Métodos mais comumente usados foram ransomware, ataque distribuído de negação de serviço (DDoS) e malware, diz estudo
A interrupção dos negócios foi o principal objetivo dos ataques no ano passado, sendo que os métodos mais comumente usados foram ransomware, ataque distribuído de negação de serviço (ataque DDoS – Distributed Denial of Service) e malware. De acordo com o relatório Cyber Front Lines Report, da CrowdStrike Services, fornecedora de serviços proativos de segurança e de resposta a incidentes, um terço (36%) dos incidentes envolvem frequentemente ransomware, malware ou ataques de DDoS.
O relatório enfatiza que, embora o principal objetivo de um ataque de ransomware seja o ganho financeiro, o impacto da descontinuidade de negócios em uma empresa geralmente supera a perda pelo pagamento do resgate. O estudo também revela que 25% dos incidentes investigados referem-se a roubo de dados, incluindo roubo de propriedade intelectual, informações de identificação pessoal e informações de saúde pessoal. O roubo de IP foi vinculado a inúmeros casos de ataques de intrusão direcionados, enquanto o roubo de dados de informações de identificação pessoal (PII) e informações de saúde protegidas (PHI) pode permitir operações de espionagem e de motivação criminosa.
“Normalmente, esse tipo de dado pode ser usado para espionagem cibernética para criar um dossiê sobre um alvo de alto perfil, ou um criminoso cibernético pode vender ou pedir resgate para liberar as informações”, afirma o relatório.
Para acessar uma rede, o vetor mais popular era o spear phishing, respondendo por 35% dos casos investigados, comparado a 16% usando ataques na web e outros 16% usando credenciais comprometidas.
A CrowdStrike diz que houve melhoria na identificação do ataque. O relatório mostra que 79% das organizações conseguiram detectar e responder a uma violação sem notificação externa — acima dos 75% em 2018. Entretanto, o tempo de espera aumentou um pouco, de 85 para 95 dias devido, em parte, a técnicas avançadas de ataques que empregam contramedidas mais fortes, permitindo que permaneçam ocultos por mais tempo (em alguns casos, por anos) antes da descoberta.
O documento aponta ainda que as intrusões livres de malware e com malware foram observadas em números quase iguais. Em 51% das invasões investigadas foram usadas técnicas livres de malware, enquanto 49% foram baseadas em malware. Em 22% dos casos, técnicas baseadas em malware e livres de malware foram usadas em conjunto.
Além dessas descobertas importantes, a equipe da CrowdStrike identificou vários temas importantes a partir de 2019. As organizações devem estar atentas aos seguintes aspectos:
. Os invasores são mais deliberados e direcionados em seus esforços para automatizar o reconhecimento do Active Directory. O uso de ferramentas modernas, como o BloodHound, simplificou e automatizou esse processo, facilitando os ataques, o mesmo tempo em que também forneceu ferramentas de defesa que podem ser utilizadas para identificar e remediar vulnerabilidades.
. Serviços de terceiros servem como multiplicador de ataques. Os hackers estão cada vez mais visando fornecedores de serviços terceirizados para comprometer seus clientes e escalar seus ataques.
. Os invasores têm como alvo também a infraestrutura de nuvem como serviço (IaaS). As chaves de APIs para infraestrutura pública baseada em nuvem tornaram-se alvos à medida que os invasores aumentam sua capacidade de coletar recursos de informações rápida e sistematicamente.
. Computadores Macintosh estão agora claramente na mira dos ataques cibernéticos. Hackers estão cada vez mais mirando em ambientes macOS, usando técnicas de “living off the land” (LOTL) com aplicativos nativos e capitalizando em ferramentas de segurança menos usadas do que aquelas disponíveis para sistemas Windows na mesma organização.
. Os patches de correção continuam sendo um problema. A higiene básica ainda é importante, e mesmo que os fornecedores de software tenham melhorado as correções, os fatores que tornam a correção um desafio se tornaram mais complexos.
. Como a prevenção é configurada afeta sua eficácia. O relatório conclui que muitas organizações falham em aproveitar os recursos das ferramentas que já possuem. Essa falha na ativação de configurações críticas não apenas deixa as organizações vulneráveis, mas também oferece a elas uma falsa sensação de segurança.
Conforme observado, houve melhorias na capacidade das organizações de autodetectar ataques, mas o tempo prolongado de detecção ainda é preocupante. A CrowdStrike defende que as organizações sigam a “regra 1-10-60” como uma prática recomendada: um minuto para detectar uma invasão, 10 minutos para investigar e uma hora para reparar. O estudo constatou que a grande maioria das organizações vê a regra como uma “mudança de jogo” para garantir a proteção. No entanto, a maioria dos entrevistados reconheceu que está aquém de usar essa métrica.
Isso também é evidenciado na experiência da equipe da CrowdStrike Services: aqueles que cumprem a regra 1-10-60 podem melhorar drasticamente suas chances de ficar à frente da concorrência e impedir que uma possível violação ocorra. No entanto, aderir à regra é uma referência desafiadora que requer velocidade e experiência.