As organizações atuais estão sendo submetidas a um cenário de ameaças em constante evolução. Nesse contexto, aplicar estratégias convencionais a desafios, como o ransomware, não é mais suficiente. Por isso é fundamental que as equipes de TI, de segurança e os membros do board saibam como concentrar os esforços de segurança e resiliência da empresa para que possam prever, resistir e se recuperar dos ataques cibernéticos modernos.
À medida que nos aproximamos do final de 2023, analisamos as três principais tendências de ameaças à segurança cibernética que os profissionais devem se preparar para combater:
1. Técnicas de “Living Off the Land“ (LotL)
Ataques silenciosos que permanecem ocultos por um longo período representam grande risco para as empresas. Os hackers de hoje estão usando muito menos malware. Em vez disso, LotL (Living off the Land) têm usado o sistema operacional contra ele mesmo ao explorar ferramentas legítimas nativas como binários assinados (LOLBins), scripts (LOLScripts) e bibliotecas, e assim camuflar atividades mal-intencionadas, despistar e contornar até mesmo as defesas de segurança mais avançadas.
Diferentemente dos ataques tradicionais que utilizam malware, os ataques LotL usam ferramentas e recursos nativos que são necessários para executar o sistema operacional e ajudar nas operações de TI. Por natureza, eles não são mal-intencionados, e embora as ferramentas convencionais registrem as atividades de LotL em cada endpoint, elas não alertam sobre elas. Por exemplo, o Cmd.exe, o interpretador de linha de comando padrão do Windows, pode ser usado para fugir de correções defensivas ou para se esconder como um mecanismo de persistência. Isso cria um dilema difícil para a segurança. Como é possível alertar quando ferramentas legítimas estão sendo usadas, conforme projetadas originalmente, mas com intenções maliciosas? É possível alertar sobre a intenção? Os LOLBins estão se tornando a técnica preferida porque passam despercebidos. É um método que foi aproveitado pelo grupo Volt Typhoon para realizar vigilância nas concessionárias de água e eletricidade que atendem instalações militares nos Estados Unidos e no exterior.
As ferramentas de segurança tradicionais coletam evidências de malícia na rede e no endpoint. Elas são uma camada essencial de defesa que detecta arquivos e atividades mal-intencionados, mas não foram criadas para detectar as técnicas furtivas, como os LOLBins, usadas pelo grupo Volt Typhoon. Para defender os dados contra esse tipo de ataque, as organizações precisarão fazer uma mudança radical em suas defesas, introduzindo iscas realistas que enganarão os malfeitores para que se envolvam com esses recursos falsos e exponham suas técnicas; uma ação que, por sua vez, alertará as equipes de segurança da organização sobre uma possível ameaça oculta.
2. Inteligência Artificial (IA)
Os hackers de hoje estão usando ferramentas avançadas, como IA e aprendizado de máquina, para automatizar e coordenar ataques e aumentar sua eficácia. Eles também estão utilizando a IA para entender as defesas que as organizações implementaram para impedir que os invasores se infiltrem em seus ambientes. Como não estão mais limitados pela necessidade de produzir manualmente suas campanhas de ameaças, os malfeitores estão utilizando ferramentas de IA generativa prontamente disponíveis, como o ChatGPT, e ajustando-as para atender às suas necessidades, seja criando em escala conteúdo de phishing altamente personalizado ou gerando malware de pressionamento de tecla (um tipo de software malicioso que registra cada tecla pressionada no seu computador) e código básico de malware adaptado para roubar especificamente as credenciais e os algoritmos de um sistema-alvo.
De acordo com uma pesquisa recente (“Voice of SecOps”, que entrevistou 652 profissionais de cibersegurança em empresas nos EUA com mais de 1.000 funcionários), a IA generativa potencializou um aumento significativo nos ataques. Para combater o volume crescente, as organizações precisarão usar a IA defensiva e o aprendizado de máquina que possibilitam: automatizar a detecção e a correção de sistemas fora de conformidade; aplicar patches, configurações e atualizações de software automatizados para ativos; e lidar com atividades tradicionalmente trabalhosas, como gerenciamento de identidade e acesso (IAM) e relatórios. Em outras palavras, usar a IA para impulsionar a conformidade com uma arquitetura de Zero Trust reforçada e enfrentar as ameaças com visibilidade em tempo real e avisos antecipados que apoiam uma postura de defesa proativa.
3. Ransomware-como-um-serviço
O ransomware representa uma das maiores ameaças para empresas de todos os portes, em todos os setores da indústria. Grupos altamente organizados desenvolveram modelos sofisticados de assinatura e distribuição de Ransomware como Serviço (RaaS) que facilitam agentes de ameaças, com pouca ou nenhuma experiência, compor um ataque de última geração constituído pelas técnicas mais modernas em todo o ciclo de vida do ataque.
Especializadas em elementos específicos do processo de ataque, as operadoras de RaaS atuais estão oferecendo kits que incluem tudo, desde portais de pagamento e “serviços de suporte” para as vítimas até diversas variantes de ransomware (como LockBit, Revil e Dharma). Outros estão atuando como corretores de acesso especializados em descoberta. Os afiliados que compram ou alugam esses kits RaaS ficam livres para reunir todos esses elementos e executar um ataque de ransomware, pagando uma taxa ou compartilhando uma parte dos lucros.
O surgimento do modelo de negócios RaaS significa que a frequência e a sofisticação dos ataques de ransomware estão aumentando. Com isso em mente, as empresas precisarão redobrar suas atividades de segurança cibernética, com a ampliação das estratégias de gerenciamento de vulnerabilidades, implementação de ferramentas de detecção cibernética de alerta precoce, remediação automatizada ou backup e recuperação de dados em ambientes de produção, para garantir que possam se recuperar rapidamente após um ataque.
Adotar uma mentalidade resiliente
A proliferação de ameaças cibernéticas novas e emergentes significa que as organizações precisarão romper os silos entre segurança e operações de TI a fim de mudar seu pensamento para uma estratégia de resiliência colaborativa e uma infraestrutura de TI que combata os ataques cibernéticos. Essa é uma responsabilidade compartilhada que inclui segmentação, redundância, “deception” (ciber-engano), conscientização contextual, restrição de privilégios e muito mais.
Entendendo que a probabilidade de um ataque cibernético é uma questão de “quando” e não de “se”, eles precisarão iniciar recursos de detecção precoce e garantir que estejam proativamente atentos às ameaças para que possam responder rapidamente a incidentes de segurança. O retorno às operações normais de negócios após um evento de segurança deve ser agora uma das principais ambições de segurança, portanto, procedimentos sólidos de recuperação de dados são imprescindíveis.
*Por Bruno Lobo, diretor-geral da Commvault para América Latina.
