As equipes de segurança estão lutando para acompanhar as mudanças em suas redes. Trabalho híbrido, multi-cloud, a explosão de dispositivos IoT (Internet das coisas), BYOD (Traga seu próprio dispositivo) e 5G. Enquanto isso, os cibercriminosos estão passando por sua própria transformação digital. Machine learning e desenvolvimento ágil, novos ataques sofisticados, combinados com as ofertas de crime como serviço da Dark Web significam que os ataques são mais rápidos, mais difíceis de detectar e melhor em encontrar e explorar vulnerabilidades. Na verdade, um relatório recente de ameaças do FortiGuard Labs demonstrou que o ransomware aumentou dez vezes no ano passado.
Compreendendo a Cadeia de Ataque MITER
Hoje, a defesa eficaz contra ataques cibernéticos exige que as equipes de segurança trabalhem de maneira mais inteligente, em vez de árdua. As estratégias dos cibercriminosos visam todos os elos em uma cadeia de ataque, desde a coleta de informações e obtenção de acesso, passando por mover lateralmente pela rede para descobrir recursos a serem direcionados, até fugir da detecção enquanto exfiltram dados. As estratégias de segurança tradicionais, no entanto, tendem a se concentrar apenas em alguns componentes de ataque, o que dá aos criminosos uma vantagem significativa.
Para enfrentar os desafios de hoje, as equipes de segurança precisam de uma combinação de ferramentas, estratégia, automação e profissionais qualificados para monitorar toda a cadeia de ataque e automatizar o máximo possível do processo para que os recursos humanos possam se concentrar em análises e respostas de ordem superior. A escolha de tais ferramentas, no entanto, requer a compreensão de toda a extensão da cadeia de ataque e como as vulnerabilidades em cada um de seus links podem comprometer a segurança de sua rede.
Para ajudar nisso, o MITER mapeou a cadeia de ataque em quatorze elos discretos, junto com exemplos dos tipos de ataques que visam cada elo dessa cadeia. Para combater com eficácia as ameaças avançadas de hoje, as equipes de segurança precisam se familiarizar com cada elo da cadeia e mapeá-los diretamente para áreas funcionais e ferramentas em suas próprias redes.
Reconhecimento: esta é a fase de planejamento do inimigo para ataques futuros. As atividades se concentram na coleta de informações que podem ser realizadas ativa ou passivamente, dependendo da necessidade. Especificamente, o ator deseja aprender mais sobre a organização, incluindo sua infraestrutura e funcionários. Quanto mais informações o adversário souber sobre o alvo, maiores serão as chances de um ataque bem-sucedido.
Desenvolvimento de recursos: antes que um invasor possa iniciar sua missão cibernética, ele precisa ter certeza de que possui os recursos certos para executá-la. O invasor precisará determinar se criará, comprará, roubará ou comprometerá os recursos certos para apoiar a missão. Os exemplos podem ser coisas como domínios, serviços da web, VPNs, infraestrutura, contas / e-mails, malware e exploits.
Acesso inicial: explorar vulnerabilidades conhecidas em servidores, comprometer sites ou aplicativos, ou tirar proveito de ataques de spearphishing bem-sucedidos, permitem que os invasores se firmam na borda da rede.
Execução: é o ponto em que um invasor executa um binário, comando ou script para iniciar o processo de reconhecimento e exploração da rede.
Persistência: depois que um invasor estabelece uma posição segura, o próximo objetivo é evitar a detecção. Criar ou manipular contas, aplicar rootkits, usar chaves de execução ou explorar ferramentas como shimming de aplicativos permitem que os invasores persistam no local enquanto exploram a rede em busca de alvos em potencial.
Escalonamento de privilégios: o acesso básico não permite que um invasor tenha muitas oportunidades de explorar a rede. Para mover-se pela rede e acessar recursos que valem a pena roubar, um invasor precisa de privilégios de rede mais altos.
Evasão de defesa: para se mover por uma rede sem ser detectado, especialmente ao exfiltrar dados, os ataques precisam evitar a detecção por coisas como análises comportamentais e ferramentas IPS. Técnicas como limpar arquivos, aprender e simular comportamentos normais de tráfego ou desabilitar ferramentas de segurança são apenas algumas das ferramentas disponíveis para os hackers de hoje.
Acesso à credencial: em muitas organizações, os dados críticos e outros recursos são protegidos por uma parede de segurança que exige credenciais apropriadas para acesso. Infelizmente, obter acesso às credenciais nem sempre é tão difícil. Eles são armazenados em arquivos ou em um registro que os invasores podem explorar, técnicas como a interceptação permitem que os criminosos cibernéticos interceptem o tráfego para descobrir credenciais e a manipulação da conta pode envolver coisas como adicionar ou modificar as permissões da conta que está sendo usada para acessar a rede.
Descoberta e movimento lateral: nem todos os dados existem no segmento da rede que foi invadido. Muitas das mesmas técnicas usadas até este ponto são usadas novamente para determinar onde existem recursos valiosos e então permitir que um invasor se mova lateralmente entre os segmentos de rede, sejam eles locais para a violação ou em algum data center físico ou virtual remoto.
Coleta e Exfiltração: Depois que um invasor identifica uma carga útil, ele precisa coletar os dados necessários e extraí-los da rede sem ser detectado. Geralmente, essa é a parte mais complicada do processo, pois pode envolver grandes quantidades de dados. Mas se um cibercriminoso elaborou cuidadosamente cada elemento de ataque até esse ponto, ele geralmente consegue permanecer dentro de uma rede comprometida por meses, movendo lentamente os dados para outros recursos que estão sob menos escrutínio e, eventualmente, para fora da rede.
Comando e controle: a etapa final é para os invasores cobrirem seus rastros completamente. Proxies multi-hop, ofuscação de dados e exfiltração de vários estágios são apenas algumas das técnicas que os cibercriminosos usam para garantir que os dados roubados não possam ser rastreados e rastreados até eles.
Impacto: este link na cadeia ajuda a compreender o impacto geral que o invasor criará se o ataque for bem-sucedido. O adversário pode estar tentando manipular ou destruir seus dados e / ou sistemas. Eles também podem tentar interromper seus processos de negócios.
Trabalhando de maneira mais inteligente ao compreender a Cadeia de Ataque MITER
O tratamento de toda a cadeia de ataque precisa ser combinado com a compreensão de como a rede funciona, incluindo o impacto que os requisitos de negócios futuros terão na rede. O mapeamento dessas funções para a cadeia de ataque permite que as equipes de segurança pensem de forma abrangente sobre as ameaças à segurança.
Dividir a segurança nos quatorze elos da cadeia de ataque MITER tem dois objetivos.
A primeira é projetar o máximo possível de risco para fora da rede, abordando os pontos fracos inerentes a cada elo da cadeia de ataque antes que ocorra um ataque. Isso pode incluir protocolos de proteção para evitar sua exploração, desligando portas não utilizadas e definindo a linha de base de todo o tráfego conhecido para que novos aplicativos ou privilégios crescentes possam ser identificados. Cada uma dessas atividades pode ser mapeada para vários elos da cadeia de ataque. O mesmo pode acontecer com a análise comportamental, que pode identificar quando um dispositivo começa a se comportar de maneira estranha, como enviar dados por FTP para fora da rede. Até mesmo atividades como correção ou substituição de dispositivos vulneráveis e assinatura de feeds de inteligência de ameaças para que você esteja sintonizado com as metodologias de ataque atuais e o malware podem ser mapeados para vários links na cadeia de ataque.
O segundo objetivo é aplicar a segurança estrategicamente para que menos ferramentas de segurança possam lidar com mais desafios. Isso permite que você mantenha sob controle o número de consoles de gerenciamento e orquestração que você precisa monitorar. Ele também aprimora sua capacidade de implementar IA e machine learning, como detecção de endpoint e tecnologias de resposta, para enfrentar os desafios em velocidades digitais. Ferramentas como Network Access Control e Zero Trust Network garantem que você esteja ciente de todos os dispositivos em sua rede, enquanto os dispositivos SIEM garantem que a inteligência contra ameaças seja dinamicamente coletada e correlacionada a partir de todos os dispositivos implantados em todos os cantos da rede. Lembre-se de que, depois de escolher as tecnologias certas e ter as configurações e registros adequados, é igualmente importante que você tenha as pessoas e os processos certos para garantir o retorno do investimento com essas tecnologias. Lembre-se de que uma forte defesa cibernética é composta por Pessoas, Processos e Tecnologias.
Ao mesmo tempo, a consistência na implementação e aplicação da política de segurança em diferentes ecossistemas de rede é crítica. Por exemplo, você deve implantar a mesma solução NGFW em todas as partes de sua rede, seja física ou virtual. Isso garante que os protocolos de segurança e a aplicação sejam aplicados de forma consistente e que você possa monitorar e gerenciar seus sistemas por meio de um único console central.
Abordando a segurança estrategicamente
Claro, esta abordagem estratégica pode exigir repensar radicalmente sua implantação de segurança. As ferramentas devem ser totalmente integradas para que a rede possa identificar e tratar as ameaças à segurança como um sistema unificado. Uma rede de autocura requer dispositivos de segurança para compartilhar e correlacionar inteligência de ameaças para identificar e monitorar cada dispositivo, rastrear aplicativos, detectar malware, isolar dispositivos infectados e coordenar respostas em uma ampla variedade de ecossistemas de rede, desde infraestruturas de várias nuvens, plataformas e aplicativos, para funcionários remotos e dispositivos IoT, para filiais de última geração conectadas à nuvem e recursos físicos por meio de SD-WAN seguro. A inteligência contra ameaças e a resposta também precisam ser direcionadas a cada elo da cadeia de ataque do MITER. E, onde possível, a IA e o machine learning precisam ser aplicados para que sua estrutura de segurança integrada possa responder a ameaças em velocidades digitais e os recursos humanos possam fornecer supervisão crítica.
A Cadeia de Ataque MITER e a mudança para o pensamento proativo
Uma violação que resulte na perda de dados pode ocorrer em minutos ou horas. E ainda assim, pode levar semanas ou meses para que a maioria das violações de segurança seja detectada. Nesse momento, os criminosos e seus dados já se foram. A única maneira de superar esse desafio é mudar de uma abordagem tática tradicional que depende de ferramentas de segurança legadas isoladas para uma estratégia integrada que permite ver e controlar todo o seu ambiente de rede, link por link, para identificar comportamentos anômalos e impedir automaticamente os invasores antes que eles consigam escalar a cadeia de ataque.