Trace Id is missing

A identidade é o novo campo de batalha

Transferir
Partilhar
Um homem e uma mulher sentados a uma mesa a utilizar um portátil.

Primeira Edição do Cyber Signals: Obtenha informações sobre ciberameaças em evolução e que passos seguir para proteger melhor a sua organização.

Há uma dissonância perigosa entre os protocolos de segurança da maioria das organizações e as ameaças que enfrentam. Embora os atacantes também tentem forçar a entrada em redes, a sua tática preferia é mais simples: adivinhar palavras-passe de início de sessão fracas. Medidas básicas como autenticação multifator são eficazes contra 98% dos ataques, mas só 20% das organizações fazem uso das mesmas completamente (Relatório de defesa digital da Microsoft, 2021).

Na Edição 1, aprenderá sobre as tendências e recomendações de segurança atuais de investigadores e especialistas da Microsoft, incluindo:

  • Quem  conta com ataques baseados em palavras-passe e identidades.
  • O que fazer para contrariar ataques, incluindo estratégias de ponto final, e-mail e identidade.
  • Quando  priorizar medidas de segurança diferentes.
  • Onde  estirpes de ransomware entram e se multiplicam em redes e como pará-las.
  • Porquê  a proteção de identidade continua a ser a maior causa para preocupação, mas também a maior oportunidade para melhorar a sua segurança.

Atores de estados-nações redobram esforços para simplesmente apoderar-se de pilares de identidade

Os ciberataques de atores de estados-nações estão a aumentar. Apesar dos seus vastos recursos, estes adversários muitas vezes contam com táticas simples para roubar palavras-passe adivinhadas facilmente. Ao fazê-lo, podem obter acesso rápido e fácil a contas de clientes. No caso de ataques a empresas, penetrar a rede de uma organização permite a atores de estados-nações obter uma base de operações que podem utilizar para se mover verticalmente, para utilizadores e recursos semelhantes, ou horizontalmente, obtendo acesso a credenciais e recursos mais valiosos.

Spear-phishing, ataques de engenharia social e utilização de palavra-passe única de grande escala são táticas básicas de atores de estados-nações utilizadas para roubar ou adivinhar palavras-passe. A Microsoft obtém informações sobre a arte e os êxitos dos atacantes ao observar em que táticas e técnicas investem e com quais têm êxito. Se as credenciais de utilizadores forem mal geridas ou deixadas vulneráveis sem salvaguardas fundamentais como autenticação multifator (MFA) e funcionalidades sem palavra-passe, estados-nações continuarão a utilizar as mesmas táticas simples.

A necessidade de impor a adoção de MFA ou passar para sem palavra-passe é crucial, porque a simplicidade e o baixo custo dos ataques focados em identidade tornam-nos convenientes e eficazes para os atores. Embora a MFA não seja a única ferramenta de gestão de identidade e acesso que as organizações deviam utilizar, pode fornecer uma forma de dissuasão de ataques poderosa.

Violar credenciais é uma característica do NOBELIUM, um adversário de estado-nação associado à Rússia. No entanto, outros adversários, como o DEV 0343 associado ao Irão também contam com utilização de palavra-passe única. Foi observada atividade do DEV-0343 em empresas de defesa que produzem radares de categoria militar, tecnologia de drones, sistemas de satélite e sistemas de comunicação de resposta a emergências. Atividade adicional visou portas de entrada regionais no golfo Pérsico e várias empresas marítimas e de transporte de mercadorias com um foco comercial no Médio Oriente.
Discriminação dos ciberataques baseados em identidade iniciados pelo Irão
Os países mais visados pelo Irão entre julho de 2020 e junho de 2021 foram os Estados Unidos (49%), Israel (24%) e a Arábia Saudita (15%). Saiba mais sobre esta imagem na página 4 do relatório completo

A organização deve:

Ativar autenticação multifator: ao fazê-lo, mitiga o risco de as palavras-passe caírem nas mãos erradas. Ainda melhor, eliminar as palavras-passe completamente ao utilizar MFA sem palavra-passe.
Auditar privilégios de contas: contas com acesso privilegiado, se forem roubadas, tornam-se uma arma poderosa que os atacantes podem utilizar para obter acesso superior a redes e recursos. As equipas de segurança devem auditar os privilégios de acesso frequentemente, utilizando o princípio de menor privilégio concedido para permitir que os colaboradores façam o seu trabalho.
Rever, proteger a monitorizar todas as contas de administrador de inquilinos: as equipas de segurança devem rever exaustivamente todos os utilizadores ou contas de administrador de inquilinos com privilégios administrativos delegados para verificar a autenticidade dos utilizadores e das atividades. Devem depois desativar ou remover quaisquer privilégios administrativos delegados por utilizar.
Estabelecer e impor uma linha de base de segurança para reduzir o risco: os estados-nações pensam a longo prazo e têm o financiamento, a vontade e a escala para desenvolver novas estratégias e técnicas de ataque. Qualquer iniciativa de proteção de redes adiada devido a largura de banda ou burocracia funciona a favor dos mesmos. As equipas de segurança devem priorizar a implementação de práticas de confiança zero como atualizações de MFA e sem palavra-passe . Podem começar com contas privilegiadas para obter proteção rapidamente e, depois, expandir em fases incrementais e contínuas.

O ransomware domina a atenção, mas apenas algumas estirpes dominam

A narrativa dominante parece ser a de que há muitíssimas novas ameaças de ransomware a ultrapassarem as capacidades dos defensores. No entanto, a análise da Microsoft mostra que isto é incorreto. Há também a perceção de que determinados grupos de ransomware são uma única entidade monolítica, o que também é incorreto. O que existe é uma economia cibercriminosa em que diferentes intervenientes em cadeias de ataque automatizadas fazem escolhas deliberadas. São impelidos por um modelo económico para maximizar o lucro com base em como cada um explora as informações a que tem acesso. O gráfico abaixo mostra como grupos diferentes lucram com várias estratégias de ciberataque e informações de falhas de segurança de dados.

Média de preços de vários serviços de cibercrime
Média de preços de serviços de cibercrime à venda. Contratação de atacantes custa a partir de 250 USD por trabalho. Kits de ransomware são 66 USD ou 30% do lucro. Dispositivos comprometidos custam a partir de 0,13 USD por PC e 0,82 USD por dispositivo móvel. Aluguer de ataque spear phishing varia entre 100 USD e 1000 USD. Pares de nome de utilizador e palavra-passe roubados custam a partir de 0,97 USD por cada 1000, em média. Saiba mais sobre esta imagem na página 5 do relatório completo  

Dito isso, independentemente de quanto ransomware exista, ou que estirpes estejam envolvidas, resume-se a três vetores de entrada: força bruta de protocolo de ambiente de trabalho remoto (RDP), sistemas expostos à Internet vulneráveis e phishing. Todos estes vetores podem ser mitigados com proteção de palavras-passe adequada, gestão de identidades e atualizações de software, além de um conjunto de ferramentas abrangente de segurança e conformidade. Um tipo de ransomware só se pode tornar prolífico quando obtém acesso a credenciais e a capacidade de se espalhar. A partir daí, mesmo que seja uma estirpe conhecida, pode causar muitos danos.

Representação gráfica de atores de ameaças do acesos inicial ao movimento lateral através do sistema
Caminho do comportamento de atores de ameaças assim que o sistema é infiltrado do ponto de acesso inicial ao roubo de credenciais e movimento lateral pelo sistema. Monitoriza o caminho persistente para capturar contas e adquirir o payload de ransomware. Saiba mais sobre esta imagem na página 5 do relatório completo

As equipas de segurança devem:

Compreender que o ransomware dá-se bem com credenciais predefinidas ou comprometidas: como resultado, as equipas de segurança devem acelerar salvaguardas como a implementação de MFA sem palavra-passe em todas as contas de utilizador e priorizar funções executivas, de administrador e outras com privilégios.
Identificar como detetar anomalias reveladoras a tempo de agir: Inícios de sessão cedo, movimento de ficheiros e outros comportamentos que introduzem ransomware podem parecer insignificantes. Contudo, as equipas precisam de monitorizar a ocorrência de anomalias e agir rapidamente.
Ter um plano de resposta a ransomware e realizar exercícios de recuperação: vivemos na era da sincronização e partilha na cloud, mas cópias de dados são diferentes de sistemas de TI e bases de dados inteiros. As equipas devem visualizar e praticar o que restaurações completas implicariam.
Gerir alertas e mover rapidamente para a mitigação: embora todos temam ataques de ransomware, o principal foco das equipas de segurança deve ser fortalecer configurações de segurança fracas que permitam que o ataque tenha êxito. Devem gerir configurações de segurança para que alertas e deteções tenham uma resposta adequada.
Curva de distribuição de proteção a mostrar como higiene de segurança básica ajuda a proteger contra 98% dos ataques
Proteja-se contra 98% dos ataques ao utilizar antimalware, aplicar acesso de menor privilégio, ativar autenticação multifator, manter versões atualizadas e proteger dados. Os 2% restantes incluem ataques discrepantes. Saiba mais sobre esta imagem na página 5 do relatório completo
Obtenha orientação adicional do Líder Principal de Informações Sobre Ameaças da Microsoft Christopher Glyer sobre como proteger a identidade.

As informações são obtidas e as ameaças são bloqueadas através de 24 biliões de sinais diários

Ameaças de pontos finais:
O Microsoft Defender para Endpoint bloqueou mais de 9,6 mil milhões de ameaças de malware a visar dispositivos de clientes empresariais e consumidores, entre janeiro e dezembro de 2021.
Ameaças de e-mail:
O Microsoft Defender para Office 365 bloqueou mais de 35,7 mil milhões e-mails de phishing e outros e-mails maliciosos a visar clientes empresariais e consumidores, entre janeiro e dezembro de 2021.
Ameaças de identidade:
A Microsoft (Azure Active Directory) detetou e bloqueou mais de 25,6 mil milhões de tentativas de apoderamento de contas de clientes empresariais ao tentar palavras-passe roubadas por força bruta, entre janeiro e dezembro de 2021.

Metodologia: Para os dados de instantâneo, as plataformas da Microsoft, incluindo o Defender e o Azure Active Directory, forneceram dados anonimizados sobre atividades de ameaças, como tentativas de início de sessão com força bruta, e-mails de phishing e outros e-mails maliciosos a visar empresas e consumidores e ataques de malware entre janeiro e dezembro de 2021. As informações adicionais provêm dos 24 biliões de sinais de segurança diários obtidos em toda a Microsoft, incluindo a cloud, pontos finais, o edge inteligente. Dados de autenticação forte combinam MFA e proteção sem palavra-passe.

Identidade Ransomware Estado-nação

Artigos relacionados

Número 2 do Cyber Signals: A Economia da Extorsão

Saiba o que os especialistas na primeira linha têm a dizer sobre o desenvolvimento do ransomware como serviço. De programas e payloads a afiliados e mediadores de acesso, descubra as ferramentas, as táticas e os alvos que os cibercriminosos preferem e obtenha orientação para ajudar a proteger a sua organização.
Saber mais

Defender a Ucrânia: Primeiras Lições da Guerra Cibernética

Os últimos desenvolvimentos dos nossos esforços de informações sobre ameaças contínuos na guerra entre a Rússia e a Ucrânia e uma série de conclusões dos seus primeiros quatro meses, reforçam a necessidade de investimentos contínuos e novos em tecnologia, dados e parcerias para apoiar governos, empresas, ONGs e universidades.
Saber mais

Perfil de Especialista: Christopher Glyer

Enquanto Líder Principal de Informações Sobre Ameaças com um foco em ransomware no Centro de Informações sobre Ameaças da Microsoft (MSTIC), Christopher Glyer faz parte da equipa que investiga como os atores de ameaças mais avançados acedem a e exploram sistemas..
Saber mais