ISR Q3 2021: 6 passos para reduzir o risco de ameaça
O mais recente Relatório de Segurança da Internet produzido pela equipa da WatchGuard Threat Lab compila várias análises e detalha a evolução e tendências do malware com base nos dados recolhidos a partir de 35.180 dispositivos Firebox em todo o mundo. Estas são as principais conclusões:
- No final de setembro, os ataques de ransomware já tinham atingido 105% do volume total de 2020 e caminhavam para os 150%. Além disso, os ransomware-as-a-service (RaaS), como o REvil e o GandCrab, continuam a facilitar as coisas para os criminosos menos qualificados.
- O Kaseya foi o maior incidente de cibersegurança durante este trimestre e, mais uma vez, foram destacados os riscos de ciberataques a cadeias de fornecimento para as empresas.
- Malware de Zero day (desconhecido) representou 67,2% do malware detetado pelos aparelhos. Além disso, quase metade do malware (47%) chegou através de conexões encriptadas (TLS). Apesar de a maioria deste malware não ser avançado, é motivo de preocupação.
- As vulnerabilidades nas diferentes versões do Microsoft Windows e Office, quer as antigas, quer as mais recentes, continuam a ser um grande vetor de entrada para os hackers explorarem.
- A grande maioria dos ciberataques (81%) dos 4 095.320 incidentes registados continham um das 10 principais assinaturas de malware. De facto, houve apenas uma nova assinatura desde o relatório anterior, e o primeiro lugar da lista (uma injeção de SQL) permanece igual desde o Q2 de 2019.
- Os ataques de script continuam a um ritmo recorde: com mais 10% neste trimestre do que em todo o ano de 2020. De frisar que até os cibercriminosos menos qualificados e com menos conhecimentos podem, facilmente, implementar ferramentas de scripting como o PowerSploit, PowerWare e a Cobalt Strike, que podem contornar soluções de deteção no endpoint se não forem muito avançadas.
- Os dispositivos Firebox bloquearam 5.6 milhões de domínios maliciosos, incluindo vários que tentaram instalar software de criptomoedas. Por norma, o foco é colocado no malware que usa domínios maliciosos criados ad hoc como um vetor, mas mesmo os domínios legítimos podem ser comprometidos. Isto aconteceu devido a uma falha no protocolo do Microsoft Exchange Server, que permitiu aos cibercriminosos recolher credenciais de muitos domínios considerados seguros.
A taxa de incidentes delineada no relatório para o Q3 de 2021 não parece ter diminuído de gravidade nos últimos meses. Por essa razão, as empresas deveriam adotar várias medidas de forma a estarem mais bem preparadas para as ameaças futuras:
- Abordagem Zero-Trust – O incidente Kaseya demonstrou que qualquer software, por mais legítimo ou fiável que possa parecer, pode ser um vetor de entrada para cibercriminosos. Como tal, é imperativo que todas as ferramentas e medidas de cibersegurança se baseiem numa premissa zero-trust para que os binários sejam analisados ainda antes de serem executados nos sistemas das empresas.
- Ferramentas Avançadas de Proteção, Deteção e Resposta dos Endpoints (EPDR) – As ferramentas básicas de deteção de endpoint podem não detetar ataques de scripting ou ‘living-off-the-land’ mais sofisticados e que podem usar malware sem ficheiros. Nestes casos, é aconselhável implementar soluções de ciberataque de última geração.
- Softwares e sistemas atualizados - A manutenção adequada dos processos de atualização e gestão de patches para os softwares da empresa é essencial para minimizar o número de vulnerabilidades que podem ser exploradas pelos atacantes.
- Proteger o acesso ao Microsoft Exchange Servers e ao software Microsoft Office – Estão os dois entre os principais vetores de entrada para ataques a redes empresariais. No caso do Exchange, recomenda-se que tenha uma ferramenta de filtragem DNS para detetar e bloquear conexões potencialmente perigosas. No que respeita ao Office, é importante não permitir a execução de Macros, a não ser que tenham sido verificados com o seu remetente através de um canal independente do email.
- Realizar segmentações de rede – Os cibercriminosos usam ferramentas para se mexerem lateralmente dentro da organização. Assim, é importante não só ter ferramentas de firewalls para filtrar o acesso externo, como também segmentar a rede. Como resultado, mesmo que haja uma vulnerabilidade no servidor, a ferramenta dos cibercriminosos não conseguirá mover-se livremente dentro dos sistemas.
- Regular e auditor permissões de acesso e administração – Quando determinadas permissões são concedidas a fornecedores (por exemplo, para executar implementações locais na rede da organização), há o risco de que criminosos possam escalar e obter privilégios mais elevados para aceder ao servidor e a todos os sistemas da organização. Para evitar isto, é importante conceder o menor número possível de privilégios para permitir a execução de operações.