Trace Id is missing

Anatomia de uma superfície de ataque moderna

Seis áreas para as organizações gerirem

À medida que o mundo se torna mais ligado e digital, a cibersegurança está-se a tornar mais complexa. As organizações estão a mover mais infraestrutura, dados e aplicações para a cloud, a apoiar o trabalho à distância e a interagir com ecossistemas de terceiros. Consequentemente, o que as equipas de segurança têm de defender agora é um ambiente mais amplo e dinâmico e um conjunto alargado de ataques de superfície.

Os atores de ameaças estão a tirar partido desta complexidade, explorando lacunas nas proteções e permissões de uma organização e executando ataques de alto volume implacáveis. Os ataques são muitas vezes multifacetados, abrangendo vários elementos das operações e da infraestrutura de uma organização. Os atacantes também estão a ficar cada vez mais coordenados, num panorama de cibercrime como serviço em crescimento. Em 2022, a Unidade de Crimes Digitais da Microsoft bloqueou 2 750 000 registos de sites para estar um passo à frente dos atores criminosos que planeavam utilizá-los para praticar cibercrime a nível global.1

Acompanhar as ameaças atuais significa proteger todas as principais superfícies de ataque, incluindo  e-mail, identidade, ponto final, Internet das Coisas (IoT), cloud e superfície de ataque externa. De uma perspetiva de segurança, tudo depende dos seus pontos fracos, sendo que os atacantes conseguem detetá-los cada vez melhor. A boa notícia é que a maioria das ameaças pode ser travada ao implementar medidas de segurança básicas. Na verdade, concluímos que a higiene de segurança básica continua a proteger contra 98% dos ciberataques.2

Visibilidade ponto a ponto sobre ameaças é fundamental para uma boa higiene de segurança. As informações sobre ameaças certas dão às equipas de segurança uma vista abrangente do cenário de ameaças, permitindo-lhes manter-se um passo à frente de ameaças emergentes e refinar continuamente as suas defesas. E quando os atores de ameaças conseguem entrar, informações sobre ameaças holísticas são essenciais para saber o que aconteceu e prevenir que aconteça outra vez.

Abaixo, falaremos de tendências de ameaças e desafios relacionados com seis principais superfícies de ataque numa organização: e-mail, identidade, ponto final, IoT, cloud e externa. No final, voltaremos ao tema de como as informações sobre ameaças certas podem inclinar o terreno de jogo e dar às equipas de segurança uma vantagem poderosa.

Para a maioria das organizações, o e-mail é uma parte essencial das operações empresariais diárias. Infelizmente, o e-mail continua a ser um dos principais vetores de ameaças. 35% dos incidentes de ransomware em 2022 envolveram a utilização de e-mail4 Os atacantes estão a realizar mais ataques de e-mail do que nunca. Em 2022, a taxa de ataques de phishing aumentou 61% em comparação com 2021.5

Agora, normalmente os atacantes também tiram partido de recursos legítimos para realizar ataques de phishing. Isto torna ainda mais difícil para os utilizadores diferenciar entre e-mails reais e maliciosos, o que aumenta a probabilidade de uma ameaça passar despercebida. Ataques de phishing de consentimento são um exemplo desta tendência, em que os atores de ameaças usam fornecedores de serviços cloud legítimos para enganar utilizadores e fazê-los conceder permissões para aceder a dados confidenciais.

Sem a capacidade de correlacionar sinais de e-mail com incidentes mais amplos para visualizar ataques, pode demorar muito tempo a detetar um ator de ameaças que obteve acesso via e-mail. E nessa altura pode ser demasiado tarde para evitar danos. O tempo médio que um atacante demora a aceder aos dados privados de uma organização é apenas 72 minutos.6 Isto pode resultar em perdas sérias ao nível empresarial. Estima-se que o comprometimento de e-mail empresarial (BEC) tenha custado 2,4 mil milhões USD em perdas ajustadas em 2021.7

Além de salvaguardas como verificação de URL e desativação de macros, a educação dos colaboradores é essencial para impedir que as ameaças tenham impacto. E-mails de phishing simulados e materiais educativos sobre como identificar conteúdo malicioso (mesmo quando parece legítimo) são medidas de segurança preventivas críticas. Prevemos que os atores de ameaças continuarão a aumentar a qualidade da engenharia social dos seus ataques por e-mail, tirando partido de IA e de outras ferramentas para melhorar a persuasão e a personalização dos e-mails maliciosos. E este é só um exemplo, à medida que as organizações melhoram a abordar as ameaças por e-mail atuais, as ameaças continuarão a evoluir.

No mundo atual possibilitado pela cloud, proteger o acesso tornou-se mais importante do que nunca. Como resultado, obter uma compreensão aprofundada da identidade na sua organização, incluindo permissões de contas de utilizador, entidades de carga de trabalho e as respetivas potenciais vulnerabilidades , é vital, especialmente à medida que os ataques aumentam em frequência e criatividade.

Estima-se que o número de ataques de palavra-passe tenha aumentado para 921 ataques a cada segundo em 2022, um aumento de 74% desde 2021.8 Na Microsoft, também verificámos que os atores de ameaças se tornaram mais criativos no que diz respeito a contornar a autenticação multifator (MFA), ao utilizar técnicas como ataques de phishing "adversary-in-the-middle" e abuso de tokens para obter acesso a dados de organizações. Os kits de phishing facilitaram ainda mais o roubo de credenciais por parte dos atores de ameaças. A Unidade de Crimes Digitais da Microsoft observou um aumento na sofisticação dos kits de phishing no último ano, juntamente com barreiras de entrada muito baixas, com um vendedor a oferecer kits de phishing por 6 USD por dia.9

Gerir a superfície de ataque de identidade não se limita a proteger contas de utilizador; abrange o acesso à cloud, bem como entidades de carga de trabalho. Credenciais comprometidas podem ser uma ferramenta poderosa para atores de ameaças utilizarem para fazer estragos na infraestrutura de cloud de uma organização.

Os atacantes obtêm frequentemente acesso a contas de terceiros ou outras contas com privilégios elevados ligadas a uma organização e, depois, utilizam essas credenciais para infiltrar a cloud e roubar dados. Embora as entidades de carga de trabalho (identidades atribuídas a cargas de trabalho de software, como aplicações, para aceder a outros serviços e recursos) sejam muitas vezes ignoradas em auditorias de permissões, as informações de identidade ocultas em cargas de trabalho podem dar a um ator de ameaças acesso aos dados de uma organização inteira.

À medida que o panorama de identidade se continua a expandir, esperamos que os ataques a visar identidade continuarão a aumentar, tanto em volume como em variedade. Isto significa que manter uma compreensão exaustiva de identidade e acesso continuará a ser uma missão crítica.

Com o número de dispositivos nos ambientes híbridos atuais, proteger pontos finais tornou-se mais difícil. O que não mudou é que proteger pontos finais, especialmente dispositivos não geridos, é fundamental para uma postura de segurança forte, uma vez que mesmo um só comprometimento pode dar aos atores de ameaças acesso à sua organização.

À medida que as organizações foram adotando políticas de BYOD (“Bring Your Own Device”), dispositivos não geridos multiplicaram-se. Consequentemente, a superfície de ataque de pontos finais é agora maior e está mais exposta. Em média, existem 3500 dispositivos ligados numa empresa que não estão protegidos por um agente de DRP.11

Os dispositivos não geridos (que fazem parte do panorama de "TI sombra") são especialmente apelativos para os atores de ameaças, uma vez que as equipas de segurança não têm visibilidade necessária para os proteger. Na Microsoft, concluímos que os utilizadores têm mais 71% de probabilidade de serem infetados num dispositivo não gerido.12 Uma vez que se ligam a redes da empresa, os dispositivos não geridos também apresentam oportunidades para os atacantes lançarem ataques mais amplos em servidores e outras infraestruturas.

Os servidores não geridos também são potenciais vetores para ataques de pontos finais. Em 2021, o Microsoft Security observou um ataque em que um ator de ameaça tirou partido de um servidor sem patches aplicados, navegou pelos diretórios e descobriu uma pasta de palavras-passe que lhe deu acesso a credenciais de contas.

O atacante, depois, iniciou sessão em vários dispositivos na organização para recolher e transferir vastas quantidades de dados, incluindo propriedade intelectual. Isto provavelmente permitiu ao atacante fazer ameaças em relação à divulgação das informações se o resgate subsequente não fosse pago. Esta é uma prática conhecida como "extorsão dupla" e é um cenário preocupante que verificámos de forma mais frequente no último ano.13 Mesmo que o resgate seja pago, não há qualquer garantia de que os dados sejam desencriptados ou mesmo devolvidos.

Com o número de pontos finais a continuar a aumentar, os atores de ameaças continuarão, sem dúvida, a ver os pontos finais (especialmente os não geridos) como alvos apelativos. Como resultado, melhorar a visibilidade e a higiene de segurança dos pontos finais pode oferecer às organizações valor significativo.

Um dos vetores de ataques de pontos finais mais ignorados é a IoT (Internet das Coisas), que inclui milhares de milhões de dispositivos, grandes e pequenos. A segurança de IoT abrange dispositivos físicos que se ligam a e trocam dados com a rede, com routers, impressores, câmaras e outros dispositivos semelhantes. Também pode incluir dispositivos e sensores operacionais (tecnologia operacional ou “OT”), como equipamento inteligente em linhas de montagem de fabrico.

À medida que o número de dispositivos IoT aumenta, também aumenta o número de vulnerabilidades. Até 2025, a IDC prevê que 41 mil milhões de dispositivos IoT estarão presentes nos ambientes empresariais e de consumidores.15 Uma vez que muitas organizações estão a proteger routers e redes para que seja mais difícil os atores de ameaças se infiltrarem, os dispositivos IoT estão-se a tornar um alvo mais fácil e apelativo. Vimos frequentemente atores de ameaças a explorar vulnerabilidades para transformar dispositivos IoT em proxies, ao utilizar um dispositivo exposto como ponto de entrada na rede. Depois de um ator de ameaças obter acesso a um dispositivo IoT, pode monitorizar o tráfego para outros recursos desprotegidos, mover-se lateralmente para infiltrar-se noutras partes da infraestrutura do alvo ou realizar reconhecimento para planear ataques de grande escala a equipamento e dispositivos confidenciais. Num estudo, 35% dos praticantes de segurança relataram que, nos últimos dois anos, um dispositivo IoT foi utilizado para realizar um ataque mais amplo na sua organização.16

Infelizmente, a IoT é muitas vezes uma caixa negra para as organizações em termos de visibilidade e muitas carecem de medidas de segurança de IoT adequadas. 60% dos praticantes de segurança citaram a segurança de IoT e OT como um dos aspetos menos protegidos da sua infraestrutura de TI e OT.17

Os próprios dispositivos de IoT contêm muitas vezes vulnerabilidades perigosas. Dados de inteligência da Microsoft desvendaram que um milhão de dispositivos ligados visíveis publicamente na Internet estão a executar o servidor Web Boa, um software desatualizado não suportado ainda muito utilizado em dispositivos IoT e software development kits (SDK).18

Cada vez mais países estão atentos a estas lacunas e a exigir melhorias na cibersegurança de dispositivos IoT.19,20 Estes regulamentos são um indicador do crescente foco na segurança de IoT, à medida que tanto empresas como consumidores ficam mais preocupados com as vulnerabilidades de dispositivos IoT. Embora a IoT esteja atualmente em destaque, os regulamentos de cibersegurança também estão a ser alargados a outras áreas, tornando-se ainda mais urgente que as organizações obtenham visibilidade sobre todas as superfícies de ataque.

As organizações estão a mover cada vez mais a infraestrutura, o desenvolvimento de aplicações, as cargas de trabalho e enormes quantidades de dados para a cloud. Proteger o ambiente da cloud significa defender uma série de serviços, incluindo SaaS, IaaS e PaaS, distribuídos por várias clouds. Dada a envergadura e a distribuição dos serviços envolvidos, pode ser difícil obter o nível adequado de visibilidade e proteção em cada camada.

Muitas organizações têm dificuldade em obter visibilidade ponto a ponto em todo o seu ecossistema de cloud, especialmente à medida que os dados residem cada vez mais em vários ambientes de cloud e híbridos. Frequentemente, esta falta de visibilidade significa que existe uma lacuna de segurança. Na Microsoft, concluímos que 84% das organizações que sofreram ataques de ransomware não integraram os seus recursos multicloud nas suas ferramentas de segurança, um descuido crítico.21

A mudança generalizada para a cloud também aumentou o número de novos vetores de ataques que os cibercriminosos podem explorar, com muitos a obter acesso através de lacunas em segurança de permissões. Vulnerabilidades baseadas em código desconhecido em aplicações desenvolvidas na cloud aumentaram dramaticamente o risco de comprometimento. Como resultado, o principal vetor de ataques de cloud que estamos a ver em organizações é agora o desenvolvimento de aplicações de cloud.

Adotar uma abordagem de segurança “Shift-left”, incorporar pensamento de segurança às fases iniciais do desenvolvimento de aplicações, pode ajudar as organizações a fortalecer as suas posturas de segurança e evitar introduzir de todo estas vulnerabilidades.

O armazenamento na cloud é outro vetor de ataques cada vez mais comum, uma vez que permissões incorretas podem pôr dados de utilizadores em risco. Além disso, os próprios fornecedores de serviços cloud também podem ser comprometidos. Em 2021, o Midnight Blizzard (um grupo de atores de ameaças associado à Rússia, anteriormente conhecido como NOBELIUM) lançou ataques de phishing contra um fornecedor de serviços cloud numa tentativa de comprometer e tirar partido de contas de clientes governamentais privilegiadas.22 Este é apenas um exemplo de uma ameaça de cloud moderna e prevemos que haja mais ataques entre clouds no futuro.

Hoje em dia, a superfície de ataques externos de uma organização abrange várias clouds, cadeias de fornecimento digital complexas e ecossistemas de terceiros enormes. A internet faz agora parte da rede e, apesar do seu tamanho quase incomensurável, as equipas de segurança têm de defender a presença das suas organizações na Internet até ao mesmo ponto que tudo por trás das suas firewalls. E à medida que mais organizações adotam os princípios de Confiança Zero, proteger ambas as superfícies de ataques interna e externa tornou-se um desafio à escala da Internet.

A superfície de ataque global cresce com a Internet e expande-se todos os dias. Na Microsoft, vimos provas deste crescimento em muito tipos de ameaças, como ataques de phishing. Em 2021, a Unidade de Crimes Digitais da Microsoft realizou a remoção de mais de 96 000 URL de phishing exclusivos e 7700 kits de phish, o que levou à identificação e ao encerramento de mais de 2200 contas de e-mail maliciosas, que eram utilizadas para recolher credenciais de clientes roubadas.24

A superfície de ataques externa vai muito além dos próprios recursos de uma organização. Inclui muitas vezes fornecedores, parceiros, dispositivos pessoais não geridos de colaboradores ligados a redes ou recursos da empresa e organizações recém-adquiridas. Consequentemente, é fundamental estar ciente das ligações externas e da exposição para mitigar potenciais ameaças. Um relatório do Ponemon de 2020 revelou que 53% das organizações tiveram pelo menos uma falha de segurança de dados causada por um terceiro nos últimos dois anos, cuja remediação custou, em média, 7,5 milhões USD.25

À medida que a infraestrutura responsável por ciberataques aumenta, obter visibilidade sobre a infraestrutura de ameaças e inventariar recursos expostos à Internet tornou-se mais urgente do que nunca. Descobrimos que as organizações, muitas vezes, têm dificuldade em compreender o âmbito da sua exposição externa, o que resulta em pontos cegos significativos. Estas lacunas podem ter consequências devastadoras. Em 2021, 61% das empresas sofreram um ataque de ransomware que levou a uma interrupção pelo menos parcial das operações comerciais.26

Na Microsoft, dizemos muitas vezes aos clientes para verem as suas organizações de fora para dentro ao avaliar a postura de segurança. Além do VAPT (Teste de Penetração e Avaliação de Vulnerabilidade), é importante obter visibilidade profunda sobre a sua superfície de ataques externos para que possa identificar vulnerabilidades no seu ambiente e ecossistema alargado inteiros. Se fosse um atacante a tentar entrar, o que poderia explorar? Compreender toda a extensão da superfície de ataques externos da sua organização é fundamental para protegê-la.

Como a Microsoft pode ajudar


O panorama de ameaças atual está a mudar constantemente, e as organizações precisam de uma estratégia de segurança que possa acompanhar o ritmo. Uma maior complexidade e exposição organizacional, juntamente com um grande volume de ameaças e uma baixa barreira de entrada na economia de cibercrime, tornam mais urgente do que nunca proteger todos os aspetos dentro de e entre cada superfície de ataque.

As equipas de segurança precisam de informações sobre ameaças poderosas para defender contra a quantidade inumerável de ameaças em evolução de hoje em dia. As informações sobre ameaças certas correlacionam sinais de diferentes locais, fornecendo contexto relevante e oportuno sobre o comportamento e as tendências de ataques atuais para que as equipas de segurança possam identificar vulnerabilidades, priorizar alertas e parar ataques com êxito. E, se uma falha de segurança ocorrer, as informações sobre ameaças são críticas para prevenir danos adicionais e melhorar as defesas para que um ataque semelhante não possa acontecer outra vez. Resumindo, as organizações que tirarem partido de mais informações sobre ameaças estarão mais protegidas e terão mais êxito.

A Microsoft tem uma visão sem igual do panorama de ameaças em evolução, com 65 biliões de sinais analisados diariamente. Ao correlacionar estes sinais em tempo real entre superfícies de ataque, as informações sobre ameaças incorporadas em soluções do Microsoft Security fornecem informações sobre o ambiente de ransomware e ameaças em crescimento, para que possa ver e parar mais ataques. E com capacidades de IA avançadas, como o Microsoft Security Copilot, pode manter-se um passo à frente das ameaças em evolução e defender a sua organização à velocidade de uma máquina, capacitando a sua equipa de segurança para simplificar o complexo, apanhar o que outros deixam escapar e proteger tudo.

  1. [1]

    Relatório de defesa digital da Microsoft de 2022, p. 18

  2. [2]

    Relatório de defesa digital da Microsoft de 2022, p. 108

  3. [3]

    Relatório de defesa digital da Microsoft de 2022, p. 21

  4. [4]

    Relatório de Investigações de Falhas de Segurança de Dados da Verizon de 2022, p. 28

  5. [6]

    Relatório de defesa digital da Microsoft de 2022, p. 21

  6. [7]

    Relatório de Crimes pela Internet do FBI de 2021, p. 3

  7. [8]

    Relatório de defesa digital da Microsoft de 2022, p. 2

  8. [9]

    Relatório de defesa digital da Microsoft de 2022, p. 19

  9. [10]

    Relatório de defesa digital da Microsoft de 2022, p. 14

  10. [11]

    Relatório de defesa digital da Microsoft de 2022, p. 92

  11. [16]

    “O Estado da Cibersegurança de IoT/OT nas Grandes Empresas” Relatório de Investigação do Ponemon Institute de 2021, p. 2

  12. [17]

    “O Estado da Cibersegurança de IoT/OT nas Grandes Empresas” Relatório de Investigação do Ponemon Institute de 2021, p. 2

  13. [18]

    Relatório do Microsoft Cyber Signals de 2022, p. 3

  14. [21]

    Relatório de defesa digital da Microsoft de 2022, p. 16

  15. [22]

    Relatório de defesa digital da Microsoft de 2022, p. 37

  16. [23]

    Relatório de defesa digital da Microsoft de 2022, p. 95

  17. [27]

    Relatório Anual de Falhas de Segurança de Dados do Centro de Recursos de Roubo de Identidade de 2021, p. 5

Artigos relacionados

Três formas de se proteger contra o ransomware

A defesa de ransomware moderna requer muito mais do que a simples configuração de medidas de deteção. Descubra as principais três formas de como pode proteger a segurança da sua rede contra ransomware hoje.

O risco de segurança único dos dispositivos de IoT/OT

No nosso último relatório, explorámos como a conectividade de IoT/OT crescente está a levar a maiores e mais severas vulnerabilidades para os atores de ciberameaças explorarem.

A convergência de TI e TO

A circulação crescente da IoT está a pôr a OT em risco, com uma matriz de potenciais vulnerabilidades e exposição a atores de ameaças. Descubra como manter a sua organização protegida.

Siga o Microsoft Security