Anatomia de uma superfície de ataque moderna

Para a maioria das organizações, o email é parte essencial das operações comerciais rotineiras. Infelizmente o email continua como um dos principais vetores de ameaças. 35% dos incidentes de ransomware em 2022 envolveram o uso de email.⁴ Os invasores estão realizando mais ataques por email do que nunca: em 2022, a taxa de ataques de phishing aumentou 61% em comparação com 2021^.5

Agora, os invasores também costumam utilizar recursos legítimos para realizar ataques de phishing. Isso dificulta ainda mais para os usuários diferenciarem entre emails reais e os mal-intencionados, aumentando a probabilidade de uma ameaça passar despercebida. Os ataques de phishing de consentimento são um exemplo dessa tendência, em que os atores de ameaças abusam de provedores de serviços em nuvem legítimos para enganar os usuários e fazê-los conceder permissões de acesso a dados confidenciais.

Sem a capacidade de correlacionar os sinais de email com incidentes mais amplos para visualizar os ataques, a detecção de um ator de ameaças que conseguiu entrar por email pode demorar muito. E então pode ser tarde demais para evitar os danos. O tempo médio que um invasor leva para acessar os dados privados de uma organização é de apenas 72 minutos,⁶ o que pode resultar em graves perdas para a empresa. O comprometimento de email empresarial (BEC) teve custos estimados em USD$ 2,4 bilhões em perdas ajustadas em 2021.⁷

No mundo habilitado para a nuvem que temos hoje, a proteção do acesso tornou-se mais essencial do que nunca. Por isso, é essencial entender a fundo a identidade em toda a sua organização, incluindo permissões de contas de usuários, identidades de cargas de trabalho e suas possíveis vulnerabilidades, especialmente com o aumento da frequência e da criatividade dos ataques.

O número de ataques a senhas aumentou para uma estimativa de 921 ataques a cada segundo em 2022, representando um crescimento de 74% em relação a 2021.⁸ Na Microsoft, também vimos os atores de ameaças se tornarem mais criativos para burlar a autenticação multifator (MFA), usando técnicas como ataques de phishing do tipo "adversary-in-the-middle" e abuso de tokens para obter acesso aos dados das organizações. Os kits de phishing facilitaram ainda mais para os atores de ameaças roubarem credenciais. Ano passado, a Unidade de Crimes Digitais da Microsoft percebeu um aumento na sofisticação dos kits de phishing e barreiras muito pequenas para evitar a entrada, havia até mesmo um vendedor oferecendo kits de phishing por apenas USD$ 6 por dia.⁹

Gerenciar a superfície de ataque de identidade é mais do que proteger as contas de usuário: envolve o acesso à nuvem e também as identidades de cargas de trabalho. As credenciais comprometidas podem ser uma ferramenta poderosa para os atores de ameaças usarem para causar estragos na infraestrutura de nuvem de uma organização.

Em função do grande número de dispositivos no ambiente híbrido atual, a proteção dos pontos de extremidade se tornou mais desafiadora. O que não mudou é que a proteção dos pontos de extremidade, principalmente dos dispositivos não gerenciados, é essencial para conseguir uma postura de segurança sólida, pois até mesmo um único comprometimento pode permitir que os atores de ameaças invadam a sua organização.

Como as organizações adotaram as políticas BYOD ("Bring Your Own Device" ou Traga o seu dispositivo), os dispositivos não gerenciados proliferaram. Consequentemente, agora a superfície de ataque de pontos de extremidade está maior e mais exposta. Em média, há 3.500 dispositivos conectados em uma empresa que não estão protegidos por um agente de detecção e resposta de ponto de extremidade (EDR).¹¹

Os dispositivos não gerenciados (que fazem parte do cenário da "shadow IT") são particularmente atrativos para os atores de ameaças, pois as equipes de segurança não têm a visibilidade necessária para protegê-los. Na Microsoft, descobrimos que os usuários tem 71% mais probabilidade de serem infectados em um dispositivo não gerenciado.¹² Como eles se conectam às redes da empresa, os dispositivos não gerenciados também apresentam oportunidades para os invasores lançarem ataques mais amplos a servidores e outras infraestruturas.

Servidores não gerenciados também são vetores potenciais para ataques a pontos de extremidade. Em 2021, a Segurança da Microsoft observou um ataque em que um ator de ameaças se aproveitou de um servidor sem patch, navegou pelos diretórios e descobriu uma pasta de senhas que fornecia acesso às credenciais de contas.

Um dos vetores de ataque de ponto de extremidade mais negligenciados é a IoT (Internet of Things), que inclui bilhões de dispositivos, tanto grandes como pequenos. A segurança da IoT abrange os dispositivos físicos que se conectam e trocam dados com a rede, tais como roteadores, impressoras, câmeras e outros dispositivos semelhantes. Também pode incluir dispositivos e sensores operacionais (tecnologia operacional ou "OT"), como equipamentos inteligentes em linhas de produção de manufatura.

Conforme o número de dispositivos IoT cresce, o número de vulnerabilidades também aumenta. Até 2025, a IDC prevê que haverá 41 bilhões de dispositivos IoT presentes em ambientes corporativos e de consumo.¹⁵ Como muitas organizações estão reforçando roteadores e redes para dificultar a violação por parte dos atores de ameaças, os dispositivos IoT estão se tornando um alvo cada vez mais fácil e atrativo. Vemos com frequência os atores de ameaças explorarem vulnerabilidades para transformar dispositivos IoT em proxies, usando um dispositivo exposto como ponto de apoio para a rede. Depois que um ator de ameaças obtém acesso a um dispositivo de IoT, ele consegue monitorar o tráfego de rede em busca de outros ativos desprotegidos, movendo-se lateralmente para se infiltrar em outras partes da infraestrutura do alvo ou realizar reconhecimento para planejar ataques em larga escala a equipamentos e dispositivos confidenciais. Em um estudo, 35% dos profissionais de segurança relataram que, nos últimos 2 anos, um dispositivo de IoT foi usado para realizar um ataque mais amplo na sua organização.¹⁶

Infelizmente, a IoT costuma ser uma caixa preta para as organizações em termos de visibilidade, e muitas delas não têm medidas de segurança adequadas para a IoT. 60% dos profissionais de segurança comentam que a segurança da IoT e da OT são um dos aspectos menos protegidos de suas infraestruturas de TI e OT.¹⁷

Nos dias de hoje, a superfície de ataque externa de uma organização se estende por diversas plataformas de nuvem, cadeias de fornecedores digitais complexas e vastos ecossistemas terceirizados. Agora a Internet faz parte da rede e, apesar de seu tamanho quase insondável, as equipes de segurança precisam defender a presença de sua organização na Internet da mesma forma que acontece por trás de seus firewalls. E à medida que mais organizações adotam os princípios da Confiança Zero, a proteção de superfícies de ataque internas e externas se torna um desafio em escala da Internet.

A superfície de ataque global cresce com a Internet e se expande a cada dia. Na Microsoft, temos encontrado evidências desse aumento em vários tipos de ameaças, como os ataques de phishing. Em 2021, a Unidade de Crimes Digitais da Microsoft orientou a remoção de mais de 96.000 URLs exclusivas de phishing e 7.700 kits de phishing, o que levou à identificação e ao fechamento de mais de 2.200 contas de email maliciosas usadas para coletar credenciais roubadas de clientes.²⁴

A superfície de ataque externa se estende muito além dos próprios ativos da organização. Geralmente ela inclui fornecedores, parceiros, dispositivos pessoais não gerenciados de funcionários conectados a redes ou ativos da empresa e organizações recém-adquiridas. Como consequência, é fundamental estar ciente das conexões externas e da exposição para mitigar possíveis ameaças. Um relatório da Ponemon de 2020 revelou que 53% das organizações sofreram pelo menos uma violação de dados causada por terceiros nos últimos dois anos, o que custou em média USD$ 7,5 milhões para corrigir.²⁵

Conforme a infraestrutura por trás dos ataques cibernéticos aumenta, obter visibilidade da infraestrutura de ameaças e fazer um inventário dos ativos expostos à Internet tornou-se mais urgente do que nunca. Descobrimos que as organizações geralmente têm dificuldade para entender o escopo de sua exposição externa, o que resulta em pontos cegos significativos. Esses pontos cegos podem ter consequências devastadoras. Em 2021, 61% das empresas sofreram um ataque de ransomware que levou a uma interrupção pelo menos parcial das operações comerciais.²⁶

Na Microsoft, quando avaliamos a postura de segurança, costumamos dizer aos clientes que é necessário avaliar a organização de fora para dentro. Além do VAPT (Teste de Penetração e Avaliação de Vulnerabilidade), é importante obter uma visibilidade profunda da sua superfície de ataque externa, assim é possível identificar as vulnerabilidades por todo o seu ambiente e o ecossistema estendido. Se você fosse um invasor tentando entrar, o que poderia explorar? Entender a extensão total da superfície de ataque externa de sua organização é fundamental para protegê-la.

Como a Microsoft pode ajudar

O cenário atual de ameaças está mudando constantemente, e as organizações precisam de uma estratégia de segurança que consiga acompanhar esse ritmo. O aumento da complexidade e da exposição da organização, o alto volume de ameaças e a baixa barreira de entrada na economia do crime cibernético tornam mais urgente do que nunca proteger cada emenda dentro e entre cada superfície de ataque.

As equipes de segurança precisam de uma avançada inteligência contra ameaças para se defenderem contra as inúmeras ameaças atuais e em constante evolução. A inteligência contra ameaças correta correlaciona sinais de diferentes lugares, fornecendo um contexto oportuno e relevante sobre o comportamento e as tendências atuais dos ataques para que as equipes de segurança possam identificar vulnerabilidades, priorizar alertas e interromper ataques com sucesso. E, se uma violação ocorrer, a inteligência contra ameaças é essencial para evitar mais danos e melhorar as defesas para que um ataque semelhante não ocorra novamente. Em resumo, as organizações que utilizarem mais inteligência contra ameaças estarão melhor protegidas e obterão mais sucesso.

A Microsoft tem uma visão inigualável do cenário de ameaças em evolução, analisando diariamente mais de 65 trilhões de sinais. Ao correlacionar esses sinais em tempo real nas superfícies de ataque, a inteligência contra ameaças integrada nas soluções de Segurança da Microsoft proporciona insights sobre o crescente ambiente de ameaças e ransomware, assim você consegue perceber e interromper mais ataques. E com os avançados recursos da IA, como o Microsoft Copilot para Segurança, você pode ficar à frente das ameaças em evolução e defender sua organização na velocidade da máquina, capacitando a sua equipe de segurança para simplificar o que é complexo, capturar o que os outros não percebem e proteger tudo.