Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ Resposta a incidentes de segurança cibernética: lições aprendidas em 2023
Blogs4

Resposta a incidentes de segurança cibernética: lições aprendidas em 2023

Nota: O seguinte artigo irá ajudá-lo com: Resposta a incidentes de segurança cibernética: lições aprendidas em 2021

A SecureWorks anunciou os temas e tendências de incidentes de segurança cibernética registrados em 2021 para que você possa proteger melhor seus negócios em 2022.

Grandes provedores de serviços de resposta a incidentes têm uma visão única sobre ameaças e tendências em ataques de computador. Eles podem ver o modus operandi dos invasores evoluir ao longo do tempo e podem fornecer uma visão única.

VEJA: Resposta a incidentes de segurança: etapas críticas para recuperação de ataques cibernéticos (TechRepublic)

O SecureWorks cobriu mais de 450 incidentes de segurança em 2021 e publicou seus comentários sobre isso. As respostas a incidentes sempre fornecem alimento para reflexão sobre o aumento da segurança e são uma ótima fonte para saber quais são as ameaças atuais.

A maioria dos incidentes foi motivada financeiramente

Grandes 85% dos incidentes tratados pelo SecureWorks em 2021 foram orientados financeiramente, enquanto os ataques de ameaças patrocinados pelo governo representaram apenas 5% da atividade. Cerca de 9% restantes consistem em ações deliberadas ou acidentais de funcionários que causaram incidentes de segurança (Figura A).

Figura A

Compromisso inicial

Quarenta e três por cento do o inicial foi obtido por agentes de ameaças explorando vulnerabilidades em dispositivos voltados para a Internet. O roubo de credenciais ficou em segundo lugar com 18% do o inicial observado. O roubo de credenciais engloba o roubo de credenciais, mas também pode se referir a credenciais compradas na Dark Web ou a corretores de o inicial, ou obtidas por meio de ataques de força bruta ou ataques de pulverização de senha.

Esta é uma mudança real em relação ao que o SecureWorks observou em 2020: o o baseado em credenciais era a maneira mais comum de obter um comprometimento inicial em uma empresa-alvo (Figura B).

Figura B

Vários motivos podem explicar essa situação, de acordo com SecureWorks. Para começar, o aumento do uso da autenticação multifator pode ter levado os invasores a evitar o roubo de credenciais e procurar explorar vulnerabilidades que não exigem autenticação. Outra razão pode ser que é muito fácil explorar o código de prova de conceito publicado logo após a divulgação pública das vulnerabilidades. Essa possibilidade de ter rapidamente um código que explora uma vulnerabilidade, juntamente com a varredura em massa de alvos, pode levar rapidamente um invasor a explorar em larga escala dispositivos vulneráveis ​​em várias empresas ao mesmo tempo.

Por fim, o código de prova de conceito divulgado publicamente para explorar uma vulnerabilidade em dispositivos voltados para a Internet também pode gerar mais casos de resposta a incidentes, como aconteceu com a vulnerabilidade ProxyLogon em março de 2021.

Tendências de ameaças

Aqui estão as últimas tendências observadas pelo SecureWorks em ameaças de segurança cibernética.

Ransomware veio para ficar

Conforme observado por toda a segurança do computador em 2021, o ransomware é uma ameaça muito ativa e provavelmente permanecerá assim. Os dados de resposta a incidentes do SecureWorks não indicam nenhuma redução na atividade de ransomware, apesar de o governo dos EUA colocar o ransomware em prioridade semelhante ao terrorismo e vários invasores de ransomware serem capturados em 2021.

MFA mal configurado e comportamento do usuário são preocupações

O roubo e abuso de credenciais é o segundo método mais usado para obter o a uma empresa-alvo, mas a maioria desses os é bem-sucedida porque as organizações vítimas não implementaram a MFA e confiaram apenas na autenticação de fator único.

A MFA pode reduzir significativamente o abuso de credenciais válidas obtidas pelos invasores, mas precisa ser implementada adequadamente.

Os invasores encontram maneiras de contornar a MFA para atingir seus objetivos. Um método consiste em explorar protocolos de autenticação legados, como IMAP e SMTP, por exemplo. Esses protocolos podem estar em uso em empresas ou podem não ter sido desativados, o que é uma grande preocupação em relação à MFA, pois esses protocolos não podem aplicá-la.

Mesmo que a MFA seja implementada corretamente, o comportamento do usuário pode ser um problema e ajudar os invasores. Ataques bem-sucedidos na natureza foram testemunhados com o MFA sendo ignorado pelos invasores devido a várias notificações push do MFA que levaram os usuários a aprovar uma das notificações push.

O mau conhecimento da autenticação MFA também pode ajudar os invasores. O fenômeno de “fadiga de notificação” leva os usuários a aceitar qualquer aplicativo que solicite MFA. Usar notificações de MFA que solicitam um código do usuário em vez de uma opção de um clique (aceitar ou recusar) é uma maneira de mitigar esse risco.

Tenha cuidado extra com soluções em nuvem

Embora pareça atraente transferir recursos para soluções de nuvem gerenciadas, que fornecem controles de segurança oferecidos pelo provedor de nuvem, isso deve ser feito corretamente.

Uma inspeção cuidadosa de todos os componentes de segurança e controles oferecidos pelo provedor precisa ser feita. Os fundamentos de segurança devem estar lá, começando com os controlados e registro de atividades realizadas no serviço em nuvem.

Como prevenir ataques cibernéticos em 2022

O SecureWorks fornece as 20 principais recomendações em seu relatório.

  • Executando verificações regulares de vulnerabilidades. A exploração de vulnerabilidades tem sido o método de o inicial mais utilizado pelos invasores. As auditorias de sistemas e conteúdo da Web voltados para a Internet também devem ser feitas com frequência.
  • Monitore domínios falsificados recém-registrados na Internet. Um monitoramento cuidadoso de todos os novos domínios representando ou tentando abusar de uma empresa e suas marcas pode ajudar a descobrir tentativas de ataque antes mesmo de começarem.
  • Controle o o com cuidado e crie listas de permissões de endereços IP. A segmentação de rede também deve ser feita na infraestrutura de TI da empresa, para que um invasor que tenha o a uma parte da rede não consiga ar outra.
  • Melhore as estratégias e procedimentos de backup. Os invasores de ransomware geralmente tentam tornar os backups inúteis, além de criptografar os dados da empresa, portanto, boas estratégias de backup e armazenamento fora da rede são essenciais. O SecureWorks também levanta o problema de restaurar backups de dados limpos conhecidos: se feito muito rapidamente, pode destruir as evidências necessárias para uma boa resposta a incidentes.
  • Implemente o MFA corretamentee desabilitar e remover totalmente contas padrão ou genéricas.
  • Implemente a autenticação DKIM e SPF para e-mail. Isso é para evitar e-mails falsos enviados por invasores que se am pela empresa.

As recomendações gerais se aplicam como de costume: mantenha seus sistemas e software atualizados, implemente uma solução de detecção e resposta de endpoint e aplique o princípio de privilégio mínimo ao o à conta.

Table of Contents