Um estudo de dois pesquisadores da Universidade de Piraeus, Grécia, publicado com 48 páginas no periódico científico Journal of Cybersecurity and Privacy em 31 de dezembro, indica que a esmagadora maioria das soluções de proteção e resposta para endpoints falhou em detectar e prevenir com eficiência os quatro vetores de ataque utilizados no ensaio. Assinado pelos pesquisadores George Karantzas e Constantinos Patsakis, o estudo conclui que “o ataque de sideload de DLL é o [ataque] mais bem-sucedido, pois a maioria dos EDRs não consegue detectá-lo, muito menos bloqueá-lo”.
Intitulado “Uma avaliação empírica de sistemas de detecção e resposta de endpoint contra vetores de ataque de ameaças persistentes avançadas“, o estudo foi financiado pela Comissão Europeia no âmbito do Programa Horizonte 2020 (H2020), no âmbito dos projetos CyberSec4Europe e seu objetivo foi ampliar a visibilidade dos “blue teams” sobre as ferramentas do mercado: “APTs representam um desafio significativo para os blue teams, pois aplicam vários ataques por períodos prolongados, impedindo a correlação de eventos e sua detecção. Neste trabalho, aproveitamos vários cenários de ataque diversos para avaliar a eficácia dos EDRs contra a detecção e prevenção de APTs. Nossos resultados indicam que ainda há muito espaço para melhorias, pois os EDRs de última geração falham em prevenir e registrar a maior parte dos ataques relatados neste trabalho. Além disso, discutimos métodos para adulterar os provedores de telemetria de EDRs, permitindo que um adversário execute um ataque mais furtivo”.
Veja isso
Pesquisadores alertam empresas para melhorar ferramentas de EDR
Empresas estão mais sujeitas a ransomware aos fins de semana
O estudo concluiu que “é possível cegar os EDRs atacando seu núcleo, que está dentro de seus drivers no nível do kernel. Em trabalhos futuros, planejamos avaliar resultados positivos, falsos negativos e falsos positivos produzidos por diferentes EDRs para medir o ruído que as equipes azuis enfrentam em cenários do mundo real. Além disso, o tempo de resposta dos EDRs será medido, pois alguns EDRs podem relatar ataques com grandes atrasos, mesmo que os tenham atenuado. Esses aspectos podem impactar significativamente o trabalho das equipes azuis e não têm recebido a cobertura necessária na literatura”.
Resultados
O artigo completo está disponível em hxxps://arxiv.org/pdf/2108.10422.pdf
Com agências de notícias internacionais