A edição de 2022 do Top Most Dangerous Attack Techniques, uma das sessões mais concorridas da RSA Conference, maior conferência e feira de segurança da informação do mundo, que se encerra nesta quinta-feira, 9, contou, como ocorre todo ano, com palestrantes ilustres do ecossistema de cibersegurança. A abertura da sessão neste ano foi feita por Ed Skoudis, membro e diretor do SANS Institute, que fez uma homenagem a Alan Paller, fundador do SANS e moderador do painel por mais de uma década, que faleceu em novembro do ano passado, aos 76 anos.
A primeira a falar foi Katie Nickels, instrutora certificada e diretora de inteligência do SANS Institute, organizador da sessão. Nos últimos anos, os painéis SANS detalharam os chamados ataques vivendo fora da terra (LotL), nos quais os hackers usam ferramentas já presentes em uma organização. Com a vida fora dos ataques na nuvem, os hackers agora estão usando serviços de nuvem para explorar usuários desavisados. “Como defensora do tráfego de rede, é difícil para mim dizer se determinado tráfego na nuvem é benigno ou é um ataque”, disse Nickels. “Todos nós usamos serviços de nuvem em nossas organizações, e tudo passa por firewalls e proxies.”
A especialista sugeriu que as organizações estejam cientes dos comportamentos normais da nuvem e procurem potenciais discrepâncias para identificar riscos. Nickels observou que a autenticação multifator (MFA) é um recurso incrivelmente poderoso para a segurança, mas que está sendo cada vez mais explorada pelos invasores. Segundo ela, os invasores são capazes de contornar o MFA com vários métodos diferentes, incluindo uma abordagem conhecida como fail open (falha aberta). “Nos casos em que um sistema não consegue acessar o serviço MFA, ele irá ‘falhar aberto’ e permitirá o acesso sem o uso da credencial MFA”, explicou Nickels, sugerindo que as organizações tenham várias opções de backup de MFA para limitar o risco.
Em seguida foi a vez de Johannes Ullrich, reitor de pesquisa do SANS Institute, que identificou os backups como um vetor de ataque potencialmente perigoso. Ele explicou que os sistemas de backup têm acesso a terminais e servidores em uma empresa e representam um alvo atraente para invasores, observando que os invasores estão procurando vulnerabilidades conhecidas em sistemas de backup para explorá-las. Para mitigar o risco de um sistema de backup, Ullrich sugere que as organizações sejam diligentes em corrigir e garantir que o acesso ao sistema de backup seja seguro.
Veja isso
31ª RSA Conference tem 400 expositores de cyber
RSA faz spinoff de divisão antifraude e cria a Outseer
Outro ponto destacado no painel foi o risco ainda iminente dos stalkerwares e worms. Heather Mahalik, instrutora sênior e diretora de inteligência digital do SANS Institute, alertou que o que é antigo é novo novamente em segurança, pois stalkerware e worms ainda são preocupações para os usuários. Como proteção contra stalkerware e worms, Mahalik recomenda higiene básica de segurança cibernética, que inclui patches regulares, backups e ferramentas antimalware. Ela também aconselha que os usuários façam uso efetivo da autenticação multifator.
Stalkerware é um software que rastreia usuários e se tornou um grande problema novamente com o surgimento do Pegasus em 2021. Os worms de computador, que estão entre a antiga forma de risco de segurança cibernética, também continuam sendo um problema, de acordo com Mahalik.
Já Rob Lee, líder do corpo docente do SANS Institute, alertou que um risco emergente vem de proteger as comunicações não terrestres da internet. Com a guerra na Ucrânia, entre os primeiros alvos está a infraestrutura de internet terrestre. Ao citar a ajuda de Elon Musk à Ucrânia para manter a conexão de internet por meio do seu sistema Starlink, Lee advertiu que os hackers cada vez mais terão como alvo sistemas de satélite para internet, mas também sistemas terrestres. Lee observou que as organizações precisam considerar como garantir que possam continuar as operações, mesmo na ausência de acesso à internet.
O tom reinante nos discursos dos especialistas foi que pessoas e empresas precisam ser apaixonados por segurança cibernética, independentemente do vetor de ameaças, para que sejam bem sucedidos nesse desafio. Com agências de notícias e imprensa internacional.