orion amplamente usados ​​da empresa.” 

Algumas semanas depois, os profissionais de TI se esforçaram para responder a uma nova vulnerabilidade em seus servidores Microsoft Exchange que afetou pelo menos 30.000 organizações. Em ambos os casos, invasores qualificados e patrocinados pelo estado acabaram tomando posse de um servidor de alta potência dentro de redes corporativas e governamentais – e nenhuma equipe de segurança percebeu. 

Os invasores por trás do ataque à cadeia de suprimentos da SolarWinds supostamente usaram seu acesso para examinar o código-fonte do Exchange na Microsoft, que eles poderiam usar para pesquisar vulnerabilidades como essas. 

Nossa segurança coletiva tornou-se interdependente. Cadeias de ataque que antes eram apenas teóricas agora são uma realidade. A SolarWinds era o Roger Bannister dos ataques cibernéticos – agora que tivemos uma descoberta, teremos outras. 

Com a criptomoeda, os invasores podem monetizar os dados facilmente. Eles buscam e exploram incansavelmente as vulnerabilidades para se firmar. Então, obtêm e monetizam os dados corporativos por meio de criptografia e extorsão. Na verdade, é comum que os hackers se gabem do seu sucesso e de quanto dinheiro ganham. 

Quem entra, tenta descaradamente todas as fechaduras de todas as portas, janelas e chaminés (repetidamente) até encontrar o caminho para dentro. Não é exagero presumir que qualquer sistema on-line vulnerável que você já possua foi comprometido.  

Qualquer sistema de Internet com um login – vulnerável ou não – provavelmente está sendo “forçado” agora – isso significa que os invasores estão tentando inúmeras combinações de nomes de usuário e senhas até encontrarem um que funcione. 

No ano passado, vimos ataques começarem com vulnerabilidades em dispositivos VPN, servidores de acesso remoto e servidores de transferência de arquivos – tantas maneiras de começar. Os funcionários permitem a entrada de invasores clicando em links que os induzem a fornecer credenciais ou baixar códigos maliciosos. Se um hacker não conseguir invadir por si mesmo, ele pode comprar uma entrada na dark web. Então, eles usam seus dados como uma arma contra você e te deixam com uma decisão – você paga o resgate? 

Depois que os invasores ganham o controle de um servidor ou endpoint, eles geralmente seguem o mesmo manual: estabeleçer o comando e o controle para usar o primeiro sistema como ponto de partida; fazer reconhecimento básico com técnicas bem conhecidas e furtivas; comprometer contas poderosas, explorando fraquezas internas, vulnerabilidades ou usando mais ataques de força bruta; usar uma conta para roubar dados e instalar backdoors; em seguida, criptografar e pedir Bitcoins em troca de uma chave de descriptografia e uma garantia duvidosa de que os dados roubados não serão vazados. A maioria das organizações é surpreendida quando a nota de resgate aparece. 

Uma vulnerabilidade no Active Directory, chamada “Zerologon”, criou um atalho para assumir o controle de um domínio inteiro – duas horas de phishing (técnica para obter informações confidenciais) para controle total. Quatro minutos estão ao seu alcance. 

Se sua organização é orientada por dados, como a maioria, você é um banco de informações e os invasores o veem como detentor de Bitcoins. Seu “banco” tem um caixa eletrônico em cada casa e em cada esquina, com uma conexão direta aos seus cofres e há novas vulnerabilidades em seus caixas eletrônicos a cada semana. 

Como ter um banco de informações melhor 

– Comece no final – o cofre. A maioria dos invasores está atrás de dados – é isso que eles podem monetizar com mais facilidade. Onde estão seus maiores cofres de maior risco? Certifique-se de saber que seus dados confidenciais estão no cofre, e apenas as pessoas certas podem acessá-los. Garanta que você pode localizar alguém fazendo uma retirada incomum. 

– Determine o seu “raio de explosão”. Se você tiver um sistema ou usuário comprometido, com que rapidez pode determinar o “raio de explosão”? Quais dados eles poderiam acessar e o que eles acessaram? 

Reduzir o raio de explosão antes de um ataque torna o trabalho do cibercriminoso mais difícil. Se você adotou uma abordagem Zero Trust, nenhum usuário ou conta deve ter mais acesso do que precisa – a sistemas, aplicativos e, é claro, dados – especialmente dados confidenciais. Se você não precisa de acesso ao cofre, você não consegue as chaves ou a combinação. 

Vimos que os controles de detecção são mais eficazes quando o raio de explosão é menor e o comportamento diário é mais controlado. Se seus administradores só fizerem alterações durante o horário normal de trabalho e a partir de determinados sistemas, o acesso fora dessas normas prevalece. 

– Pratique uma resposta. Suponha que já haja bandidos no banco – que uma de suas estações de trabalho, servidores ou gateways esteja comprometido. Veja se você consegue descobrir o que um invasor provavelmente faria a seguir.  

Você pode ver o reconhecimento? Você pode ver atividades incomuns no Active Directory? Acesso incomum a dados ou sistemas? Isso requer uma linha de base do comportamento normal. Os exercícios de “equipe vermelha / equipe azul” e “equipe roxa” podem ajudá-lo a entender seu risco. 

– Bloqueie e derrube. Não há mais espaço para perder o básico. Se houver uma vulnerabilidade conhecida, alguém tentará explorá-la. Muitos departamentos de TI não conseguem acompanhar os patches. Se houver um site que exige apenas um nome de usuário e senha, alguém está tentando adivinhá-los – e muitas organizações permitem a autenticação de fator único em serviços on-line. 

Essas dicas podem ajudá-lo a garantir que sua organização tenha uma chance melhor contra os invasores competentes e motivados de hoje. Tentar mantê-los fora do banco não é realista. Graças aos recursos da nuvem e ao trabalho remoto, não há nada lá fora. 

Coloque dados importantes no cofre. Tranque o cofre. Observe o cofre. É assim que você pode garantir que leva mais de quatro minutos para coletar seus dados confidenciais.