Abaixo está uma lista das ameaças de segurança cibernética mais insidiosas e vulnerabilidades internas, e como proteger sua rede com sucesso de ambas.
Há uma zona de guerra. No jogo online de gato e rato aparentemente interminável, a inteligência precisa continua sendo a melhor ferramenta para derrotar um intruso em seu próprio jogo.
Aqui está um detalhamento das seis principais ameaças cibernéticas de hoje e dicas sobre como identificá-las e responder a elas.
1. Ransomware
O ransomware é facilmente a maior ameaça a uma rede porque oferece aos invasores a maior recompensa possível e uma probabilidade relativamente baixa de serem pegos. “O nível de habilidade para fazer esse tipo de coisa também é muito baixo”, disse Andy Rogers, consultor sênior da empresa de segurança cibernética e conformidade Schellman. do que estar disposto a garantir que você tenha um gatilho. Ferramentas necessárias para campanhas de ransomware.”
O risco para esses “provedores de serviços” é mínimo porque eles próprios não lançam nenhum ataque. “É um negócio muito doce para eles”, disse ele. Além disso, os pagamentos vêm em criptomoedas, dificultando o rastreamento.
Ransomware é uma das indústrias criminosas mais lucrativas do mundo devido ao seu anonimato e pagamentos potencialmente altos. “Muitos ataques recentes de alto perfil nas cadeias de suprimentos, como o Colonial Pipeline em 2021, foram ataques de ransomware nos quais unidades de disco rígido (HDDs) e unidades de estado sólido (SDDs) são criptografadas e os hackers as usam para exigir resgate. 440 milhões de dólares em criptomoeda”, observou Rogers.
Estabelecer políticas e procedimentos de segurança sólidos, incluindo treinamento de conscientização de segurança, é a melhor maneira de evitar ser vítima de ransomware. Rogers recomenda aplicar patches em sistemas e aplicativos mensalmente e isolar sistemas vulneráveis que não podem ser corrigidos de sistemas e dados críticos. “Faça backup de seus dados regularmente e de uma maneira que não possa ser gravada por ransomware”, acrescentou.
2. Botnets Zumbis
Botnets são criados para executar ações maliciosas específicas, como ataques distribuídos de negação de serviço (DDoS), keylogging e spam. “Esses tipos de ameaças são potencialmente prejudiciais porque podem ser usados para roubar sua identidade ou paralisar uma rede inteira com um único ataque”, disse Eric McGee, engenheiro de rede sênior da TRG Datacenters, um provedor de serviços de data center.
Cada computador em uma botnet é descrito como um zumbi porque o computador e seu proprietário não sabem que o computador está executando ações maliciosas de forma submissa e imprudente. Dispositivos inteligentes de Internet das Coisas (IoT) são alvos particularmente atraentes para ataques de botnet.
“Ignorar a segurança dos dispositivos IoT é fácil, mas esses dispositivos geralmente são a maneira mais fácil de um invasor obter acesso a um sistema”, adverte McGee.
Ele recomenda evitar botnets em redes IoT, limitando a capacidade de cada dispositivo de abrir conexões de entrada e exigindo senhas fortes para todas as contas conectadas.
3. Processos e políticas desatualizados
Processos e políticas manuais antiquados e isolados representam uma ameaça séria, embora amplamente autoinfligida, à segurança cibernética. “O número de vulnerabilidades emergentes e explorações potenciais cresceu exponencialmente”, disse Robert Smallwood, vice-presidente de tecnologia da General Dynamics (GDIT). “Os processos e políticas das organizações precisam permitir agilidade e velocidade para que as organizações possam simplificar e responder rápida e automaticamente às ameaças emergentes.”
As organizações que ficam para trás ou até mesmo ignoram completamente a modernização empresarial e os processos de atualização correm o risco de assumir dívidas técnicas, expandindo a superfície de ataque da rede.
Smallwood observou que muitas empresas continuam lutando com políticas rígidas e desatualizadas enquanto não aproveitam o ambiente híbrido complexo e automatizado que compõe as redes modernas. “Além disso, muitas organizações fornecem exceções de política para protocolos ou dispositivos legados, mas não fornecem mitigação adequada de ameaças, ignorando medidas de segurança como autenticação multifator”, acrescentou.
Como uma tarefa essencial de gerenciamento de mudanças, os processos críticos devem ser revisados regularmente. “À medida que ocorrem mudanças que afetam a rede, processos e estratégias precisam ser avaliados”, disse Smallwood. Para algumas organizações, isso pode exigir uma avaliação de todos os processos relacionados à rede. “Nesses casos, é melhor começar com práticas típicas de gerenciamento de serviços de TI… e qualquer processo que dependa muito de atividades manuais.”
4. Ataque man-in-the-middle
Em um ataque man-in-the-middle (MTM), um terceiro intercepta as comunicações entre duas partes desavisadas para espionar ou alterar os dados que estão sendo trocados. Essa é uma tarefa que pode ser executada de várias maneiras, como falsificação de endereços IP, uso de servidores proxy maliciosos ou monitoramento de Wi-Fi.
Os ataques MTM podem ser relativamente simples, como sniffing de credenciais para roubar nomes de usuário e senhas. Em um nível mais alto, o MTM pode ser usado para criar um ardil sofisticado que redireciona as vítimas para um site falso, mas altamente autêntico, projetado para atingir um objetivo maligno específico.
Qualquer forma de ataque MTM pode ser devastadora, pois uma vez dentro da rede, um intruso pode atacar lateralmente, começando em uma parte da rede e descobrindo vulnerabilidades que permitem migrar para outras áreas.
“Como os invasores fazem login com credenciais ‘válidas’, geralmente é difícil detectar invasões, então eles têm tempo para se aprofundar na rede”, disse Benny Czarny, CEO da OPSWAT, empresa especializada em proteger redes de infraestrutura de dados críticos.
Os ataques MTM são frequentemente negligenciados e subestimados, disse Keatron Evans, principal pesquisador de segurança da empresa de treinamento em segurança Infosec Institute. “As pessoas pensam que [ameaças] podem ser resolvidas criptografando dados em trânsito, mas isso só resolve uma pequena parte do problema”, disse ele.
Outro equívoco é que, uma vez que uma organização migra para serviços em nuvem, as ameaças baseadas em rede desaparecem magicamente. “Não é verdade”, advertiu Evans. “Seja diligente mesmo depois de migrar para serviços em nuvem.”
Para evitar ataques MTM, Evans recomenda adicionar segurança baseada em porta por meio de espionagem de DHCP e inspeção do protocolo DARP (Dynamic Address Resolution Protocol) e atualizar para IPv6 o mais rápido possível. Ele também sugeriu a substituição do ARP, um facilitador chave de ataques man-in-the-middle baseados em rede, por um novo protocolo chamado Neighbor Discovery Protocol (NDP).
5. Compromisso de e-mail comercial
O comprometimento de e-mail comercial (BEC) é uma séria ameaça cibernética enfrentada por empresas de todos os tamanhos em todos os setores. “À medida que as empresas adotam cada vez mais estratégias de acesso condicional, como single sign-on, o escopo e o impacto financeiro da fraude BEC estão se expandindo”, disse Jonathan Hencinski, diretor de detecção e resposta a ameaças da empresa de segurança Expel. Cibernética de detecção e resposta gerenciada.
Os ataques BEC levam diretamente à divulgação de credenciais. O tipo de ataque mais difícil de detectar é quando um invasor entra pela porta da frente com credenciais válidas. Os invasores BEC usam VPNs e provedores de hospedagem para contornar as políticas de acesso condicional.
“Uma abordagem comum para esse tipo de ataque é usar protocolos legados para contornar a autenticação multifator (MFA) no Office 365”, disse Hencinski. “Uma vez que os invasores comprometem as credenciais e entram na rede, eles podem obter acesso a controles críticos e informações confidenciais em toda a organização.”
Os ataques BEC podem atacar qualquer rede a qualquer momento. “Desde 2019, vimos um aumento de 50% no número de pessoas acessando contas comprometidas usando serviços VPN e provedores de hospedagem”, disse Hencinski. “Usando esses serviços, os invasores podem ignorar as políticas de acesso condicional que negam logins em determinados países por meio de registros de IP geográficos”.
A detecção de tentativas de BEC é um processo simples de três etapas. “O primeiro passo é a inspeção de e-mail para prevenir e detectar e-mails de phishing que tentam roubar credenciais de funcionários e identificar quando os agentes de ameaças estão usando as contas dos funcionários para enviar e-mails de phishing”, disse Hencinski. A segunda etapa é o monitoramento de autenticação para detectar o uso de credenciais roubadas. “O terceiro é o monitoramento de contas para detectar fortes sinais de aquisições de contas do BEC”, observou ele.
6. Expansão da ferramenta
A proliferação de ferramentas e os líderes de TI e rede lutando para gerenciar dezenas de diferentes tecnologias de proteção de rede podem ter dificuldades para atingir o objetivo de se tornar uma empresa à prova de ataques. Amit Bareket, CEO e cofundador do provedor de serviços de segurança cibernética Perimeter81, alerta que a proliferação de ferramentas e a falta de gerenciamento simples de segurança cibernética criam complexidade de rede que pode expor as equipes de TI e segurança a ataques cibernéticos devastadores.
Bareket apontou para um estudo recente de sua organização que descobriu que 71% dos CIOs e executivos relacionados acreditam que um grande número de ferramentas de rede dificulta a detecção de ataques ativos ou a defesa contra violações de dados.
De acordo com Keith Mularski, diretor administrativo de segurança cibernética da EY Consulting, aderir às práticas básicas de segurança continua sendo a melhor maneira de se defender contra todos os tipos de ameaças cibernéticas. “Isole sistemas e redes de missão crítica da Internet e controle estritamente quem ou o que tem acesso”, aconselha.
Não confie em nada e direcione tudo em seu sistema operacional, aconselha Mularski. “Certifique-se de evitar ‘confiança implícita’ – todos e todos que acessam sua rede devem ser autenticados, não importa onde estejam, quando acessam ou quem são.”
Para melhorar a preparação, Mularski também recomenda a execução de simulações de programação. “Como atleta, você quer que sua equipe aumente sua memória muscular e execute procedimentos de resposta de forma rápida e intuitiva quando ocorrer uma violação ou incidente”.
Leia também: Quais são os diferentes tipos de linguagens de programação?
