Anatomia de uma superfície de ataque moderna

Para a maioria das organizações, o e-mail é uma parte essencial das operações empresariais diárias. Infelizmente, o e-mail continua a ser um dos principais vetores de ameaças. 35% dos incidentes de ransomware em 2022 envolveram a utilização de e-mail⁴ Os atacantes estão a realizar mais ataques de e-mail do que nunca. Em 2022, a taxa de ataques de phishing aumentou 61% em comparação com 2021^.5

Agora, normalmente os atacantes também tiram partido de recursos legítimos para realizar ataques de phishing. Isto torna ainda mais difícil para os utilizadores diferenciar entre e-mails reais e maliciosos, o que aumenta a probabilidade de uma ameaça passar despercebida. Ataques de phishing de consentimento são um exemplo desta tendência, em que os atores de ameaças usam fornecedores de serviços cloud legítimos para enganar utilizadores e fazê-los conceder permissões para aceder a dados confidenciais.

Sem a capacidade de correlacionar sinais de e-mail com incidentes mais amplos para visualizar ataques, pode demorar muito tempo a detetar um ator de ameaças que obteve acesso via e-mail. E nessa altura pode ser demasiado tarde para evitar danos. O tempo médio que um atacante demora a aceder aos dados privados de uma organização é apenas 72 minutos.⁶ Isto pode resultar em perdas sérias ao nível empresarial. Estima-se que o comprometimento de e-mail empresarial (BEC) tenha custado 2,4 mil milhões USD em perdas ajustadas em 2021.⁷

No mundo atual possibilitado pela cloud, proteger o acesso tornou-se mais importante do que nunca. Como resultado, obter uma compreensão aprofundada da identidade na sua organização, incluindo permissões de contas de utilizador, entidades de carga de trabalho e as respetivas potenciais vulnerabilidades , é vital, especialmente à medida que os ataques aumentam em frequência e criatividade.

Estima-se que o número de ataques de palavra-passe tenha aumentado para 921 ataques a cada segundo em 2022, um aumento de 74% desde 2021.⁸ Na Microsoft, também verificámos que os atores de ameaças se tornaram mais criativos no que diz respeito a contornar a autenticação multifator (MFA), ao utilizar técnicas como ataques de phishing "adversary-in-the-middle" e abuso de tokens para obter acesso a dados de organizações. Os kits de phishing facilitaram ainda mais o roubo de credenciais por parte dos atores de ameaças. A Unidade de Crimes Digitais da Microsoft observou um aumento na sofisticação dos kits de phishing no último ano, juntamente com barreiras de entrada muito baixas, com um vendedor a oferecer kits de phishing por 6 USD por dia.⁹

Gerir a superfície de ataque de identidade não se limita a proteger contas de utilizador; abrange o acesso à cloud, bem como entidades de carga de trabalho. Credenciais comprometidas podem ser uma ferramenta poderosa para atores de ameaças utilizarem para fazer estragos na infraestrutura de cloud de uma organização.

Com o número de dispositivos nos ambientes híbridos atuais, proteger pontos finais tornou-se mais difícil. O que não mudou é que proteger pontos finais, especialmente dispositivos não geridos, é fundamental para uma postura de segurança forte, uma vez que mesmo um só comprometimento pode dar aos atores de ameaças acesso à sua organização.

À medida que as organizações foram adotando políticas de BYOD (“Bring Your Own Device”), dispositivos não geridos multiplicaram-se. Consequentemente, a superfície de ataque de pontos finais é agora maior e está mais exposta. Em média, existem 3500 dispositivos ligados numa empresa que não estão protegidos por um agente de DRP.¹¹

Os dispositivos não geridos (que fazem parte do panorama de "TI sombra") são especialmente apelativos para os atores de ameaças, uma vez que as equipas de segurança não têm visibilidade necessária para os proteger. Na Microsoft, concluímos que os utilizadores têm mais 71% de probabilidade de serem infetados num dispositivo não gerido.¹² Uma vez que se ligam a redes da empresa, os dispositivos não geridos também apresentam oportunidades para os atacantes lançarem ataques mais amplos em servidores e outras infraestruturas.

Os servidores não geridos também são potenciais vetores para ataques de pontos finais. Em 2021, o Microsoft Security observou um ataque em que um ator de ameaça tirou partido de um servidor sem patches aplicados, navegou pelos diretórios e descobriu uma pasta de palavras-passe que lhe deu acesso a credenciais de contas.

Um dos vetores de ataques de pontos finais mais ignorados é a IoT (Internet das Coisas), que inclui milhares de milhões de dispositivos, grandes e pequenos. A segurança de IoT abrange dispositivos físicos que se ligam a e trocam dados com a rede, com routers, impressores, câmaras e outros dispositivos semelhantes. Também pode incluir dispositivos e sensores operacionais (tecnologia operacional ou “OT”), como equipamento inteligente em linhas de montagem de fabrico.

À medida que o número de dispositivos IoT aumenta, também aumenta o número de vulnerabilidades. Até 2025, a IDC prevê que 41 mil milhões de dispositivos IoT estarão presentes nos ambientes empresariais e de consumidores.¹⁵ Uma vez que muitas organizações estão a proteger routers e redes para que seja mais difícil os atores de ameaças se infiltrarem, os dispositivos IoT estão-se a tornar um alvo mais fácil e apelativo. Vimos frequentemente atores de ameaças a explorar vulnerabilidades para transformar dispositivos IoT em proxies, ao utilizar um dispositivo exposto como ponto de entrada na rede. Depois de um ator de ameaças obter acesso a um dispositivo IoT, pode monitorizar o tráfego para outros recursos desprotegidos, mover-se lateralmente para infiltrar-se noutras partes da infraestrutura do alvo ou realizar reconhecimento para planear ataques de grande escala a equipamento e dispositivos confidenciais. Num estudo, 35% dos praticantes de segurança relataram que, nos últimos dois anos, um dispositivo IoT foi utilizado para realizar um ataque mais amplo na sua organização.¹⁶

Infelizmente, a IoT é muitas vezes uma caixa negra para as organizações em termos de visibilidade e muitas carecem de medidas de segurança de IoT adequadas. 60% dos praticantes de segurança citaram a segurança de IoT e OT como um dos aspetos menos protegidos da sua infraestrutura de TI e OT.¹⁷

Hoje em dia, a superfície de ataques externos de uma organização abrange várias clouds, cadeias de fornecimento digital complexas e ecossistemas de terceiros enormes. A internet faz agora parte da rede e, apesar do seu tamanho quase incomensurável, as equipas de segurança têm de defender a presença das suas organizações na Internet até ao mesmo ponto que tudo por trás das suas firewalls. E à medida que mais organizações adotam os princípios de Confiança Zero, proteger ambas as superfícies de ataques interna e externa tornou-se um desafio à escala da Internet.

A superfície de ataque global cresce com a Internet e expande-se todos os dias. Na Microsoft, vimos provas deste crescimento em muito tipos de ameaças, como ataques de phishing. Em 2021, a Unidade de Crimes Digitais da Microsoft realizou a remoção de mais de 96 000 URL de phishing exclusivos e 7700 kits de phish, o que levou à identificação e ao encerramento de mais de 2200 contas de e-mail maliciosas, que eram utilizadas para recolher credenciais de clientes roubadas.²⁴

A superfície de ataques externa vai muito além dos próprios recursos de uma organização. Inclui muitas vezes fornecedores, parceiros, dispositivos pessoais não geridos de colaboradores ligados a redes ou recursos da empresa e organizações recém-adquiridas. Consequentemente, é fundamental estar ciente das ligações externas e da exposição para mitigar potenciais ameaças. Um relatório do Ponemon de 2020 revelou que 53% das organizações tiveram pelo menos uma falha de segurança de dados causada por um terceiro nos últimos dois anos, cuja remediação custou, em média, 7,5 milhões USD.²⁵

À medida que a infraestrutura responsável por ciberataques aumenta, obter visibilidade sobre a infraestrutura de ameaças e inventariar recursos expostos à Internet tornou-se mais urgente do que nunca. Descobrimos que as organizações, muitas vezes, têm dificuldade em compreender o âmbito da sua exposição externa, o que resulta em pontos cegos significativos. Estas lacunas podem ter consequências devastadoras. Em 2021, 61% das empresas sofreram um ataque de ransomware que levou a uma interrupção pelo menos parcial das operações comerciais.²⁶

Na Microsoft, dizemos muitas vezes aos clientes para verem as suas organizações de fora para dentro ao avaliar a postura de segurança. Além do VAPT (Teste de Penetração e Avaliação de Vulnerabilidade), é importante obter visibilidade profunda sobre a sua superfície de ataques externos para que possa identificar vulnerabilidades no seu ambiente e ecossistema alargado inteiros. Se fosse um atacante a tentar entrar, o que poderia explorar? Compreender toda a extensão da superfície de ataques externos da sua organização é fundamental para protegê-la.

Como a Microsoft pode ajudar

O panorama de ameaças atual está a mudar constantemente, e as organizações precisam de uma estratégia de segurança que possa acompanhar o ritmo. Uma maior complexidade e exposição organizacional, juntamente com um grande volume de ameaças e uma baixa barreira de entrada na economia de cibercrime, tornam mais urgente do que nunca proteger todos os aspetos dentro de e entre cada superfície de ataque.

As equipas de segurança precisam de informações sobre ameaças poderosas para defender contra a quantidade inumerável de ameaças em evolução de hoje em dia. As informações sobre ameaças certas correlacionam sinais de diferentes locais, fornecendo contexto relevante e oportuno sobre o comportamento e as tendências de ataques atuais para que as equipas de segurança possam identificar vulnerabilidades, priorizar alertas e parar ataques com êxito. E, se uma falha de segurança ocorrer, as informações sobre ameaças são críticas para prevenir danos adicionais e melhorar as defesas para que um ataque semelhante não possa acontecer outra vez. Resumindo, as organizações que tirarem partido de mais informações sobre ameaças estarão mais protegidas e terão mais êxito.

A Microsoft tem uma visão sem igual do panorama de ameaças em evolução, com 65 biliões de sinais analisados diariamente. Ao correlacionar estes sinais em tempo real entre superfícies de ataque, as informações sobre ameaças incorporadas em soluções do Microsoft Security fornecem informações sobre o ambiente de ransomware e ameaças em crescimento, para que possa ver e parar mais ataques. E com capacidades de IA avançadas, como o Microsoft Security Copilot, pode manter-se um passo à frente das ameaças em evolução e defender a sua organização à velocidade de uma máquina, capacitando a sua equipa de segurança para simplificar o complexo, apanhar o que outros deixam escapar e proteger tudo.