Relatório de defesa digital da Microsoft de 2022
Informações de biliões de sinais de segurança diários
Ponto de vista único
O objetivo do Relatório de defesa digital da Microsoft, agora no seu terceiro ano (anteriormente designado como relatório de informações de segurança da Microsoft, com mais de 22 relatórios arquivados), é esclarecer o cenário de ameaças digitais em evolução, em quatro áreas-chave de foco: cibercrime, ameaças de estados-nação, infraestrutura & dispositivos e operações de ciber-influência, ao mesmo tempo que fornece informações e orientações sobre como melhorar a ciber-resiliência.
A Microsoft serve milhares de milhões de clientes em todo o mundo, o que nos permite agregar dados de segurança de um espetro amplo e diversificado de organizações e consumidores. Este relatório recorre à nossa ampla e profunda informação de sinais de toda a Microsoft, incluindo a cloud, os pontos finais e o edge inteligente. Este ponto de vista único oferece-nos um retrato de alta fidelidade do cenário de ameaças e do estado atual da cibersegurança, incluindo indicadores que nos ajudam a prever o que os atacantes farão a seguir. Consideramos que a transparência e a partilha de informações são essenciais para ajudar os nossos clientes a tornarem-se mais ciber-resilientes e para a proteção do ecossistema.
Neste resumo de pormenor do relatório, ficará a conhecer o estado do cibercrime, a forma como os dispositivos da Internet das Coisas (IoT) se estão a tornar um alvo cada vez mais popular, as novas táticas dos estados-nação e a ascensão dos ciber-mercenários, as operações de ciber-influência e, acima de tudo, como se manter resiliente durante este período.
- 43 biliões de sinais sintetizados diariamente, através da utilização de análise de dados sofisticada e algoritmos de IA para compreender e ajudar a proteger contra ameaças digitais e ciberatividade criminosa
- Mais de 8500 engenheiros, investigadores científicos, cientistas de dados, peritos em cibersegurança, investigadores de ameaças, analistas geopolíticos, investigadores e operacionais de primeira linha em 77 países
- Mais de 15 000 parceiros no nosso ecossistema de segurança que reforçam a ciber-resiliência dos nossos clientes
O cibercrime continua a aumentar, motivado por aumentos dramáticos nos ataques aleatórios e direcionados. Temos observado ameaças cada vez mais diversificadas no panorama digital, com desenvolvimentos nos métodos de ciberataque e na infraestrutura criminosa, utilizadas para intensificar a guerra cinética durante a invasão russa da Ucrânia.
Os ataques de ransomware representam um perigo acrescido para todos os indivíduos, uma vez que a infraestrutura crítica, as empresas de todas as dimensões e os governos estatais e locais são alvo de criminosos que tiram partido de um ecossistema cibercriminoso em crescimento. À medida que os ataques de ransomware se tornaram mais audaciosos no seu âmbito, os seus efeitos tornaram-se mais abrangentes. Um esforço sustentável e bem sucedido contra esta ameaça exigirá uma estratégia que abranja todo o governo e que seja executada em estreita parceria com o setor privado.
Após análise dos nossos procedimentos de resposta e recuperação, encontrámos consistentemente controlos de identidade débeis, operações de segurança ineficazes e estratégias de proteção de dados incompletas entre as organizações afetadas.
Este ano assistiu-se a um aumento significativo do phishing indiscriminado e do roubo de credenciais para obter informações que são vendidas e utilizadas em ataques direcionados, como o ransomware, a extorsão e transferência de dados não autorizada e o comprometimento de e-mail empresarial.
O cibercrime como um serviço (CaaS) é uma ameaça crescente e em evolução para os clientes em todo o mundo. A Unidade de Crimes Digitais da Microsoft (DCU) observou um crescimento contínuo do ecossistema CaaS com um número crescente de serviços online que facilitam os cibercrimes, incluindo o comprometimento de e-mail empresarial (BEC) e o ransomware operado por humanos. Os vendedores de CaaS oferecem cada vez mais credenciais comprometidas para compra e estamos a assistir a mais serviços e produtos CaaS com funcionalidades melhoradas para evitar a deteção.
Os atacantes estão a encontrar novas formas de implementar técnicas e alojar a sua infraestrutura operacional, como comprometer as empresas para alojar campanhas de phishing, malware ou utilizar o seu poder de computação para criptomineração. Os dispositivos da Internet das Coisas (IoT) estão a tornar-se um alvo cada vez mais popular para os cibercriminosos que utilizam botnets disseminados. Quando não são aplicados patches aos routers e estes são deixados expostos diretamente à Internet, os atores de ameaças podem utilizá-los de forma abusiva para obter acesso às redes, executar ataques maliciosos e até apoiar as suas operações.
O "hacktivismo" aumentou no ano passado, com cidadãos privados a realizarem ciberataques para promover objetivos sociais ou políticos. Milhares de pessoas foram mobilizadas para lançar ataques no âmbito da guerra Rússia-Ucrânia. Embora ainda não se saiba se esta tendência se manterá, a indústria tecnológica deve unir-se para conceber uma resposta abrangente a esta nova ameaça.
A aceleração da transformação digital aumentou o risco de cibersegurança para a infraestrutura crítica e os sistemas ciber-físicos. À medida que as organizações aproveitam os avanços na capacidade de computação e as entidades se tornam digitais para crescerem, a superfície de ataque do mundo digital está a aumentar exponencialmente.
A rápida adoção de soluções IoT aumentou o número de vetores de ataque e o risco de exposição das organizações. Esta migração ultrapassou a capacidade de acompanhamento da maioria das organizações, uma vez que o malware como serviço passou a ser utilizado em operações de grande escala contra infraestrutura civil e redes empresariais.
Observámos um aumento das ameaças que exploram dispositivos em todas as partes da organização, desde o tradicional equipamento de TI até aos controladores de tecnologia operacional (OT) ou simples sensores IoT. Temos assistido a ataques a redes elétricas, ataques de ransomware que interrompem as operações de OT e routers IoT que estão a ser explorados para uma maior persistência. Ao mesmo tempo, tem-se verificado um aumento da procura de vulnerabilidades no firmware, ou seja, software incorporado no hardware ou na placa de circuitos de um dispositivo, para lançar ataques devastadores.
Para combater estas e outras ameaças, os governos de todo o mundo estão a desenvolver e a aperfeiçoar políticas para gerir o risco de cibersegurança da infraestrutura crítica. Muitos estão também a adotar políticas para melhorar a segurança dos dispositivos IoT e OT. A crescente vaga global de iniciativas políticas está a criar enormes oportunidades para melhorar a cibersegurança, mas também coloca desafios aos intervenientes em todo o ecossistema. Uma vez que a atividade política em todas as regiões, setores, tecnologias e áreas de gestão do risco operacional é empreendida simultaneamente, existe a possibilidade de sobreposição e incoerência no âmbito, requisitos e complexidade dos requisitos. As organizações dos setores público e privado têm de aproveitar a oportunidade para melhorar a cibersegurança através de um maior compromisso e de esforços no sentido da consistência.
- 68% dos inquiridos acreditam que a adoção da IoT/OT é fundamental para a sua transformação digital estratégica
- 60% reconhecem que a segurança da IoT/OT é um dos aspetos menos protegidos da sua infraestrutura
No ano passado, houve uma mudança entre os grupos de ciberameaças de estados-nação, que deixaram de explorar a cadeia de fornecimento de software para explorar a cadeia de fornecimento de serviços de TI, visando soluções cloud e fornecedores de serviços geridos para chegar a clientes posteriores nos setores governamentais, políticos e de infraestrutura crítica.
À medida que as organizações reforçam as suas posturas de cibersegurança, os atores dos estados-nação respondem com táticas novas e únicas para realizar ataques e evitar a deteção. A identificação e exploração de vulnerabilidades de dia zero é uma tática fundamental neste esforço. O número de vulnerabilidades de dia zero divulgadas publicamente durante o ano passado está ao mesmo nível do ano anterior, que foi o mais elevado de que há registo. Muitas organizações presumem que têm menos probabilidades de serem vítimas de ataques de exploração de dia zero se a gestão de vulnerabilidades for parte integrante da sua segurança de rede. No entanto, a mercantilização das explorações está a fazer com que estas surjam a um ritmo muito mais rápido. As explorações de dia zero são frequentemente descobertas por outros atores e reutilizadas de forma disseminada num curto período de tempo, deixando em risco os sistemas que não foram sujeitos a uma aplicação de patches.
Temos assistido a uma indústria crescente de atores ofensivos do setor privado, ou ciber-mercenários, que desenvolvem e vendem ferramentas, técnicas e serviços a clientes, frequentemente governos, para invadir redes, computadores, telefones e dispositivos ligados à Internet. Embora constituam um trunfo para os atores do estado-nação, estas entidades põem frequentemente em perigo os dissidentes, os defensores dos direitos humanos, os jornalistas, os defensores da sociedade civil e outros cidadãos privados. Estes ciber-mercenários estão a fornecer capacidades avançadas de "vigilância como um serviço", que muitos dos estados-nação não teriam sido capazes de desenvolver sozinhos.
A democracia precisa de informação fiável para florescer. Uma das principais áreas de foco da Microsoft são as operações de influência que estão a ser desenvolvidas e perpetuadas pelos estados-nação. Estas campanhas minam a confiança, aumentam a polarização e ameaçam os processos democráticos.
Em particular, estamos a assistir a certos regimes autoritários a trabalhar em conjunto para poluir o ecossistema da informação para seu benefício mútuo. As campanhas que procuraram ocultar a origem do vírus da COVID-19 são um exemplo disso. Desde o início da pandemia, a propaganda russa, iraniana e chinesa sobre a COVID-19, aumentou a cobertura para amplificar estes temas centrais.
Aumento de 900%, ano após ano, na proliferação de deepfakes desde 2019
Estamos também a entrar no que esperamos ser uma era dourada para a criação e manipulação de meios de comunicação com recurso à IA, fomentada pela proliferação de ferramentas e serviços para criar artificialmente imagens, vídeos, áudio e texto sintéticos altamente realistas e pela capacidade de divulgar rapidamente conteúdos otimizados para públicos específicos. Uma ameaça a longo prazo e ainda mais insidiosa é a nossa compreensão do que é verdadeiro, se já não pudermos confiar no que vemos e ouvimos.
A natureza em rápida mutação do ecossistema da informação, juntamente com as operações de influência dos estados-nação, incluindo a fusão dos ciberataques tradicionais com operações de influência e interferência em eleições democráticas, exige uma abordagem de toda a sociedade. É necessária uma maior coordenação e partilha de informações entre o governo, o setor privado e a sociedade civil para aumentar a transparência destas campanhas de influência e para expor e interromper as campanhas.
Existe um sentimento crescente de urgência para responder ao nível crescente de ameaças no ecossistema digital. As motivações geopolíticas dos atores de ameaças demonstraram que os estados têm intensificado a sua utilização de operações cibernéticas ofensivas para desestabilizar governos e afetar as operações comerciais globais. À medida que estas ameaças aumentam e evoluem, é fundamental integrar a ciber-resiliência na estrutura da organização.
Como pudemos verificar, muitos ciberataques são bem-sucedidos, simplesmente, porque as regras básicas de higiene de segurança não foram seguidas. As normas mínimas que todas as organizações deveriam adotar são:
- Verifique explicitamente: Garanta que os utilizadores e dispositivos estão num bom estado antes de permitir o acesso a recursos.
- Utilize o acesso de menor privilégio: Permita apenas o privilégio necessário para aceder a um recurso e nada mais.
- Presuma uma falha de segurança: Presuma que as defesas do sistema foram vítimas de uma falha de segurança e que os sistemas podem estar comprometidos. Isto implica a monitorização constante do ambiente face a um possível ataque.
Utilize anti-malware moderno
Implemente software para ajudar a detetar e bloquear automaticamente os ataques e fornecer informações às operações de segurança. A monitorização das informações dos sistemas de deteção de ameaças é essencial para poder responder atempadamente às ameaças.
Mantenha-se atualizado
Os sistemas sem patches e desatualizados são uma das principais razões pelas quais muitas organizações são vítimas de ataques. Certifique-se de que todos os sistemas estão atualizados, incluindo o firmware, o sistema operativo e as aplicações.
Proteja os dados
Reconhecer os seus dados importantes, saber onde estão localizados e se os sistemas certos foram implementados é fundamental para implementar a proteção apropriada.
Fonte: Relatório de defesa digital da Microsoft, novembro de 2022