Trabalhando em grupos, os cibercriminosos estão se tornando mais organizados e especializados. Yaroslav Rosomakho, CTO de campo da Netskope, recomenda uma estratégia baseada em aprendizado, colaboração, inovação e segurança na nuvem para detê-los
Enquanto o C-suite está se tornando cada vez mais consciente das ameaças que os cibercriminosos representam, muitos ainda abrigam uma impressão antiquada deles. Imaginamos “hackers” encapuzados, trabalhando sozinhos em um porão e, é claro, a imagem que acompanha a grande maioria dos artigos da mídia sobre ataques cibernéticos retrata exatamente isso.
A realidade hoje é que muitos agentes de ameaças não são operadores desonestos; eles trabalham como parte de grupos sofisticados e organizados, colaborando com outros grupos dentro de um ecossistema mais amplo de especialistas. Esses grupos acumulam recursos financeiros significativos ao longo do tempo, derivados dos lucros de ataques com fins comerciais ou obtidos como pagamento de estados que patrocinam ou comissionam diretamente suas atividades. Eles usam esses recursos para melhorar seus ataques subsequentes, pagando pela infraestrutura ou até mesmo subornando os funcionários de seus alvos para ajudar na entrada inicial.
Saber como esses grupos de ataque funcionam não é apenas interessante, mas também fornece inteligência inestimável que pode ajudar as organizações a fortalecer sua postura de segurança. Saber o que motiva os atacantes, como eles pensam e trabalham, e o que eles estão procurando alcançar fornece uma vantagem na defesa da linha de frente, planejamento estratégico e – quando o pior acontece – tratamento de incidentes.
- Os cibercriminosos trabalham de forma colaborativa, o que permite que se tornem especialistas
Uma expedição de compras na Dark Web revelará indivíduos ou equipes divulgando suas habilidades em elementos específicos da cadeia de ataque. Existem equipes que tratam da pulverização de senhas, outras que são especialistas em entrada, e ainda mais que gerenciarão um ataque de ransomware para qualquer “cliente” que pague.
Eles se reúnem em grupos de ataque que evoluem regularmente, cada vez ajustando a ética e a abordagem do grupo para refletir o debate interno e as lutas pelo poder. O que podemos aprender com isso? Além da importância da inteligência de ameaças para acompanhar as tendências e ameaças ao vivo, podemos aprender que a colaboração é poderosa.
Se as equipes de segurança compartilharem redes e informações – e estiverem preparadas para trabalhar com a concorrência no melhor interesse de todos -, também poderemos ser ágeis, bem informados e preparados. E essa colaboração também é essencial dentro da organização.
Muitas vezes, as ferramentas de segurança são desconectadas umas das outras e não fornecem à equipe de segurança a visão holística necessária para detectar uma cadeia de eliminação de ataque multivetorial. Para interromper ataques altamente organizados, as equipes de segurança precisam garantir que suas ferramentas de segurança estejam totalmente integradas e possam compartilhar inteligência relevante, como indicadores de comprometimento, em tempo real.
- Atores maliciosos usam infraestrutura de nuvem para seus ataques
Eles fazem isso por alguns motivos diferentes. A infraestrutura de nuvem é inerentemente ágil; os invasores podem ativar sua infraestrutura de maneira rápida e econômica – depois desmontá-la e começar novamente se a operação for comprometida. Eles também são atraídos pelo fato de que – usando os mesmos serviços em nuvem que as organizações que visam. A segurança tradicional nem consegue diferenciar entre os componentes vitais do Microsoft Office 365, como instâncias do Microsoft Teams que a organização sancionou e contas de terceiros… muitas vezes passam facilmente por portas abertas.
O que podemos aprender com isso? Adote a segurança na nuvem por sua escalabilidade e vantagem de custo, e porque dessa forma sua segurança está mais bem posicionada para detectar um ataque. Aplique uma abordagem Zero Trust não apenas para acesso à rede, mas também para segurança na nuvem e proteção de dados.
- Os maus atores inovam
Muitas organizações veem a inovação como inerentemente arriscada – e sem dúvida há novas exposições a riscos quando você tenta coisas novas – mas o oposto também é verdadeiro. Se seus sistemas, ferramentas e práticas não estiverem atualizados, os criminosos cibernéticos que estão mirando em você, irão contornar sua defesa.
Os maus atores estão sempre mudando sua abordagem e modelo de negócios; ransomware não existia há alguns anos e, embora agora domine as discussões de segurança, os invasores já estão evoluindo da abordagem original de “pagar para desbloquear os dados” para novas formas de incômodo, como ameaças de exposição pública. À medida que ganhamos alguma distância e avaliamos o primeiro semestre de 2022 retrospectivamente, há uma boa chance de encontrarmos uma mudança completa de ransomware para ataques priorizando a interrupção, refletindo motivações alteradas alinhadas à geopolítica. Diante dessa inovação, não podemos ficar parados na defesa.
Mantenha-se atualizado sobre as tendências na metodologia de ataque e tente pensar no futuro e identificar a oportunidade antes que seu invasor o faça, para que você possa interrompê-la. Isso pode significar simplesmente melhorar a higiene em relação ao gerenciamento de patches ou pode ser a construção proativa de uma melhor visibilidade sobre os “cantos misteriosos” de seu patrimônio de TI.
- Os atacantes são bem financiados
Mencionei anteriormente que existem algumas fontes diferentes de renda para os cibercriminosos. Alguns invasores são financiados taticamente por meio de vitórias de ransomware ou com lojas na Dark Web que vendem baús de guerra de dados ou serviços de ataque especializados. Outros assumem empregos “assalariados” regulares para estados-nação, mas todos atrás das linhas inimigas têm uma compreensão clara da ligação entre dinheiro e resultados.
Recomendo que valha a pena ajudar seus stakeholders a entender o financiamento por trás dos invasores contra os quais você está se defendendo. Mesmo um adolescente realizando ataques de sua garagem não está trabalhando para nada. Os ataques são um grande negócio.
- A maioria dos atacantes são oportunistas
Tudo o que eu disse até agora pinta um quadro de atacantes altamente calculistas e muito focados, mas a realidade é que a maioria é incrivelmente oportunista. Frequentemente, eles encontram suas vítimas simplesmente procurando oportunidades fáceis. O aprendizado aqui é: não seja o golpe fácil. Mantenha suas janelas e portas fechadas e, com toda a probabilidade, os invasores encontrarão um alvo mais fácil para perseguir.
A grande maioria não está atrás da sua organização, mas atrás do seu dinheiro. Para evitar ser atingido por eles, você só precisa evitar ser o alvo mais fácil, portanto, uma boa higiene de segurança é fundamental. Realmente não faz sentido gastar uma fortuna em firewalls e VPNs caros se seus funcionários estão deixando o Google Docs e AWS abertos na nuvem.
Clique abaixo para compartilhar este artigo
