Relatório de Defesa Digital da Microsoft de 2022
Insights de trilhões de sinais de segurança diários
Ponto de vantagem exclusivo
O objetivo do Relatório de Defesa Digital da Microsoft, agora em seu terceiro ano (anteriormente chamado de Relatório de Informações de Segurança da Microsoft, com mais de 22 relatórios arquivados), é iluminar o cenário de ameaças digitais em evolução em quatro áreas principais de foco: crime cibernético, ameaças de estado-nação, infraestrutura & dispositivos e operações de influência cibernética, ao mesmo tempo em que fornece insights e orientações sobre como melhorar a resiliência cibernética.
A Microsoft atende bilhões de clientes em todo o mundo, o que nos permite agregar dados de segurança de um espectro amplo e diversificado de organizações e consumidores. Este relatório baseia-se em nossa ampla e profunda inteligência de sinais de toda a Microsoft, incluindo a nuvem, pontos de extremidade e a borda inteligente. Esse ponto de vista exclusivo nos dá uma imagem de alta fidelidade do panorama de ameaças e do estado atual da segurança cibernética, incluindo indicadores que nos ajudam a prever o que os invasores farão em seguida. Consideramos a transparência e o compartilhamento de informações essenciais para ajudar nossos clientes a se tornarem mais resilientes em termos cibernéticos e para a proteção do ecossistema.
Neste resumo de alto nível do relatório, você aprenderá sobre o estado do crime cibernético, como os dispositivos da Internet das Coisas (IoT) estão se tornando um alvo cada vez mais popular, as novas táticas dos estados-nações e o aumento dos mercenários cibernéticos, as operações de influência cibernética e, o mais importante, como se manter resiliente durante esses tempos.
- 43 trilhões de sinais sintetizados diariamente usando análises de dados sofisticadas e algoritmos de IA para entender e ajudar a proteger contra ameaças digitais e ciberatividade criminal
- Mais de 8.500 engenheiros, pesquisadores, cientistas de dados, especialistas de segurança cibernética, caçadores de ameaças, analistas geopolíticos, investigadores e respondentes da linha de frente em 77 países
- Mais de 15 mil parceiros em nosso ecossistema de segurança, que aumentam a resiliência cibernética para nossos clientes
O cibercrime continua a crescer, impulsionado pelo aumento drástico de ataques aleatórios e direcionados. Observamos ameaças cada vez mais diversas no panorama digital, com desenvolvimentos nos métodos de ataque cibernético e na infraestrutura criminosa usada para aumentar a guerra cinética durante a invasão russa na Ucrânia.
Os ataques de ransomware representam um perigo cada vez maior para todos os indivíduos, pois a infraestrutura crítica, as empresas de todos os portes e os governos estaduais e locais são alvos de criminosos que utilizam um ecossistema cibercriminoso crescente. Como os ataques de ransomware se tornaram mais audaciosos em termos de escopo, seus efeitos se tornaram mais abrangentes. Um esforço sustentável e bem-sucedido contra essa ameaça exigirá uma estratégia de todo o governo a ser executada em estreita parceria com o setor privado.
Após a análise de nossos compromissos de resposta e recuperação, encontramos consistentemente controles de identidade fracos, operações de segurança ineficazes e estratégias incompletas de proteção de dados nas organizações afetadas.
Este ano houve um aumento significativo no phishing indiscriminado e no roubo de credenciais para obter informações que são vendidas e usadas em ataques direcionados, como ransomware, exfiltração e extorsão de dados e comprometimento de emails empresariais.
O Crime cibernético como serviço (CaaS) é uma ameaça crescente e em evolução para os clientes em todo o mundo. A DCU (Unidade de Crimes Digitais) da Microsoft observou o crescimento contínuo do ecossistema de CaaS com um número cada vez maior de serviços online que facilitam os crimes cibernéticos, incluindo o BEC (comprometimento de emails empresariais) e o ransomware operado por humanos. Os vendedores de CaaS oferecem cada vez mais credenciais comprometidas para compra e estamos vendo mais serviços e produtos de CaaS com recursos aprimorados para evitar a detecção.
Os invasores estão encontrando novas maneiras de implementar técnicas e hospedar sua infraestrutura operacional, como comprometer as empresas para hospedar campanhas de phishing, malware ou usar seu poder de computação para minerar criptomoedas. Os dispositivos da Internet das Coisas (IoT) estão se tornando um alvo cada vez mais popular para os criminosos cibernéticos que usam botnets generalizados. Quando os roteadores não são corrigidos e ficam expostos diretamente à Internet, os atores de ameaças podem abusar deles para obter acesso às redes, executar ataques maliciosos e até mesmo apoiar suas operações.
O hacktivismo aumentou no ano passado, com cidadãos privados realizando ataques cibernéticos para promover objetivos sociais ou políticos. Milhares de indivíduos foram mobilizados para lançar ataques como parte da guerra entre a Rússia e a Ucrânia. Embora ainda não se saiba se essa tendência continuará, o setor de tecnologia deve se unir para criar uma resposta abrangente a essa nova ameaça.
A aceleração da transformação digital aumentou o risco de segurança cibernética para a infraestrutura crítica e os sistemas ciberfísicos. Conforme as organizações aproveitam os avanços na capacidade de computação e as entidades se digitalizam para prosperar, a superfície de ataque do mundo digital aumenta exponencialmente.
A rápida adoção de soluções de IoT aumentou o número de vetores de ataque e o risco de exposição das organizações. Essa migração ultrapassou a capacidade da maioria das organizações de acompanhar o ritmo, pois o malware como serviço passou a ser utilizado em operações de larga escala contra a infraestrutura civil e as redes corporativas.
Observamos o aumento das ameaças que exploram dispositivos em todas as partes da organização, desde equipamentos tradicionais de TI até controladores de OT (tecnologia operacional) ou sensores simples de IoT. Vimos ataques a redes de energia, ataques de ransomware interrompendo as operações de OT e roteadores de IoT sendo aproveitados para aumentar a persistência. Ao mesmo tempo, tem havido um aumento na busca de vulnerabilidades no firmware, software incorporado ao hardware ou à placa de circuito do dispositivo, para lançar ataques devastadores.
Para combater essas e outras ameaças, os governos de todo o mundo estão desenvolvendo e evoluindo políticas para gerenciar o risco de segurança cibernética da infraestrutura crítica. Muitos também estão adotando políticas para melhorar a segurança dos dispositivos de IoT e OT. A crescente onda global de iniciativas políticas está criando uma enorme oportunidade para aprimorar a segurança cibernética, mas também apresenta desafios para as partes interessadas em todo o ecossistema. Como a atividade de política em regiões, setores, tecnologias e áreas de gerenciamento de risco operacional é realizada simultaneamente, há a possibilidade de sobreposição e inconsistência no escopo, nos requisitos e na complexidade dos requisitos. As organizações dos setores público e privado precisam aproveitar a oportunidade de aprimorar a segurança cibernética com compromisso e esforços adicionais em prol da consistência.
- 68% dos entrevistados acreditam que a adoção de IoT/OT é fundamental para sua transformação digital estratégica
- 60% reconhecem que a segurança de IoT/OT é um dos aspectos menos protegidos da infraestrutura
No ano passado, houve uma mudança entre os grupos de ameaças cibernéticas de estados-nações, que deixaram de explorar a cadeia de fornecedores de software e passaram a explorar a cadeia de fornecedores de serviços de TI, visando soluções de nuvem e provedores de serviços gerenciados para alcançar clientes downstream nos setores de governo, políticas e infraestrutura crítica.
À medida que as organizações fortalecem suas posturas de segurança cibernética, os atores dos estados-nações respondem buscando táticas novas e exclusivas para realizar ataques e evitar a detecção. A identificação e exploração de vulnerabilidades de dia zero é uma tática fundamental nesse esforço. O número de vulnerabilidades de dia zero divulgadas publicamente no ano passado é igual ao do ano anterior, que foi o maior já registrado. Muitas organizações presumem que terão menos chances de serem vítimas de ataques de exploração de dia zero se o gerenciamento de vulnerabilidades for parte integrante da segurança da rede. No entanto, a comoditização das explorações está fazendo com que elas surjam em um ritmo muito mais rápido. As explorações de dia zero geralmente são descobertas por outros atores e reutilizadas amplamente em um curto período de tempo, deixando em risco os sistemas não corrigidos.
Temos visto um crescente setor de atores ofensivos do setor privado, ou mercenários cibernéticos, que desenvolvem e vendem ferramentas, técnicas e serviços a clientes, geralmente governos, para invadir redes, computadores, telefones e dispositivos conectados à Internet. Embora sejam um trunfo para os atores do estado-nação, essas entidades geralmente colocam em risco dissidentes, defensores dos direitos humanos, jornalistas, defensores da sociedade civil e outros cidadãos privados. Esses mercenários cibernéticos estão fornecendo recursos avançados de "vigilância como serviço" que muitos dos estados-nações não teriam sido capazes de desenvolver sozinhos.
A democracia precisa de informações confiáveis para prosperar. Uma das principais áreas de foco da Microsoft são as operações de influência que estão sendo desenvolvidas e perpetuadas pelos estados-nações. Essas campanhas corroem a confiança, aumentam a polarização e ameaçam os processos democráticos.
Em particular, estamos vendo certos regimes autoritários trabalhando juntos para poluir o ecossistema de informações para vantagem mútua. As campanhas que buscavam ocultar a origem do vírus da COVID-19 são um exemplo. Desde o início da pandemia, a propaganda russa, iraniana e chinesa da COVID-19 impulsionou a cobertura para ampliar esses temas centrais.
Aumento de 900% ao ano na proliferação de deepfakes desde 2019
Também estamos entrando no que esperamos ser uma era de ouro para a criação e manipulação de mídia habilitada para IA, impulsionada pela proliferação de ferramentas e serviços para criar artificialmente imagens, vídeos, áudio e texto sintéticos altamente realistas e a capacidade de disseminar rapidamente conteúdo otimizado para públicos específicos. Uma ameaça de longo prazo e ainda mais insidiosa é a nossa compreensão do que é verdadeiro, se não pudermos mais confiar no que vemos e ouvimos.
A natureza em rápida mudança do ecossistema de informações, juntamente com as operações de influência do estado-nação, incluindo a fusão de ataques cibernéticos tradicionais com operações de influência e interferência em eleições democráticas, exige uma abordagem de toda a sociedade. É necessária uma maior coordenação e compartilhamento de informações entre o governo, o setor privado e a sociedade civil para aumentar a transparência dessas campanhas de influência e para expor e interromper as campanhas.
Há um senso crescente de urgência para responder ao nível cada vez maior de ameaças no ecossistema digital. As motivações geopolíticas dos atores de ameaças demonstraram que os estados aumentaram o uso de operações cibernéticas ofensivas para desestabilizar governos e afetar as operações comerciais globais. À medida que essas ameaças aumentam e evoluem, é fundamental desenvolver a resiliência cibernética na estrutura da organização.
Como vimos, muitos ataques cibernéticos são bem-sucedidos simplesmente porque a higiene básica de segurança não foi seguida. Os padrões mínimos que toda organização deve adotar são:
A curva de sino da resiliência cibernética: 98% da higiene básica de segurança ainda protege contra 98% de todos os ataques. Saiba mais sobre essa imagem na página 109 do Relatório de Defesa Digital da Microsoft de 2022
- Verificar explicitamente: Garanta que os usuários e dispositivos estejam em bom estado antes de permitir o acesso aos recursos.
- Usar o acesso de privilégio mínimo: permitir apenas o privilégio necessário para acessar um recurso, nada mais.
- Supor violações: considere que as defesas do sistema foram comprometidas e que os sistemas podem estar vulneráveis. Isso significa monitorar constantemente o ambiente para possíveis ataques.
Use antimalware moderno
Implemente software para ajudar a detectar e bloquear ataques automaticamente e fornecer insights para as operações de segurança. O monitoramento de informações dos sistemas de detecção de ameaças é essencial para responder às ameaças em tempo hábil.
Atualizar-se regularmente
Sistemas sem patches e desatualizados são uma das principais razões pelas quais muitas organizações são vítimas de um ataque. Garanta que todos os sistemas estejam atualizados, incluindo firmware, sistema operacional e aplicativos.
Proteja os dados
Saber quais dados são importantes, onde eles estão localizados e se os sistemas corretos foram implementados é crucial para implementar a proteção apropriada.
Fonte: Relatório de Defesa Digital da Microsoft, novembro de 2022