Sofisticação, velocidade e diversidade de técnicas de ataque demonstram a importância de reforçar toda a Cyber Kill Chain
Derek Manky, Chief, Security Insights & Global Threat Alliances, do FortiGuard Labs "a Cibersegurança é uma indústria rápida e dinâmica, mas os mais recentes eventos de ameaça mostram que, atualmente, os ciber adversários estão a desenvolver-se e a executar ataques a velocidades sem paralelo. Técnicas de ataque novas e evolutivas abrangem toda a kill chain, mas, especialmente numa fase inicial, demonstrando uma evolução para uma estratégia de cibercrime mais avançada e persistente, mais destrutiva e imprevisível. Para se protegerem contra esta vasta série de ameaças, as organizações precisam de implementar estratégias de prevenção, deteção e resposta, potenciadas por IA baseadas numa arquitetura mesh de cibersegurança que permita uma integração muito mais estreita, maior automatização, bem como uma resposta mais rápida, coordenada e eficaz às ameaças em toda a extensão da rede".
A Fortinet® (NASDAQ: FTNT), líder mundial em soluções amplas, integradas e automatizadas de cibersegurança, acaba de anunciar o mais recente relatório semestral FortiGuard Labs Global Threat Landscape Report. A Inteligência de Ameaças revela, a partir do segundo semestre de 2021, um aumento na automatização e velocidade dos ataques demonstrando estratégias mais avançadas e persistentes de cibercrime, que são mais destrutivas e imprevisíveis. Além disso, a expansão da superfície de ataque dos trabalhadores híbridos e TI híbrida é um ponto fulcral que os adversários cibernéticos estão a tentar explorar. Para uma visão detalhada do relatório, bem como de algumas tomadas de posição importantes, leia o blog. Seguem-se os destaques do relatório 2H 2021:
Log4j demonstra a elevada quantidade de Exploits com as quais as organizações se deparam: As vulnerabilidades Log4j, que ocorreram no final de 2021, demonstram o rápido crescimento de exploits que os cibercriminosos estão a tentar aproveitar em seu favor. Apesar de ter surgido na segunda semana de dezembro, a atividade com exploits aumentou significativamente depressa, em menos de um mês, ao ponto de fazer desta a deteção IPS mais prevalecente de toda a segunda metade de 2021. Além disso, a Log4j tinha quase 50x o volume de atividade em comparação com o já conhecido surto, ProxyLogon, que aconteceu no início de 2021. A realidade é que as organizações têm, atualmente, muito pouco tempo para reagir ou remendar, dadas as velocidades que os ciber adversários estão a empregar para maximizar novas oportunidades. As organizações precisam de sistemas de prevenção de intrusão (IPS) baseados em IA e ML, de estratégias agressivas de gestão de resposta, e da visibilidade da Inteligência de Ameaças para dar prioridade às ameaças que se propagam mais rapidamente no espaço para, assim, reduzir o risco global.
Adversários selecionam, rapidamente, novos vetores na superfície de ataque: Algumas das ameaças, de menor dimensão, têm o potencial de causar grande problemas no futuro e são igualmente dignas de atenção. Um exemplo é o malware recentemente criado e concebido para explorar sistemas Linux, muitas vezes sob executable and linkable format (ELF). O Linux executa os sistemas back-end de muitas redes e soluções container-based para dispositivos IoT e aplicações críticas, e está a tornar-se um alvo popular para os atacantes. De facto, a taxa de novas assinaturas de malware Linux no quarto trimestre quadruplicou face à do primeiro trimestre de 2021, sendo a variante ELF Muhstik, o malware RedXOR, e mesmo o Log4j, exemplos de ameaças direccionadas ao Linux. A predominância de ELF e outras deteções de malware do Linux duplicaram durante 2021. Este crescimento nas variantes e no volume sugere que o malware Linux faz cada vez mais parte do arsenal dos adversários. O Linux precisa de ser protegido, monitorizado e gerido como qualquer outro endpoint na rede com proteção, deteção e resposta avançada e automatizada de endpoints. Além disso, deve ser dada prioridade à higiene da segurança para fornecer proteção ativa para sistemas que possam ser afetados por ameaças de baixo alcance.
Tendências de Botnets mostram uma evolução mais sofisticada dos métodos de ataque: As tendências das ameaças demonstram que as botnets estão a evoluir para adotar técnicas de ataque mais atuais e evoluídas. Em vez de serem monolíticas e centradas, principalmente, em ataques DDoS, as botnets são agora veículos de ataque polivalentes, potenciando uma variedade de técnicas de ataque mais sofisticadas, incluindo ransomware. Por exemplo, atores de ameaças, incluindo operadores de botnets, como Mirai, integraram exploits para a vulnerabilidade Log4j nos seus kits de ataque. Além disso, a atividade de botnets foi localizada e associada a uma nova variante do malware RedXOR, que visa sistemas Linux para a exfiltração de dados. As deteções de botnets que forneciam uma variante do malware RedLine Stealer também aumentaram no início de outubro para encontrar novos alvos utilizando um documento no qual o tema era “COVID”. Para proteger redes e aplicações, as organizações devem implementar soluções de acesso Zero Trust para fornecer privilégios de acesso mínimos, especialmente para proteger endpoints e dispositivos IoT que entram na rede, bem como capacidades de deteção e resposta automatizada para monitorizar comportamentos anómalos.
Tendências de Malware mostram que os cibercriminosos maximizam "tudo à distância:" Avaliar a predominância de variantes de malware por região revela um interesse constante dos adversários cibernéticos em maximizar vetores de trabalho remoto e ensino à distância. Em particular, várias formas de malware browser-based eram predominantes. Isto, geralmente, assume a forma de phishing ou scripts que injetam código, ou redirecionam os utilizadores para sites maliciosos. As deteções específicas variam entre regiões globais, mas podem ser em grande parte agrupadas em três grandes mecanismos de distribuição: executáveis do Microsoft Office (MSExcel/, MSOffice/), ficheiros PDF, e scripts de browser (HTML/, JS/). Tais técnicas continuam a ser uma forma popular de os cibercriminosos explorarem a ânsia das pessoas pelas últimas notícias sobre a pandemia, política, desporto, ou outras manchetes, e para, posteriormente, encontrarem entradas para as redes corporativas. Com o trabalho e a aprendizagem em formato híbrido a permanecerem uma realidade, há menos camadas de proteção entre o malware e as potenciais vítimas. As organizações devem adotar uma abordagem de "trabalho a partir de qualquer lugar" para a sua segurança, mas implementando soluções capazes de acompanhar, capacitar e proteger os utilizadores, independentemente da sua localização. Precisam de segurança avançada no endpoint (EDR) combinada com soluções de acesso Zero Trust, incluindo ZTNA. A Secure-SD-WAN é também fundamental para assegurar a conetividade segura da WAN para toda a extensão da rede.
Atividade de ransomware continua elevada e a tornar-se mais destrutiva: Os dados do FortiGuard Labs revelam que o ransomware não baixou dos níveis máximos durante o último ano e, em vez disso, a sofisticação, a agressividade e o impacto do ransomware estão a aumentar. Os atores de ameaças continuam a atacar organizações com uma variedade de novas estirpes de ransomware, assim como com as mais antigas, deixando, frequentemente, um rasto de destruição. Os antigos ransomwares estão a ser ativamente atualizados e melhorados, por vezes com wiper malware incluído, enquanto outros ransomwares estão a evoluir para adotar modelos de negócio de Ransomware-as-as-Service (RaaS). RaaS permite que mais atores de ameaças possam aproveitar e distribuir o malware sem terem de criar o seu próprio programa de ransomware. O FortiGuard Labs observou um nível consistente de atividade maliciosa envolvendo múltiplas estirpes de ransomware, incluindo novas versões de Phobos, Yanluowang e BlackMatter. Os operadores da BlackMatter declararam que não atacariam organizações no setor dos cuidados de saúde e outros setores de infraestruturas críticas, mas fizeram-no à mesma. Os ataques de ransomware continuam a ser uma realidade para todas as organizações, independentemente da indústria ou da dimensão. As organizações precisam de adotar uma abordagem proativa com visibilidade em tempo real, análise, proteção e recuperação, juntamente com soluções de acesso de zero trust, segmentação e apoio regular de dados.
Uma compreensão mais profunda das técnicas de ataque pode ajudar a deter os criminosos mais rapidamente: A análise dos objetivos de ataque dos adversários é importante para se poder alinhar melhor as defesas contra a velocidade de mudança das suas técnicas de ataque. Para observar os resultados maliciosos de vários ataques, o FortiGuard Labs analisou a funcionalidade do malware detetado ao detonar as amostras de malware recolhidas ao longo do ano. O resultado foi uma lista das táticas, técnicas e procedimentos individuais (TTPs) que o malware teria conseguido se as cargas úteis de ataque tivessem sido executadas. Esta inteligência de alta resolução mostra que parar um adversário mais cedo é mais crítico do que nunca, e que ao concentrar-se numa série dessas técnicas identificadas, em algumas situações, uma organização poderia, efetivamente, evitar os métodos de ataque de um malware. Por exemplo, as três principais técnicas para a fase de "execução" representam 82% da atividade. As duas principais técnicas para obter uma base de apoio na fase de "persistência" representam quase 95% da funcionalidade observada. O aproveitamento desta análise pode ter um efeito fulcral na forma como as organizações dão prioridade às suas estratégias de segurança para maximizar a sua defesa.
Proteger contra adversários cibernéticos sofisticados e rápidos: À medida que os ataques continuam a desenvolver-se em sofisticação e a abranger toda a superfície de ataque a velocidades acrescidas, as organizações precisam de soluções concebidas para interoperar em vez de funcionarem isoladamente. A segurança contra a evolução das técnicas de ataque exigirá soluções mais inteligentes que saibam assimilar Inteligência de Ameaças em tempo real, detetar padrões de ameaça e impressões digitais, correlacionar enormes quantidades de dados para detetar anomalias e iniciar, automaticamente, uma resposta coordenada. Os produtos pontuais precisam de ser substituídos por uma plataforma mesh de cibersegurança que forneça uma gestão centralizada, automatização e soluções integradas que funcionem em conjunto.
Visão Geral do Relatório
Este último Global Threat Landscape Report é uma visão representativa da inteligência coletiva do FortiGuard Labs, extraída da vasta gama de sensores da Fortinet, que recolheram milhares de milhões de ameaças observadas em todo o mundo durante a segunda metade de 2021. À semelhança de como a estrutura MITRE ATT&CK classifica táticas e técnicas adversárias, com os três primeiros agrupamentos abrangendo reconhecimento, desenvolvimento de recursos e acesso inicial, o Global Threat Landscape Report, do FortiGuard Labs, aproveita este mesmo modelo para descrever como os atores da ameaças encontram vulnerabilidades, constroem infraestruturas maliciosas e exploram os seus alvos. O relatório também inclui perspetivas globais e regionais.
Post A Comment:
0 comments: