Trace Id is missing

A identidade é o novo campo de batalha

Baixar
Compartilhar
Um homem e uma mulher sentados à mesa usando um laptop.

Cyber Signals Edição 1: Receba insights sobre as ameaças cibernéticas em constante evolução e saiba quais medidas tomar para proteger melhor sua organização.

Existe um descompasso preocupante entre os protocolos de segurança da maioria das organizações e as ameaças elas enfrentam. Embora os invasores tentem forçar a entrada nas redes, a tática preferida deles é mais simples: adivinhar senhas de login fracas. Medidas simples como a autenticação multifator são eficazes contra 98% dos ataques, mas apenas 20% das organizações as implementam integralmente (Relatório de Defesa Digital da Microsoft, 2021).

Na edição 1, você vai se informar sobre as atuais tendências de segurança e receber recomendações de pesquisadores e especialistas da Microsoft, incluindo:

  • Quem  está se aproveitando de ataques baseados em senha e identidade.
  • O que fazer para neutralizar os ataques, incluindo estratégias para pontos de extremidade, email e identidade.
  • Quando  priorizar diferentes medidas de segurança.
  • Onde  as variantes de ransomware entram e se proliferam nas redes, e como detê-las.
  • Por que  a proteção de identidade continua sendo a maior preocupação, mas também a maior oportunidade para melhorar sua segurança.

Atores de estados-nação aumentam os esforços para simplesmente coletar elementos de construção de identidade

Os ataques cibernéticos realizados por atores de estados-nação estão em ascensão. Apesar dos seus vastos recursos, esses adversários frequentemente dependem de táticas simples para roubar senhas que são fáceis de adivinhar. Dessa forma, eles ganham acesso rápido e fácil às contas dos clientes. No caso de ataques corporativos, penetrar na rede de uma organização permite que atores patrocinados por estados estabeleçam um ponto de apoio que podem usar para se mover verticalmente, entre usuários e recursos semelhantes, ou horizontalmente, obtendo acesso a credenciais e recursos mais importantes.

Spear phishing, ataques de engenharia social e pulverizações de senhas em massa são táticas básicas usadas por atores de estado para roubar ou adivinhar senhas. A Microsoft obtém insights sobre as táticas e técnicas dos invasores observando em quais eles investem e têm sucesso. Se as credenciais dos usuários são mal gerenciadas ou deixadas vulneráveis sem proteções importantes como autenticação multifator (MFA) e recursos sem senha, os estados-nação continuarão usando as mesmas táticas simples.

A necessidade de impor a adoção da MFA ou eliminar completamente o uso de senhas não pode ser superestimada, pois a simplicidade e o baixo custo dos ataques focados em identidade os tornam convenientes e eficazes para os atores. Embora a MFA não seja a única ferramenta de gerenciamento de identidades e acesso que as organizações devem usar, ela pode ser um poderoso elemento de inibição contra ataques.

O abuso de credenciais é uma característica do NOBELIUM, um adversário de estado-nação associado à Rússia. No entanto, outros adversários, como o DEV 0343 ligado ao Irã, também recorrem a pulverizações de senha. Observou-se atividades do DEV-0343 em empresas de defesa que produzem radares militares, tecnologia de drones, sistemas de satélite e sistemas de comunicação para resposta a emergências. Outras atividades visaram portos regionais de entrada no Golfo Pérsico e várias empresas de transporte marítimo e de cargas com foco comercial no Oriente Médio.
Detalhamento dos ataques cibernéticos baseados em identidade iniciados pelo Irã
Os países mais visados pelo Irã entre julho de 2020 e junho de 2021 foram os Estados Unidos (49%), Israel (24%) e a Arábia Saudita (15%). 8Saiba mais sobre esta imagem na página 4 do relatório completo

As organizações devem:

Habilitar a autenticação multifator: dessa forma, elas reduzem o risco das senhas caírem nas mãos erradas. Melhor ainda, eliminar completamente as senhas optando por MFA sem senha.
Auditar privilégios de conta: contas com acesso privilegiado, se comprometidas, tornam-se uma arma poderosa que invasores podem usar para ampliar o acesso a redes e recursos. Equipes de segurança devem auditar privilégios de acesso com frequência, usando o princípio de menor privilégio concedido para permitir que os funcionários desempenhem suas funções.
Revisar, reforçar e monitorar todas as contas de administrador de locatários: equipes de segurança devem revisar minuciosamente todos os usuários ou contas de administrador de locatários vinculadas a privilégios administrativos delegados para confirmar a autenticidade dos usuários e atividades. Eles devem, então, desativar ou remover privilégios administrativos delegados não utilizados.
Estabelecer e aplicar uma linha de base de segurança para reduzir riscos: estados-nação patrocinadores pensam a longo prazo e têm financiamento, vontade e escalabilidade para desenvolver novas estratégias e técnicas de ataque. Toda iniciativa de reforço da rede que seja adiada por causa da largura de banda ou burocracia acaba favorecendo esses adversários. Equipes de segurança devem priorizar a implementação de práticas de confiança zero, como MFA e atualizações para sistemas sem senha . Podem começar com contas privilegiadas para obter proteção rapidamente, depois expandir em fases incrementais e contínuas.

Os ataques de ransomware dominam o cenário, mas apenas algumas variantes predominam

A narrativa dominante parece ser que existem inúmeras novas ameaças de ransomware que superam as capacidades dos defensores. Contudo, as análises da Microsoft mostram que isso não é verdade. Há também uma percepção de que certos grupos de ransomware operam como uma única entidade monolítica, o que também não é verdade. O que existe é um mercado cibercriminoso onde diferentes agentes em cadeias de ataque padronizadas fazem escolhas intencionais. Eles são motivados por um modelo econômico que visa maximizar lucros com base na exploração das informações às quais têm acesso. O gráfico abaixo mostra como diferentes grupos lucram com várias estratégias de ataques cibernéticos e informações obtidas através de violações de dados.

Preços médios para diversos serviços de crime cibernético
Preços médios dos serviços de crimes cibernéticos à venda. Os invasores disponíveis para contratação custam a partir de US$ 250 por tarefa. Os kits de ransomware custam US$ 66 ou 30% do lucro. Dispositivos comprometidos começam em 13 centavos de dólar por PC e 82 centavos de dólar por dispositivo móvel. Spear phishing para aluguel varia de US$ 100 a US$ 1.000. Os pares de nome de usuário e senha roubados começam em 97 centavos de dólar por 1.000 pares, em média. Saiba mais sobre esta imagem na página 5 do relatório completo  

Dito isso, não importa a quantidade de ransomwares que existam ou as variantes envolvida. No fim das contas, tudo se resume a três vetores de entrada: força bruta no Remote Desktop Protocol (RDP), sistemas vulneráveis expostos à internet e phishing. Todos esses vetores podem ser mitigados com a proteção adequada das senhas, gerenciamento de identidades e atualizações de software, além de um conjunto completo de ferramentas de segurança e conformidade. Um tipo de ransomware só pode se tornar prolífico quando consegue acessar credenciais e tem a capacidade de se espalhar. A partir daí, mesmo que seja uma variante conhecida, pode causar muitos danos.

Mapeamento do comportamento de atores de ameaças desde o acesso inicial até o movimento lateral pelo sistema
Caminho do comportamento de atores de ameaças uma vez que o sistema é violado, desde o ponto de acesso inicial até o roubo de credenciais e movimento lateral pelo sistema. Traça um caminho persistente para capturar contas e adquirir a carga de ransomware. Saiba mais sobre esta imagem na página 5 do relatório completo

As equipes de segurança devem:

Entender que o ransomware se alastra por meio de credenciais padrão ou comprometidas: por isso, as equipes de segurança devem acelerar as proteções, como implementar MFA sem senha em todas as contas de usuários e priorizar funções executivas, administrativas e outros funções com privilégios.
Identificar como detectar anomalias reveladoras a tempo de agir: logins iniciais, movimentação de arquivos e outros comportamentos que introduzem ransomware podem parecer indistintos. No entanto, as equipes precisam monitorar anomalias e agir sobre elas rapidamente.
Ter um plano de resposta a ransomware e realizar exercícios de recuperação: vivemos na era da sincronização e compartilhamento na nuvem, mas cópias de dados são totalmente diferentes de sistemas de TI e bancos de dados. As equipes devem visualizar e praticar como são as restaurações completas.
Gerenciar alertas e agir rapidamente na mitigação: embora todos temam ataques de ransomware, o foco principal das equipes de segurança deve ser o fortalecimento de configurações de segurança fracas que permitem o sucesso do ataque. Elas devem gerenciar as configurações de segurança para que os alertas e detecções sejam respondidos da maneira adequada.
Curva de distribuição de proteção mostrando como a higiene básica de segurança ajuda a proteger contra 98% dos ataques
Proteja-se contra 98% dos ataques usando ferramentas antimalware, aplicando o princípio de menor privilégio, habilitando autenticação multifator, mantendo as versões atualizadas e protegendo os dados. Os 2% restantes da curva de distribuição incluem ataques atípicos. Saiba mais sobre esta imagem na página 5 do relatório completo
Obtenha mais orientações do líder principal de inteligência contra ameaças da Microsoft, Christopher Glyer , sobre como garantir a segurança da identidade.

Os insights são obtidos e as ameaças são bloqueadas usando mais de 24 trilhões de sinais obtidos diariamente

Ameaças em pontos de extremidade:
O Microsoft Defender para Ponto de Extremidade bloqueou mais de 9,6 bilhõesde ameaças por malware visando dispositivos de clientes empresariais e consumidores, entre janeiro e dezembro de 2021.
Ameaças por email:
O Microsoft Defender para Office 365 bloqueou mais de 35,7 bilhões de emails de phishing e outros emails maliciosos direcionados a clientes empresariais e consumidores, entre janeiro e dezembro de 2021.
Ameaças à identidade:
A Microsoft (Azure Active Directory) detectou e bloqueou mais de 25,6 bilhões de tentativas de invasão de contas de clientes empresariais através de força bruta em senhas roubadas, entre janeiro e dezembro de 2021.

Metodologia: Para os dados dos instantâneos de relatório, as plataformas da Microsoft, incluindo Defender e Azure Active Directory, forneceram dados anonimizados sobre atividades de ameaças, tais como tentativas de login por força bruta, phishing e outros emails maliciosos direcionados a empresas e consumidores, bem como ataques por malware ocorridos entre janeiro e dezembro de 2021. Os insights adicionais são dos 24 trilhões de sinais diários de segurança obtidos em toda a Microsoft, incluindo a nuvem, pontos de extremidade e a borda inteligente. Dados de autenticação forte combinam MFA e proteção sem senha.

Identidade Ransomware Estado-nação

Artigos relacionados

Cyber Signals Edição 2: Economia da extorsão

Escute os especialistas de campo sobre o desenvolvimento de ransomware como serviço. Desde programas e conteúdos maliciosos até intermediários de acesso e afiliados, conheça as ferramentas, táticas e alvos preferidos dos criminosos cibernéticos, além de receber orientações para proteger sua organização.
Saiba mais

Defendendo a Ucrânia: as primeiras lições da guerra cibernética

As últimas descobertas em nossos esforços contínuos de inteligência contra ameaças na guerra entre a Rússia e a Ucrânia e uma série de conclusões dos primeiros quatro meses reforçam a necessidade de investimentos contínuos e novos em tecnologia, dados e parcerias para apoiar governos, empresas, ONGs e universidades.
Saiba mais

Perfil de Especialista: Christopher Glyer

Como líder principal em inteligência contra ameaças com foco em ransomware no Centro de Informações sobre ameaças da Microsoft (MSTIC), Christopher Glyer faz parte da equipe que investiga como os atores de ameaças mais avançados acessam e comprometem sistemas.
Saiba mais