Mandiant divulga M-Trends 2016

Paulo Brito
25/02/2016

Relatório da Mandiant aponta queda no número de dias para descoberta de ameaças, persistência de ataques no sistema Windows e violações de dados de pessoas comuns

Nos últimos anos, houve aumento significativo das estatísticas que avaliam o número médio de dias até que as empresas tenham conhecimento da violação de suas informações. Em 2015, esse número apresentou uma queda considerável para 146 dias, contra 205, 229, 243 e 416 dos anos anteriores.

Apesar de detectar os ataques em menor tempo, o trabalho conduzido pela Mandiant ao longo do ano passado concluiu que ainda há muito a ser feito:

  • Menos de 10% das organizações reconhecem os alertas indicadores de uma atividade viral e respondem corretamente;
  • Na maioria dos testes realizados pela Mandiant em 2015, as companhias que não tinham conhecimento prévio do teste, não conseguiram detectar ataques em seu raio de cobertura, mesmo quando esses ataques resultaram em invasão e violação completa;
  • A quantidade de organizações sujeitas aos ataques aumentou exponencialmente em 2015, mesmo antes do anúncio dos recentes casos de invasão de dados reportados no Hollywood Presbyterian Medical Center (EUA);
  • Diversos ataques direcionados resultaram no roubo de informações pessoalmente identificáveis (PII, sigla em inglês) realizadas por atores ligados à China. Nestes casos, o volume de PII roubado indicou que o objetivo era obter dados em massa de indivíduos específicos;
  • Ao longo dos últimos anos, observou-se o avanço de ameaças na infraestrutura de dispositivos de rede, como roteadores, switches e firewalls. Estes componentes são críticos na infraestrutura empresarial e, muitas vezes, ignorados pelos incidentes durante uma investigação, especialmente quando eles identificam outros backdoors ou meios de acesso remoto usados pelos atores da ameaça;
  • O aumento de grupos de ataque persuadindo prestadores de serviços terceirizados para invadir as redes de seus clientes é uma tendência que tem crescido, uma vez que as organizações se tornam dependentes destes profissionais em diversos segmentos;
  • Técnicas para invadir dispositivos que utilizam o sistema Windows continuam persistindo, mesmo as mais simples para criar ou modificar um serviço, bem como adicionar arquivos maliciosos a chaves de registro;
  • Ter uma equipe especializada em ciberataques ajuda as empresas a garantir melhor defesa, submetendo o seu programa de segurança para um cenário de ataque realista crível e relevante.

O relatório aponta que em 2015 mais ataques se tornaram públicos e as localidades e motivos são os mais diversos. Cibercriminosos também extorquiram inúmeras vítimas ao cobrar grandes quantias de dinheiro em troca de não divulgarem as informações roubadas.

A Mandiant também elegeu dez ações aprendidas durante investigação de roubo de dados:

  • Confirmar se realmente existe uma violação. Não é incomum ver tentativas de extorsão não fundamentadas;
  • Ter em vista que há um ser humano por trás da ameaça, que pode reagir de diversas formas. Portanto há de se avaliar como melhor responder ao ataque;
  • Tempo é crítico. Pode ser que a equipe precise trabalhar noites e finais de semanas, mas é essencial haver um cuidado com a fadiga do time;
  • Permanecer focado. Avalie se as tarefas que está priorizando ajudarão a mitigar, detectar, responder ou conter o ataque;
  • Avaliar cuidadosamente para envolver o cibercriminoso. Alguns deles não esperam obter resposta, outros sim. Se optar por responder, considere a participação de reforço e aconselhamento legal em todas as comunicações.
  • Ter uma lista de especialistas pronta. Identifique e provisione verba para apoio forense, legal e de relações públicas para apoiar a empresa em caso de violação;
  • Considerar todas as questões antes de pagar por um resgate. Não há garantia de que os cibercriminosos não voltarão para extorquir mais dinheiro, ou que não irão simplesmente vazar os dados;
  • Ter um forte e segmentado controle dos backups. É comum ver sistemas que contêm backups sendo parte do mesmo ambiente comprometido pelo cibercriminoso. Restrinja o acesso ao ambiente de backup para mitigar riscos;
  • Após o incidente ser controlado, aumentar a segurança imediatamente;
  • Se expulsar, podem atacar de maneira diferente. Não deixe de operacionalizar e melhorar as soluções temporárias que foram implantadas para tratar o ataque naquele momento.

Conclusão
Ano após ano, os cibercriminosos tentam implementar novas técnicas para suas operações maliciosas, fazendo com que as equipes de segurança tenham que permanecer alertas e melhor equipadas para combater as ameaças. Além disso, a tecnologia depende de mudanças em um ritmo acelerado, cobrando novas descobertas a cada momento para garantir a segurança. Este jogo torna a indústria de segurança única e desafiadora.

Mesmo com a queda do número médio de dias para descobertas dos ataques ao longo dos últimos cinco anos, a estatística de 146 dias registrada em 2015 ainda é muito grande e a preocupação das organizações violadas, agora, deve ser responder outras perguntas, como os fatores que levam os dados a serem roubados, como foram violados e como reverter a situação. As violações também começaram a afetar empresas médias e pessoas comuns, transformando o foco em segurança em um assunto geral.

Compartilhar: