work-731198_1280-1.jpg

Execução de código e evasão de defesa são táticas usadas em ataque a endpoint

Cisco examina dados do MITER ATT & CK para sugerir os vetores de ameaças em que a equipe de segurança deve concentrar esforços
Da Redação
21/09/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Analistas estimam que até 2021, 3,5 milhões de funções de segurança cibernética não serão cumpridas. Portanto, os profissionais de segurança terão não apenas que travar uma luta aparentemente interminável contra os ciberataques, como também poderão ter que fazê-la com poucos funcionários.

A boa notícia é que existem ferramentas para ajudar a reduzir a tensão. Scanners automáticos, algoritmos e softwares baseados em inteligência artificial (IA) e aprendizado de máquina para gerenciar a segurança de endpoints e avaliações de risco, além de feeds que fornecem dados de ameaças em tempo real e muito mais.

Também existem frameworks, como o MITER ATT & CK, que fornecem uma base de conhecimento para compilar táticas e técnicas observadas em ataques atuais no mundo real. Este, por sinal, é o repositório de dados que a Cisco examinou em um novo relatório que descreve as tendências atuais de ataques a endpoints e a redes corporativas.

Nesta segunda-feira, 21, a Cisco publicou um conjunto de dados baseado nas classificações MITER ATT & CK combinadas com indicadores de compromisso (IoCs) testados por organizações que recebem alertas por meio de soluções de segurança da empresa em prazos específicos.

De acordo com a fabricante de dispositivos de rede, durante o primeiro semestre, ameaças sem arquivo foram o vetor de ataque mais comum usado contra a empresa. Os ataques sem arquivo incluem injeções de processo, violação de registro e ameaças como Kovter, um cavalo de Troia sem arquivo; Poweliks, um injetor de código que opera com base em processos legítimos; e o malware Node.js sem arquivo.

Veja isso
Falhas em roteador Cisco podem esgotar a memória do dispositivo
Firewalls da Cisco sob ataque logo após publicação de patch

Em segundo lugar, estão as ferramentas de uso duplo, incluindo o Metasploit, PowerShell, CobaltStrike e Powersploit. Ferramentas de teste de penetração legítimas, como o Metasploit, são benéficas para a segurança cibernética, mas, infelizmente, hackers também podem usar essas soluções para cometer crimes cibernéticos. Ferramentas como o Mimikatz, um sistema legítimo de autenticação e gerenciamento de credenciais, vêm em terceiro lugar, à medida que o software é transformado em arma de ataques para o roubo de credenciais.

Durante o primeiro semestre, a Cisco diz que esses vetores de ataque representam cerca de 75% dos IoCs de severidade crítica. Se essas ameaças forem aplicadas às classificações MITER ATT e CK, significa que a evasão de defesa aparece em 57% de todos os alertas IoC e a execução chega a 41%.

Como o malware moderno geralmente inclui técnicas de ocultação, bem como a capacidade de lançar cargas e adulterar processos existentes. “Por exemplo, um invasor que estabeleceu persistência usando uma ferramenta de uso duplo pode fazer o acompanhamento baixando e executando uma ferramenta de despejo de credencial ou ransomware no computador”, observa a Cisco.

Quando se trata de alertas de gravidade crítica, no entanto, as três categorias principais — evasão de defesa, execução e persistência — passam por uma reformulação. A execução tirou o primeiro lugar da evasão de defesa em ataques de gravidade crítica, com um aumento de 14%, elevando o total de alertas IoC para 55%. A evasão da defesa caiu de 12% a 45%, enquanto a persistência, o movimento lateral e o acesso à credencial aumentaram em 27%, 18% e 17%, respectivamente.

Além disso, algumas classificações foram rebaixadas na lista ou representaram menos de um por cento dos alertas IoC críticos, incluindo acesso inicial, escalonamento de privilégios e descoberta — também conhecido como reconhecimento — revelando uma mudança no foco quando se trata de ataques críticos na comparação com IoCs gerais.

Para se proteger contra ameaças de alto nível, a Cisco recomenda que os administradores usem políticas de grupo ou listas brancas para a execução de arquivos e, se a organização exigir ferramentas de uso duplo, políticas de acesso temporárias devem ser implementadas. Além disso, as conexões feitas entre os terminais devem ser monitoradas com frequência.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório