Os registros de telemetria, que faz a coleta, transmissão e medição de dados, estavam ausentes em 42% dos ataques cibernéticos analisados pela Sophos. Com o intuito de fornecer insights às empresas para se protegerem, a fornecedora global de segurança cibernética publicou o relatório intitulado The Active Adversary Report for Security Practitioners, que tem como base 232 casos de resposta a incidentes em 25 setores no período de janeiro de 2022 a 30 de junho deste ano.
O relatório descobriu que, em 82% desses casos, os cibercriminosos deliberadamente desativaram ou erradicaram a telemetria para ocultar suas ações. As organizações-alvo abrangeram 34 países em seis continentes, com 83% dos casos originados de organizações com menos de mil funcionários.
De acordo com a Sophos, “a telemetria fornece insights que podem ser usados pela empresa para administrar e gerenciar com eficiência sua infraestrutura de TI”. Portanto, a ausência de telemetria representa um desafio significativo, diminuindo a visibilidade das redes e sistemas organizacionais, especialmente à medida que o tempo entre o acesso inicial e a detecção — conhecido como tempo de permanência do invasor — continua a diminuir. Essa redução no tempo de resposta intensifica a urgência de os defensores combaterem efetivamente os incidentes.
John Shier, CTO de campo da Sophos, enfatizou a importância crítica do tempo para responder a ameaças ativas a tempo. Ele afirma que “a falta de telemetria só aumenta o tempo para as correções que a maioria das organizações não pode pagar”. “É por isso que o registro completo e preciso é essencial, mas estamos vendo que, com muita frequência, as organizações não têm os dados de que precisam”, diz ele.
Ataques de ransomware
O último relatório da Sophos também descobriu que o “tempo de permanência” para ataques de ransomware caiu 44% ano sobre ano, o que representa uma queda histórica de 72%. Isso indica que os invasores estão cientes de melhorias na capacidade das empresas de detectar ataques de ransomware. Isso também mostra que os atacantes têm uma “cartilha bem desenvolvida” e muitos podem ser bem praticados na realização desses ataques.
O relatório identificou que em 38% dos casos estudados o tempo de permanência dos ataques de ransomware é de cinco dias ou menos em “ataques rápidos”. Em contrapartida, em ataques de ransomware “lentos”, o tempo de permanência é superior a cinco dias, representaram 62% dos casos.
Veja isso
Falha de logs permite o roubo de dados do Google Cloud Platform
Hackers roubam logs de antivírus para saber se spyware foi detectado
Examinando esses ataques de ransomware rápidos e lentos, a Sophos observou uma variação mínima nas ferramentas, técnicas e binários living off the land (LOLBins, ou binários de vivendo fora da terra, em tradução livre) empregados pelos invasores. Embora isso sugira que os defensores não precisam revisar suas estratégias defensivas à medida que o tempo de permanência diminui, a falta de telemetria pode impedir tempos de resposta rápidos, levando ao aumento do dano.
Defesa contra ataques cibernéticos
“As mesmas defesas que detectam ataques rápidos se aplicarão a todos os ataques, independentemente da velocidade. A chave é aumentar o atrito sempre que possível. Ao dificultar o trabalho dos atacantes, o defensor adiciona um tempo valioso para responder, esticando cada estágio de um ataque”, disse Shier.
A Sophos também recomenda incluir inteligência acionável para os profissionais de segurança moldarem suas estratégias defensivas de forma eficaz. As organizações devem proteger tudo e também estar prontas para investigar prontamente com um plano de resposta em mãos.
