Esqueça o malware, vá atrás das táticas, técnicas e procedimentos do atacante

Reveja sua estratégia de proteção

Estudo encomendado pela Arbor Networks afirma que as opções de ataques visando ganhos financeiros nunca forma tão amplos, simples e arriscados, e as tentativas de monitoração e detecção nunca foram tão ineficientes

Quase tudo usado pelo atacante agora é descartável, tornando a maioria dos dados de ameaças e técnicas anti-vírus tradicionais quase inúteis. As fontes da indústria descobriram que a grande maioria dos malwares (mais de 95%) é gerada automaticamente para produzir binários exclusivos que são usados ​​apenas uma vez e depois descartados. A infraestrutura de ataque, como domínios, endereços IP e servidores, também é descartável para os atacantes .

O que os defensores devem procurar, então? E quais técnicas de defesa eles deveriam empregar? A resposta à primeira pergunta é buscar entender as Táticas, Técnicas e Procedimentos do atacante (TTPs).

O modo de ataque dependem do alvo, mas a maioria dos atacantes continuará usando as técnicas que funcionam. Mas, de acordo com o estudo, há um número relativamente pequeno de TTPs que ressurgem repetidas vezes em ataques, e muitos deles podem ser abordados através de simples mudanças de configuração e outras abordagens sem custo ou de baixo custo.

O hacker crimininoso profissional

A grande maioria dos hackers são profissionais e sempre tentarão obter o melhor retorno possível através do menor esforço possível.

Eles não vão escrever ferramentas de ataque se eles puderem usar outras ferramentas já criadas por outros “profissionais” (malwares, pentesting legítimos e outras ferramentas) e geralmente irão primeiro pela fruta mais baixa e seguem o caminho da menor resistência.

Mas, como observaram os White-Hats, os defensores devem ter em mente que uma defesa efetiva geralmente não dissuade os atacantes, simplesmente os força para um caminho diferente, e precisam prever o próximo passo dos atacantes antes que ele aconteça.

Os atacantes adoram a simplicidade e, em geral, preferem manter o risco para si mesmos o mínimo possível.

Se levarmos todas estas coisas em consideração, não é de admirar que vimos a maioria deles passar de roubar dados de pagamento e identidade para ataques de resgate (ware), ataques DDoS e fraudes que dependem de ataques eficazes de lança.

O anonimato da Tor e Bitcoin simplifica a folha de pagamento e o refúgio do atacante, reduzindo o risco de exposição consideravelmente“, observou o estudo.

 

TTPs mais comuns e defesas contra eles

Cada etapa de ataque vem com TTP específicos.

attacker tactics techniques procedures

No estágio de reconhecimento, os atacantes são mais propensos a usar o recurso de spear phishing, que são mais ativos e menos defendidos (contas pessoais de funcionários e seus dispositivos pessoais em vez de corporativos ou sistemas que não estejam em produção e por isto são menos protegidos) e procuram por informações vazadas acidentalmente (por exemplo, chaves AWS e SSH nos depósitos do GitHub).

Os defensores devem, portanto, concentrar-se em defender o indivíduo em vez de apenas contas e ativos corporativos,  e devem ter uma boa ideia do que os invasores podem explorar na rede da empresa vindo da Internet (através de mecanismos de busca, mídias sociais, sites de pastebin, Shodan, etc. .).

Obter um ponto de apoio na organização alvo é o próximo passo. Para esse fim, os invasores tentarão atacar os usuários fora do perímetro de segurança da corporativo (com malware em vários estágios, plataformas de ataque automatizadas que podem gerar automaticamente malware para bypassar soluções anti-malware, etc.) .

Uma vez dentro, os atacantes geralmente não são muito sigilosos, mas os defensores não os observam porque estão sobrecarregados com falsos positivos e alertas menos importantes de ferramentas de segurança. Os atacantes irão depois colher as “frutas baixas”: os funcionários. Vão enviar spams com anexos e links maliciosos, aproveitando o software não-padrão.

Mais do que apenas o sistema operacional e seus componentes precisam ser corrigidos e/ou protegidos“, recomendam os White-Hats. Determine se todos os software de terceiros existentes são realmente necessários e usados.” Se não, desligue-o. Além disso, mantenha-se atualizados sobre as vulnerabilidades e exploits descobertos.

Uma vez dentro, os atacantes também usarão ferramentas de TI comuns que provavelmente não serão percebidas imediatamente. Para detectar esse uso, os defensores devem saber qual é o comportamento usual do ambiente e buscar por anomalias. O roubo de informações pode ser detectada ao estar atento a IPs de destino incomuns, protocolos que normalmente não são usados, grandes transferências de dados e outros comportamentos incomuns.

Finalmente, os defensores devem manter um olho em listas de credenciais vazadas e ver se qualquer uma delas pode ser usado em suas redes, certifique-se de que os invasores não possam aproveitá-las para uma injeção de SQL e devem se certificar de que seus dados na nuvem estão adequadamente protegidos .

fonte: HelpNetSecurity by Zeljka Zorz
por MindSec 22/06/2017

 

 

About mindsecblog 208 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.