Artigos



5 Fases de um ataque cibernético: A visão do atacante

A segurança cibernética não é algo que você faz apenas uma vez. É um processo contínuo que deve ser parte de tudo o que você faz. No entanto, ninguém tem recursos para fazer tudo completamente,  assim, seu objetivo deve ser uma melhoria contínua.

A melhoria começa com a compreensão dos riscos e da ameaça ao ambiente. Isso significa entender seus adversários, seus objetivos e como eles realizam seus ataques.

Imagine um caso em que uma empresa tenha sido atingida por um surto de ransomware. A empresa está realmente lidando com um ataque direcionado com motivação financeira, mas o Ransomware pode estar sendo usado como uma capa para esconder atividades mais direcionadas. O alvo real é o dado delicado do cliente.

Então, o que acontece em cada fase do ataque?

cyber attack, data breach

Fase 1: Recon (Reconhecimento)

Linha do tempo: meses antes da detecção

O primeiro objetivo do invasor é identificar metas potenciais para sua missão. Os atacantes são muitas vezes motivados por ganhos financeiros, acesso as informações delicadas ou intuito de danificar a marca ou qualidade da empresa.

O invasor pode coletar informações sobre a empresa em redes sociais, como por exemplo no LinkedIn, no próprio site corporativo, mapear a cadeia de suprimentos, obter planos de construção, informações sobre sistemas de segurança e pontos de entrada disponíveis. Eles podem até visitar o edifício da empresa, visitar um evento ou ligar para a secretária. O invasor pode até levantar uma empresa fictícia , registrar domínios e criar perfis falsos para fins de engenharia social.

Uma vez que o atacante determina quais as defesas estão no local da empresa, eles escolhem sua arma. O vetor selecionado é muitas vezes impossível de prevenir ou detectar. Pode ser uma exploit zero-day, uma campanha de phishing ou até mesmo subornar um empregado. Normalmente, há um impacto comercial mínimo.

Finalmente, o atacante está pronto para planejar uma série de ataques.

data breach, cyber attack, spearphishing

Fase 2: Intrusion and presence (Intrusão e Presença)

Linha do tempo: meses antes da detecção

Na segunda fase de um ataque cibernético, o atacante procura quebrar o perímetro corporativo e obter uma base de operações no ambiente.

Eles podem utilizar de diversos métodos para obter credenciais, usar credenciais válidas para acessar a infra-estrutura corporativa e baixar ferramentas para acessar o ambiente. Isso é praticamente irrastreável.

É muito típico que a organização alvo não consiga detectar ou responder ao ataque. Mesmo que seja detectado, é impossível deduzir que a sua organização tenha sido o alvo final. Na prática, o atacante sempre é bem sucedido.

A intrusão inicial é expandida para acesso remoto persistente a longo prazo.

data breach, cyber attack, password

Fase 3: Lateral movement (Movimento lateral)

Linha do tempo: meses ou semanas antes da detecção

Uma vez que o invasor estabeleceu uma conexão com a rede interna, eles procuram comprometer sistemas e contas de usuários. Seu objetivo é expandir a base e identificar os sistemas que hospedam os dados delicados e importantes.

O atacante procura servidores de arquivos para localizar arquivos de senha e outros dados confidenciais e mapeia a rede para identificar o ambiente de destino.

O atacante muitas vezes utiliza um usuário autorizado. Portanto, é muito difícil detectar o intruso nessa fase.

data breach, attackers view, red team

Fase 4: Privilege escalation (Escalação de privilégio)

Linha do tempo: semanas ou dias antes da detecção

O atacante procura identificar e obter o nível de privilégio necessário para alcançar seus objetivos. Eles têm controle sobre os canais de acesso e as credenciais adquiridas nas fases anteriores.

Finalmente, o invasor ganha acesso aos dados de destino. Servidores de e-mail, servidores de Arquivos e banco de dados do cliente estão comprometidos.

data breach, attackers view, keylogger

Fase 5: Complete mission (Missão completa)

Linha do tempo: Dia 0

O atacante chega ao estágio final de sua missão. Eles infiltram-se nos dados do cliente, corrompem sistemas críticos e interromperam as operações comerciais. Em seguida, eles destroem todas as provas com Ransomware.

O custo para a empresa aumenta exponencialmente se o ataque não for anulado.

Neste exemplo, o alvo foi atingido antes da detecção. Isso é típico. As violações de dados são extremamente difíceis de detectar, porque os invasores usam ferramentas comuns e credenciais legítimas.

É por isso que você precisa ficar alerta o tempo todo. Quando se trata de segurança cibernética, você nunca terá finalizado seu trabalho.

Este exemplo de ficção é baseado na experiência de casos da vida real e na experiência de nossos hackers éticos. O teste F-Secure Red Team é um exercício para ficar de olhos abertos, onde as capacidades defensivas das empresas são testadas usando o mesmo modelo que os hackers reais usam.

Dê uma olhada nesse vídeo referente a equipe de hackers éticos da F-Secure Red:

Texto traduzido por: Felipe Santana

Fonte:

5 phases of a cyber attack: The attacker’s view





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2019. Todos os direitos reservados.