A segurança cibernética não é algo que você faz apenas uma vez. É um processo contínuo que deve ser parte de tudo o que você faz. No entanto, ninguém tem recursos para fazer tudo completamente, assim, seu objetivo deve ser uma melhoria contínua.
A melhoria começa com a compreensão dos riscos e da ameaça ao ambiente. Isso significa entender seus adversários, seus objetivos e como eles realizam seus ataques.
Imagine um caso em que uma empresa tenha sido atingida por um surto de ransomware. A empresa está realmente lidando com um ataque direcionado com motivação financeira, mas o Ransomware pode estar sendo usado como uma capa para esconder atividades mais direcionadas. O alvo real é o dado delicado do cliente.
Então, o que acontece em cada fase do ataque?
Linha do tempo: meses antes da detecção
O primeiro objetivo do invasor é identificar metas potenciais para sua missão. Os atacantes são muitas vezes motivados por ganhos financeiros, acesso as informações delicadas ou intuito de danificar a marca ou qualidade da empresa.
O invasor pode coletar informações sobre a empresa em redes sociais, como por exemplo no LinkedIn, no próprio site corporativo, mapear a cadeia de suprimentos, obter planos de construção, informações sobre sistemas de segurança e pontos de entrada disponíveis. Eles podem até visitar o edifício da empresa, visitar um evento ou ligar para a secretária. O invasor pode até levantar uma empresa fictícia , registrar domínios e criar perfis falsos para fins de engenharia social.
Uma vez que o atacante determina quais as defesas estão no local da empresa, eles escolhem sua arma. O vetor selecionado é muitas vezes impossível de prevenir ou detectar. Pode ser uma exploit zero-day, uma campanha de phishing ou até mesmo subornar um empregado. Normalmente, há um impacto comercial mínimo.
Finalmente, o atacante está pronto para planejar uma série de ataques.
Linha do tempo: meses antes da detecção
Na segunda fase de um ataque cibernético, o atacante procura quebrar o perímetro corporativo e obter uma base de operações no ambiente.
Eles podem utilizar de diversos métodos para obter credenciais, usar credenciais válidas para acessar a infra-estrutura corporativa e baixar ferramentas para acessar o ambiente. Isso é praticamente irrastreável.
É muito típico que a organização alvo não consiga detectar ou responder ao ataque. Mesmo que seja detectado, é impossível deduzir que a sua organização tenha sido o alvo final. Na prática, o atacante sempre é bem sucedido.
A intrusão inicial é expandida para acesso remoto persistente a longo prazo.
Linha do tempo: meses ou semanas antes da detecção
Uma vez que o invasor estabeleceu uma conexão com a rede interna, eles procuram comprometer sistemas e contas de usuários. Seu objetivo é expandir a base e identificar os sistemas que hospedam os dados delicados e importantes.
O atacante procura servidores de arquivos para localizar arquivos de senha e outros dados confidenciais e mapeia a rede para identificar o ambiente de destino.
O atacante muitas vezes utiliza um usuário autorizado. Portanto, é muito difícil detectar o intruso nessa fase.
Linha do tempo: semanas ou dias antes da detecção
O atacante procura identificar e obter o nível de privilégio necessário para alcançar seus objetivos. Eles têm controle sobre os canais de acesso e as credenciais adquiridas nas fases anteriores.
Finalmente, o invasor ganha acesso aos dados de destino. Servidores de e-mail, servidores de Arquivos e banco de dados do cliente estão comprometidos.
Linha do tempo: Dia 0
O atacante chega ao estágio final de sua missão. Eles infiltram-se nos dados do cliente, corrompem sistemas críticos e interromperam as operações comerciais. Em seguida, eles destroem todas as provas com Ransomware.
O custo para a empresa aumenta exponencialmente se o ataque não for anulado.
Neste exemplo, o alvo foi atingido antes da detecção. Isso é típico. As violações de dados são extremamente difíceis de detectar, porque os invasores usam ferramentas comuns e credenciais legítimas.
É por isso que você precisa ficar alerta o tempo todo. Quando se trata de segurança cibernética, você nunca terá finalizado seu trabalho.
Este exemplo de ficção é baseado na experiência de casos da vida real e na experiência de nossos hackers éticos. O teste F-Secure Red Team é um exercício para ficar de olhos abertos, onde as capacidades defensivas das empresas são testadas usando o mesmo modelo que os hackers reais usam.
Dê uma olhada nesse vídeo referente a equipe de hackers éticos da F-Secure Red:
Texto traduzido por: Felipe Santana
Fonte:
Deixe uma resposta