Oradores:
- Dinis Fernandes, Executive Manager na CyberSafe
- Lesley Kipling, Chief Security Advisor na Microsoft
- Miguel Caldas, Senior Cloud Solution Architect na Microsoft Portugal
- Nelson Silva, Technical Manager na CyberSafe
Os últimos dois anos foram de grande transformação e aceleração digital para muitas organizações. Assistimos a um aumento substancial dos ataques cibernéticos em volume, velocidade e sofisticação, sobretudo na recolha de credenciais e ataques de ransomware.
De acordo com o último Relatório de Defesa Digital, a Microsoft bloqueou entre julho de 2020 e junho de 2021, 9 mil milhões de ameaças a dispositivos, 32 mil milhões de ataques por e-mail e 31 mil milhões de ameaças. E segundo o relatório CyberSignals, a Microsoft intercetou 35,7 mil milhões de e-mails de phishing com o Microsoft Defender para Office 365 e bloqueou mais de 25,6 mil milhões de ataques de autenticação de força bruta do o Azure Active Directory (AAD).
A Cybersecurity Ventures estima que só em 2021 o cibercrime custou à economia global 6 biliões de dólares, prevendo um crescimento, até 2025, de 10,5 biliões de dólares por ano.
Na missão de capacitar as pessoas e organizações do planeta a alcançarem mais, a Microsoft pretende contribuir para a consciencialização, informação e solução, antecipando as necessidades, reduzindo a complexidade em torno da segurança e proteção do património digital das organizações. No evento virtual “Anatomia de um Cibercrime”, especialistas da CyberSafe, empresa focada em cibersegurança, e da Microsoft abordaram os desafios atuais, explicaram e analisaram de que forma se processa a anatomia dos ataques cibernéticos.
Evolução do cibercrime: o que mudou?
Dinis Fernandes, Executive Manager na Cybersafe, comentou a evolução do cibercrime, que “é cada vez menos um tema de amadores e cada vez mais um tema profissionalizado. Verificamos que há especialistas nas várias áreas do cibercrime, desde especialistas em phishing, roubo de credenciais, ferramentas de acesso remoto ou filtração de dados.”
Os atores do cibercrime
- Criminosos: Criminosos especializados, com grandes meios ao seu alcance, equipas extensas, tempo e recursos. Investigam a fundo as empresas antes de as atacarem e o seu objetivo principal é ganho económico, por exemplo, através de pedidos de resgate.
- Ativistas: Revelam alguns propósitos relacionados com a opinião pública. À semelhança dos “criminosos”, também são fáceis de identificar, já que têm por hábito anunciar previamente que vão atacar determinada organização.
- Terroristas: São mais difíceis de detetar, têm o propósito de destruir a organização, as máquinas virtuais ou apagar dados de forma pura e massiva.
- Estados-Nações: Há nações que procuram proativamente vulnerabilidades em estados terceiros e guardam essas vulnerabilidades para o caso de um dia, se precisarem, numa situação ofensiva, acederem a infraestruturas críticas, por exemplo, como a eletricidade, energia, água ou hospitais. É algo a que estamos a assistir atualmente no conflito entre a Ucrânia e a Rússia.
O cibercrime tem evoluído de acordo com a própria transformação das organizações. Nelson Silva, Technical Manager na CyberSafe destacou um novo conceito, o da ciberesiliência: “As organizações estão cada vez mais resilientes, com a capacidade de repor o seu serviço durante algum tempo sem ter de pagar o resgate. Porém, no caso do ransomware, assistimos ao roubo de informação e, em vez de pedirem um resgate, ameaçam publicar a informação em troca do pagamento”.
Continuidade dos negócios face ao ransomware
A pandemia aumentou bastante a utilização de ransomware. De acordo com o World Economic Forum, o número de organizações que pagaram resgates subiu de 26% em 2020 para 32% em 2021. Além disso, o custo médio de recuperação por um ataque mais que duplicou no último ano, aumentando de $761,106 em 2020 para $1.85M em 2021. Ainda assim, só 8% das organizações conseguem recuperar os seus dados após o pagamento do resgate e 29% não recuperam mais de metade.
Os atacantes estão, também, cada vez mais focados em dispositivos da Internet das Coisas. Lesley Kipling, Chief Security Advisor na Microsoft, referiu “Os recentes ataques têm vindo a demonstrar a fragilidade da cadeia de abastecimento. Embora o ransomware tenha resultado em perda de disponibilidade, porque os dados são resgatados, bem como perda de confidencialidade quando as pessoas não pagam o resgate, os mesmos podem ser altamente lucrativos para organizações criminosas”.
Para Miguel Caldas, Senior Cloud Solution Architect na Microsoft Portugal, “o ransomware é o «topo da figura» em termos de crime informático. Os ataques de ransomware trouxeram uma novidade que é transformar o atacante, no único meio possível para chegar à informação quando estes a conseguem encriptar.”
Anatomia de um cibercrime
Nelson Silva destacou quatro fases gerais e transversais da anatomia dos ciberataques:
1 - Reconhecimento:
Numa primeira fase, os atores maliciosos obtém contexto das organizações alvo de ataque e é um passo cada vez mais facilitado. Os atacantes identificam os membros da organização, as funções e são as pessoas o primeiro alvo. “O LinkedIn, por exemplo, é uma fonte interessante para encontrar o colaborador chave para atacar”, destacou o responsável.
A superfície de ataque e as fontes de informação aumentaram, mas o número de pessoas disponíveis para estar do lado da defesa estão cada vez mais escassas. “A falta de pessoas nestas áreas implica que se façam configurações à pressa ou mal executadas”, acrescenta.
2 - Invasão ou intrusão:
É a primeira interação com os ativos ou utilizadores das organizações alvos dos ataques. O atacante tenta explorar diretamente a(s) vulnerabilidade(s) dentro da organização. Poderá tentar obter uma credencial através do phishing ou malware de um colaborador, por exemplo.
Se o atacante tiver uma credencial, conseguirá acesso, numa primeira fase, à rede, seja mais ou menos privilegiada; se for através de uma vulnerabilidade, irá depender da capacidade que a mesma proporciona aos setores maliciosos dentro da organização.
3 - Movimentação lateral:
Dependendo da fase anterior e do método de entrada adotado, irá definir os privilégios adquiridos no momento (como acesso a credenciais de utilizadores ou privilégio administrativo nos dispositivos e segmentos de rede).
Nesta fase, as organizações devem tentar entender de que forma os atores entraram na rede, se conseguem alcançar outras credenciais com privilégios mais atrativos ou comprometer outros sistemas que possam estar dentro da organização.
Uma vez dentro dos sistemas, os atacantes tentam mapear as redes internas e identificar mais facilmente vulnerabilidades existentes. Com base nesta informação, dá-se a “movimentação lateral”, como refere Nelson Silva, “em que é possível mover o poder que temos para outra máquina e utilizador e, a partir daí, ir escalando a nível de privilégios e acessos”.
Ações Exploração:
Nesta última fase, dão-se as ações cujo objetivo já estava identificado, seja o roubo de informação e filtração de dados ou, se for algo terrorista, a danificação dos ativos importantes para a organização, como impacto destrutivo, fuga ou perda de informação.
O processo da cibersegurança não é um processo com princípio, meio e fim. Dinis Fernandes acrescentou: “Tem de haver um olhar para as várias áreas da cibersegurança de uma forma constante e contínua. Da mesma forma que os ataques vão evoluindo, devemos estar constantemente a equacionar o que estamos a fazer e o que podemos melhorar”.
Medidas de mitigação: o que fazer antes de um ataque?
Dinis Fernandes sugere que as organizações adotem cinco medidas de mitigação da cibersegurança:
- Identificar: Para proteger a organização, devemos conhecê-la, seja pela gestão de ativos da rede, realização de inventários de IT e identificação do fluxo de dados com parceiros, clientes e fornecedores. A gestão de risco deve ser estendida além do negócio tradicional, também do ponto de vista do IT, de forma a melhorar a análise da probabilidade das vulnerabilidades.
- Proteger: Após a identificação, as organizações devem tomar as medidas que permitam uma gestão de identidade de acessos, autentificação, proteção de endpoints – redes, sistemas e dados –, garantir a integridade do hardware e software e implementar medidas que permitam proteger os ativos, minimizar as possíveis vulnerabilidades, criar awareness e apostar na formação dos colaboradores.
- Detetar: Há que monitorizar constantemente os eventos de segurança, seja das atividades dos colaboradores, prestadores externos, fornecedores ou clientes, que possam aceder aos sistemas internos.
- Responder: Além de conter ou mitigar o ataque, as organizações alvo devem notificar entidades terceiras, parceiros, clientes, fornecedores, entre outras. Não se trata apenas de conter os ataques, há que comunicá-los.
- Recuperar: Por maior que seja a proteção, haverá sempre probabilidade para incidentes e o que fará realmente a diferença é a capacidade resposta e de resiliência (ou ciberesiliência), a capacidade de recuperar do ataque.
Também Lesley Kipling, destacou alguns princípios de segurança que devem ser adotados pelas organizações:
- A identidade é o novo perímetro de controlo. A utilização de autenticação multifactor e autenticação sem password permitiria mitigar os ataques de força bruta. No entanto, dados da Microsoft de dezembro de 2021 mostram que, em todos os setores, apenas 22% dos utilizadores da solução de cloud de identidade da Microsoft, o AAD, implementaram uma forte proteção de autenticação de identidade.
- Conformidade e proteção de dados abrangentes é o novo normal. A cloud dá-nos a capacidade de implantar sensores em todos os lugares. Podemos agregar dados em numa plataforma de sinais para alcançar coesão, coerência e consistência enquanto garantimos a conformidade.
- Monitorização contínua é um dever. Ao reunirmos os dados certos podemos formar evidências consistentes dos ataques e reagir de forma imediata.
- A inteligência em escala transforma a automatização. A cloud permite-nos controlar, de forma abrangente, os dados e aumentar a nossa capacidade humana, à medida que nos transformamos, através do poder do machine learning.
Post A Comment:
0 comments: