O que é a cadeia de ataque cibernético?

Em 2011, a Lockheed Martin adaptou um conceito militar chamado de cadeia de ataque para o setor de segurança cibernética e o nomeou cadeia de ataque cibernético. Assim como a cadeia de eliminação, a cadeia de ataque cibernético identifica os estágios de um ataque e fornece aos defensores informações sobre as táticas e técnicas típicas de seus adversários durante cada estágio. Ambos os modelos também são lineares com a expectativa de que os invasores seguirão cada estágio sequencialmente.

Desde que a cadeia de ataque cibernético foi introduzida pela primeira vez, os atores de ameaças cibernéticas desenvolveram as suas táticas e nem sempre seguem todos os estágios da cadeia de ataque cibernético. Em resposta, o setor de segurança atualizou sua abordagem e desenvolveu novos modelos. A matriz MITRE ATT&CK® é uma lista detalhada de táticas e técnicas baseadas em ataques reais. Ela usa estágios semelhantes à cadeia de eliminação cibernética, mas não segue uma ordem linear.

Em 2017, Paul Pols, em colaboração com a Fox-IT e a Leiden University, desenvolveu outra estrutura, a cadeia de eliminação unificada, que combina elementos da matriz MITRE ATT&CK e da cadeia de ataque cibernético em um modelo com 18 estágios.

Reconhecimento

A cadeia de ataque cibernético define uma sequência de fases de ataque cibernético com o objetivo de entender a mentalidade dos ataques cibernéticos, incluindo suas motivações, ferramentas, métodos, técnicas, como eles tomam decisões e como eles escapam da detecção. Entender como a cadeia de ataque cibernético funciona ajuda os defensores a interromper ataques cibernéticos nos primeiros estágios.

Durante a fase de armamento, os atores mal-intencionados usam as informações descobertas durante o reconhecimento para criar ou modificar malware para explorar melhor os pontos fracos da organização de destino.

Depois de criarem malware, os atores de ataques cibernéticos tentam iniciar o ataque. Um dos métodos mais comuns é usar técnicas de engenharia social, como phishing, para induzir os funcionários a entregar suas credenciais de entrada. Atores mal-intencionados também podem obter entrada aproveitando uma conexão sem fio pública que não é muito segura ou explorando uma vulnerabilidade de software ou hardware descoberta durante o reconhecimento.

Depois que os atores de ameaças cibernéticas invadem a organização, eles usam o acesso deles para se mover lateralmente de sistema a sistema. Sua meta é encontrar dados confidenciais, vulnerabilidades adicionais, contas administrativas ou servidores de email que eles possam usar para causar danos à organização.

No estágio de instalação, os atores mal-intencionados instalam malware que lhes dá controle de mais sistemas e contas.

Depois que os ataques cibernéticos tiverem adquirido o controle de um número significativo de sistemas, eles criarão um centro de controle que permite que eles operem remotamente. Durante este estágio, eles usam ofuscação para encobrir rastros e evitar serem detectados. Eles também usam ataques de negação de serviço para desviar os profissionais de segurança de seus verdadeiros objetivos.

Neste estágio, os invasores cibernéticos executam etapas para atingir a sua meta principal, que pode incluir ataques de cadeia de fornecedores, exfiltração de dados, criptografia de dados ou destruição de dados.

Embora a cadeia de ataque cibernético original da Lockhead Martin incluísse apenas sete etapas, muitos especialistas em segurança cibernética a expandiram para oito etapas para levar em conta as atividades realizadas pelos atores mal-intencionados para gerar renda com o ataque, como usar ransomware para extrair um pagamento de suas vítimas ou vender dados confidenciais na Dark Web.

Entender como os atores de ameaças cibernéticas planejam e realizam seus ataques ajuda os profissionais de segurança cibernética a encontrar e atenuar vulnerabilidades em toda a organização. Isso também os ajuda a identificar indicadores de comprometimento durante os estágios iniciais de um ataque cibernético. Muitas organizações usam o modelo de cadeia de ataque cibernético para colocar medidas de segurança em vigor proativamente e orientar a resposta a incidentes.

Inteligência contra ameaças

Uma das ferramentas mais importantes para proteger uma organização contra ameaças cibernéticas é a inteligência contra ameaças. Boas soluções de inteligência contra ameaças sintetizam dados de todo o ambiente de uma organização e fornecem insights acionáveis que ajudam os profissionais de segurança a detectar ataques cibernéticos antecipadamente.

Geralmente, atores mal-intencionados invadem uma organização adivinhando ou roubando senhas. Depois de entrar, eles tentam escalonar privilégios para obter acesso a dados e sistemas confidenciais. As soluções de gerenciamento de identidades e acesso ajudam a detectar atividades anômalas que podem ser uma indicação de que um usuário não autorizado obteve acesso. Elas também oferecem controles e medidas de segurança, como a autenticação de dois fatores, que tornam mais difícil para alguém usar credenciais roubadas para entrar.

Muitas organizações permanecem à frente das ameaças cibernéticas mais recentes com a ajuda de uma solução de gerenciamento de eventos e informações de segurança (SIEM). As soluções SIEM agregam dados de toda a organização e de fontes de terceiros para exibir ameaças cibernéticas críticas para as equipes de segurança para triagem e abordagem. Muitas soluções SIEM também respondem automaticamente a determinadas ameaças conhecidas, reduzindo o número de incidentes que uma equipe precisa investigar.

Em qualquer organização, há centenas ou milhares de pontos de extremidade. Pode ser quase impossível manter atualizados todos os servidores, computadores, dispositivos móveis e dispositivos da Internet das Coisas (IoT) usados pelas empresas para conduzir negócios. Os atores ruins sabem disso, e é por isso que muitos ataques cibernéticos começam com um ponto de extremidade comprometido. As soluções de detecção e resposta de ponto de extremidade ajudam as equipes de segurança a monitorá-los em caso de ameaças e responder rapidamente ao serem descobertos problemas de segurança em dispositivos.

As soluções de detecção e resposta estendida (XDR) levam a detecção e a resposta de ponto de extremidade um passo além com uma única solução que protege pontos de extremidade, identidades, aplicativos de nuvem e emails.

Nem todas as empresas têm recursos internos disponíveis para detectar e responder efetivamente a ameaças. Para aumentar a sua equipe de segurança existente, essas organizações ativam provedores de serviços que oferecem detecção e resposta gerenciada. Esses provedores de serviços assumem a responsabilidade de monitorar o ambiente de uma organização e responder a ameaças.

Embora entender a cadeia de ataque cibernético possa ajudar empresas e governos a se prepararem proativamente e responderem a ameaças cibernéticas complexas e multiescala, depender dela exclusivamente pode tornar uma organização vulnerável a outros tipos de ataques cibernéticos. Algumas das críticas comuns à cadeia de ataque cibernético são:

• Focado em malware. A estrutura original da cadeia de ataque cibernético foi projetada para detectar e responder a malware e não é tão eficaz contra outros tipos de ataques, como um usuário não autorizado que obtém acesso com credenciais comprometidas.

• Ideal para segurança de perímetro. Com ênfase na proteção de pontos de extremidade, o modelo de cadeia de ataque cibernético funcionava bem quando havia um único perímetro de rede para proteger. Agora, com tantos funcionários remotos, a nuvem e um número cada vez maior de dispositivos que acessam os ativos de uma empresa, pode ser quase impossível resolver cada vulnerabilidade de ponto de extremidade.

• Não equipado para ameaças internas. Pessoas internas, que já têm acesso a alguns sistemas, são mais difíceis de detectar com um modelo de cadeia de ataque cibernético. Em vez disso, as organizações precisam monitorar e detectar mudanças na atividade do usuário.

• Muito linear. Embora muitos ataques cibernéticos sigam os oito estágios descritos na cadeia de ataque cibernético, também há muitos que não combinam ou combinam várias etapas em uma única ação. As organizações que estão muito focadas em cada um dos estágios podem perder essas ameaças cibernéticas.

Desde 2011, quando a Lockhead Martin introduziu pela primeira vez a cadeia de ataque cibernético, muita coisa mudou no cenário de ameaças cibernéticas e tecnologia. A computação em nuvem, os dispositivos móveis e os dispositivos IoT transformaram a forma como as pessoas trabalham e as empresas operam. Os atores de ameaças cibernéticas responderam a essas novas tecnologias com suas próprias inovações, incluindo o uso da automação e da IA para acelerar e melhorar seus ataques cibernéticos. A cadeia de ataque cibernético oferece um ótimo ponto de partida para desenvolver uma estratégia de segurança proativa que leve em conta a mentalidade e os objetivos do invasor cibernético. A segurança da Microsoft oferece uma plataforma de SecOps unificada que reúne XDR e SIEM em uma solução adaptável para ajudar as organizações a desenvolver uma defesa em camadas que protege todas as etapas na cadeia de ataque cibernético. E as organizações também estão se preparando para as ameaças cibernéticas emergentes, da plataforma AI, investindo em IA para soluções de segurança cibernética, como Copilot da Segurança da Microsoft.