Checklist de cibersegurança diante da crise na Ucrânia

Checklist de cibersegurança diante da crise na Ucrânia. Com as operações militares russas ocorrendo na Ucrânia, a preocupação com ataques cibernéticos aumentou nas empresas.

Pensando nisso, a Fortinet preparou uma lista de prontidão cibernética. Embora muitas dessas sugestões sejam protocolos básicos e práticas recomendadas de higiene cibernética, nunca é demais reforçá-las, uma vez que ações simples podem ajudar bastante na luta contra ameaças cibernéticas.

Patches: Certifique-se de que todos os sistemas estejam totalmente corrigidos e atualizados. Os agentes de ameaças geralmente visam vulnerabilidades não corrigidas na rede da vítima. Como resultado, a primeira linha de defesa deve sempre ser o gerenciamento de patches e a execução de sistemas totalmente corrigidos. Para organizações interessadas em focar em vulnerabilidades específicas, a CISA mantém uma lista de CVEs específicos usados no passado por agentes de ameaças russos. Mas a melhor abordagem é simplesmente se concentrar em estar atualizado o tempo todo. E lembre-se de que a aplicação de patches é importante não apenas para estações de trabalho e servidores, mas também para produtos de rede e segurança.
Bancos de dados de proteção: Certifique-se de que suas ferramentas de segurança tenham os bancos de dados mais recentes, com as últimas descobertas em assinaturas e modelos de comportamento.
Backup: Crie ou atualize backups off-line para todos os sistemas críticos. Muitos ataques vêm na forma de ransomware ou malware de limpeza. A melhor defesa contra a destruição de dados por esse tipo de malware é manter seus backups atualizados. É igualmente importante que esses backups sejam mantidos off-line, pois o malware geralmente tenta encontrar servidores de backup para destruí-los também. A crise atual é uma boa oportunidade para verificar se os backups realmente existem (não apenas no papel) e realizar exercícios de recuperação com a equipe de TI.
Phishing: Conduza treinamentos e simulações de conscientização sobre phishing. Os ataques de phishing continuam sendo os pontos de entrada mais comuns para os invasores. Agora é um bom momento para realizar uma campanha de conscientização e garantir que todos em sua organização saibam como reconhecer e denunciar e-mails maliciosos.
Hunting: Pratique a busca proativa de invasores em sua rede usando TTPs (Táticas, Técnicas e Procedimentos) conhecidos. A triste verdade é que, se sua organização desempenha algum papel nesse conflito, os adversários podem já estar em sua rede. A realização de engajamentos de caça a ameaças pode ser vital para detectar adversários antes que eles instalem spyware ou causem sérios danos.
Emulação: Teste suas defesas para garantir que elas possam detectar TTPs conhecidos. Os TTPs também podem ser usados para avaliar se sua infraestrutura de segurança é capaz de detectá-los. A execução de exercícios de emulação pode descobrir problemas de configuração e pontos cegos que podem ser explorados por invasores para se moverem em sua rede sem serem detectados.
Resposta: Prove sua resposta a incidentes em cenários fictícios. Uma resposta rápida e organizada a incidentes será crucial quando um comprometimento for descoberto. Agora é um bom momento para revisar os procedimentos de resposta a incidentes, incluindo estratégias de recuperação de desastres e continuidade de negócios. Se você tiver sua própria equipe de resposta a incidentes, poderá executar exercícios de simulação ou cenários fictícios para garantir que tudo corra bem em caso de comprometimento.
Mantenha-se atualizado: Assine feeds de inteligência de ameaças. É fundamental que as ações listadas aqui não sejam feitas apenas uma vez. Manter-se atualizado e corrigido, monitorar vulnerabilidades e manter o conhecimento das ameaças precisam ser feitos continuamente.

Táticas, Técnicas e Procedimentos (TTP)

Para caçar adversários em suas redes, a CISA recomenda os seguintes TTPs:

Tática	Técnica	Procedimento
Reconhecimento [ TA0043 ]	Varredura Ativa: Varredura de Vulnerabilidade [ T1595.002 ]
	Varredura Ativa: Varredura de Vulnerabilidade [ T1595.002 ]	Atores de APT (Ameaça Persistente Avançada) patrocinados pelo estado russo realizaram varreduras em larga escala para encontrar servidores vulneráveis.
	Phishing para informações [ T1598 ]	Atores de APT patrocinados pelo Estado russo realizaram campanhas de spearphishing para obter credenciais de redes de destino.
Desenvolvimento de Recursos [ TA0042]	Desenvolver recursos: malware [ T1587.001 ]	Atores de APT patrocinados pelo estado russo desenvolveram e implantaram malware, incluindo malware destrutivo focado em ICS.
Acesso inicial [ TA0001 ]	Explorar aplicativos voltados para o público [ T1190 ]	Atores de APT patrocinados pelo estado russo visam vulnerabilidades publicamente conhecidas, bem como zero-days, em sistemas voltados para a Internet para obter acesso às redes.
Acesso inicial [ TA0001 ]	Compromisso da Cadeia de Suprimentos: Compromisso da Cadeia de Suprimentos de Software [ T1195.002 ]	Atores de APT patrocinados pelo Estado russo obtiveram acesso inicial às organizações vítimas ao comprometer software confiável de terceiros. Os incidentes notáveis incluem o software de contabilidade MEDoc e o SolarWinds Orion.
Execução [ TA0002 ]	Interpretador de comandos e scripts: PowerShell [ T1059.003 ] e Shell de comando do Windows [ T1059.003 ]	Atores APT patrocinados pelo estado russo usaram cmd.exe para executar comandos em máquinas remotas. Eles também usaram o PowerShell para criar novas tarefas em máquinas remotas, identificar definições de configuração, exfiltrar dados e executar outros comandos.
Persistência [ TA0003 ]	Contas válidas [ T1078 ]	Atores de APT patrocinados pelo estado russo usaram credenciais de contas existentes para manter acesso persistente e de longo prazo a redes comprometidas.
Acesso de credencial [ TA0006 ]	Força Bruta: Adivinhação de Senha [ T1110.001 ] e Pulverização de Senha [ T1110.003 ]	Atores de APT patrocinados pelo estado russo realizaram campanhas de adivinhação de senhas de força bruta e campanhas de pulverização de senhas.
	Despejo de credenciais do SO: NTDS [ T1003.003 ]	Atores de APT patrocinados pelo estado russo exfiltraram credenciais e exportaram cópias do banco de dados do Active Directory ntds.dit.
	Roubar ou forjar tíquetes Kerberos: Kerberoasting [ T1558.003 ]	Os atores do APT patrocinados pelo estado russo realizaram “Kerberoasting”, pelo qual obtiveram os tíquetes do Serviço de Concessão de Tíquetes (TGS) para nomes principais de serviço do Active Directory (SPN) para cracking offline.
	Credenciais de armazenamentos de senhas [ T1555 ]	Os atores do APT patrocinados pelo estado russo usaram credenciais de conta comprometidas anteriormente para tentar acessar as senhas da Conta de Serviço Gerenciado do Grupo (gMSA).
	Exploração para acesso a credenciais [ T1212 ]	Os atores APT patrocinados pelo estado russo exploraram a vulnerabilidade CVE-2020-1472 do Windows Netlogon para obter acesso aos servidores Windows Active Directory.
	Credenciais não seguras: chaves privadas [ T1552.004 ]	Os atores APT patrocinados pelo estado russo obtiveram chaves de criptografia privadas do contêiner dos Serviços de Federação do Active Directory (ADFS) para descriptografar os certificados de assinatura SAML (Security Assertion Markup Language) correspondentes.
Comando e Controle [ TA0011 ]	Proxy: Proxy multi-hop [ T1090.003 ]	Atores de APT patrocinados pelo estado russo usaram servidores privados virtuais (VPSs) para rotear o tráfego para os destinos. Os atores costumam usar VPSs com endereços IP no país de origem da vítima para ocultar atividades entre o tráfego de usuários legítimos.