Durante estes primeiros meses do ano, é importante abordar um dos maiores problemas que vemos consistentemente nas nossas investigações: a segurança passiva.
Os engajamentos de resposta a incidentes são uma parte importante do nosso trabalho e o processo de coleta de informações e os seus relatórios correspondentes podem ser um tesouro de táticas, técnicas e procedimentos (TTPs) para os adversários, mas também expõem lacunas e erros comuns que as organizações cometem.
Quando lutamos contra grupos e cartéis patrocinados por Estado-Nação, com receitas milionárias para apoiar os seus ataques, tentar vencer com segurança passiva não é uma boa estratégia. Uma das descobertas mais comuns dos engajamentos de resposta a incidentes da Cisco Talos envolve alguma variação da tecnologia em vigor que detectou a atividade, mas o(s) agente(s) conseguiu colocar a organização em perigo com sucesso. A razão quase sempre é que o produto não estava funcionando em modo de bloqueio, algo facilmente evitado com uma abordagem ativa.
Esta luta entre empresas e atores de ameaças não é nova – ela tem sido contínua há décadas, se não há mais tempo. Desde que a tecnologia de segurança de bloqueio ativo foi implementada, funcionários e líderes argumentam que ela não deveria ser usada. Talvez, há 10 ou 15 anos eles poderiam ter razão, já que a tecnologia emergente pode produzir muitos falsos positivos, mas no cenário de ameaças atual, deixar de usá-la é caçar problemas.
A detecção passiva é boa em circunstâncias específicas onde o bloqueio ativo não é possível ou viável; o problema surge quando as organizações executam a maioria, se não todas, de suas tecnologias de segurança em modo passivo, principalmente nos dispositivos de usuários. Esses últimos bastiões de detecção são preciosos para identificar ataques que conseguiram escapar e bloquear ativamente, com sucesso, tecnologias de segurança que podem ser implantadas para evitar ameaças.
A sofisticação dos adversários continua a melhorar
Historicamente, as ameaças com as quais as organizações tinham que lidar raramente eram direcionadas e eram, principalmente, o trabalho de criminosos que tentavam instalar um bot ou alguma outra carga maliciosa simples. Hoje, se você tiver sorte, estará apenas lutando contra dezenas de afiliados que usam todas as técnicas e vulnerabilidades existentes para tentar colocar a organização em perigo com impactos graves, resultando em potencialmente milhões de dólares em pagamentos de resgate ou extorsão, bem como danos colaterais à marca e à reputação. Em cenários ainda piores, as empresas também enfrentam grupos patrocinados por um Estado, com financiamento vultuoso e sofisticação correspondente – e os possíveis elos entre eles.
Esses adversários são sofisticados, mas não são perfeitos. Eles ainda precisam executar comandos e potencialmente executar ferramentas para concluir sua ameaça. Normalmente, esses comandos e ferramentas são detectados, mas se não forem bloqueados, provavelmente o adversário continuará seus ataques. Qual é o sentido de gastar, em alguns casos, milhões de dólares em tecnologia para proteger o seu ambiente apenas para ter um alerta gerado às 3 da manhã, quando ninguém estava olhando, enquanto o adversário coletava e extraía os seus segredos mais valiosos? Isto é especialmente verdadeiro para a segurança de dispositivos de usuários, pois este é o último bastião de proteção que uma organização possui e, como linha final de defesa, precisa ser extremamente eficiente.
Os atores de ameaças estão tornando-se mais eficientes em seus objetivos de coleta, exfiltração e resgate de dados. Durante nossa pesquisa sobre o Truebot, identificamos uma ferramenta chamada “teletransporte”, projetada para tornar a exfiltração de dados mais rápida e secreta. Isso permitiu que os agentes executassem comandos rapidamente para coletar e exfiltrar dados potencialmente interessantes para fins de extorsão.
Este é apenas o exemplo mais recente de uma longa linha de evidências que apontam para sofisticação e estrutura. Outros incluem manuais vazados sobre como lidar com uma rede de forma rápida e eficiente. Esses afiliados são bons no que fazem e não bloquear ativamente suas atividades é um erro.
A escassez de competências é real e está piorando
Pode-se argumentar que, se você estiver comandando uma equipe de operações de segurança 24 horas por dia, 7 dias por semana, 365 dias por ano, a execução no modo passivo seja suficiente, uma vez que ela pode ser acionada por analistas. Na realidade, uma equipe de segurança limitada está trabalhando em plena capacidade apenas mantendo a tecnologia que possui atualizada, funcionando e reportando. Ao mesmo tempo, é necessário gerenciar as expectativas e demandas da liderança sobre as vulnerabilidades ou ameaças mais recentes que são destaques nos noticiários. Combine isso com a necessidade de atender a todos os requisitos de conformidade do negócio e você tem uma equipe sobrecarregada. Isso deixa pouco tempo para os analistas fazerem a triagem dos alertas à medida que são gerados. Na maioria das vezes, um alerta é enviado para um console sem ninguém olhar e, como dizem: “Se uma árvore cai na floresta e ninguém ouve, ela fez algum barulho?”
Da mesma forma, gerar alertas sem tomar medidas não protege a organização, apenas envia um sinal de que algo pode estar errado. No final, você obtém um relatório de resposta a incidentes que mostra que a tecnologia certa foi implantada nos lugares certos e fez seu trabalho, mas os adversários ainda tiveram sucesso.
Paralelos com o progresso dos patches corporativos
Há outra questão na segurança ou, mais genericamente, em TI que tem alguns paralelos com a segurança ativa: aplicação de patches. Se recuarmos entre cinco e dez anos, o patch ainda não era usado ou precisava ser “incorporado” ao longo de três a seis meses em sistemas de teste para garantir que não causasse problemas ou colapsos. Avançando até hoje, os patches se tornaram tão estáveis que as organizações os implementam regularmente sem problemas e os usuários domésticos geralmente têm os patches aplicados automaticamente. O mesmo se aplica à segurança ativa hoje. Ainda podem ocorrer falsos positivos, mas o risco continua a diminuir à medida que as ameaças crescem exponencialmente.
Você quer falsos positivos ou violações verdadeiras?
O outro argumento comum apresentado ao discutir a tecnologia de segurança ativa é a ameaça de falsos positivos. Os falsos positivos são apenas parte da implantação de tecnologia de segurança – nada é perfeito e uma detecção inadequada pode acontecer. As organizações precisam se perguntar: “É melhor lidar com dores de cabeça ocasionais de falsos positivos ou com uma dor de cabeça realmente grande quando ocorre uma violação?”
É melhor ter essa conversa com a liderança agora do que depois da ocorrência de um grande incidente. Certifique-se de apoiar seu argumento com dados concretos sobre o volume de alertas gerados, as tarefas associadas a eles e os desafios de operar no cenário atual com as mãos atadas enquanto luta contra adversários habilidosos e determinados. Estamos em 2024 e usar a segurança passiva é certeza de um desastre.
*Por Nick Biasini, Head de Outbreach da Cisco Talos.
