Fortinet - FortiGuard Labs Threat Report: Disruption most important threat trend 2020
5 de março de 2021
Bastian Seibel
Fortinet
Fortinet
Quando os Laboratórios FortiGuard da Fortinet analisam o cenário de ameaças na última metade de 2020, apenas uma palavra vem à mente dos especialistas em segurança informática: perturbação. E isto significa mais do que apenas perturbação de negócios. A primeira metade de 2020 exigiu mudanças rápidas na forma como as empresas fazem negócios e se envolvem com os seus clientes. Ao mesmo tempo, os cibercriminosos têm sido rápidos a explorar os receios e preocupações da pandemia para recolher informações pessoais ou roubar dados financeiros.
Embora grande parte disto tenha continuado no segundo semestre de 2020, o que está documentado no novo "Global Threat Landscape Report" da FortiGuard Labs é mais uma extensão desta perturbação inicial, em larga escala, em todas as verticais e geografias.
Mais ou menos de um dia para o outro, o pessoal de segurança informática teve de reformular as suas estratégias de segurança para defender as suas redes empresariais em três frentes simultaneamente: Ataques contra o escritório da WFH, ataques contra a cadeia de fornecimento digital, e aumento dos ataques de resgate em redes centrais.
1. a sucursal de casa continua a ser um alvo popular
A barreira que existia entre entrar na rede corporativa a partir de um escritório corporativo e de casa foi quebrada em muitas empresas em 2020. As redes de empresas foram viradas de cabeça para baixo, com muitos empregados a acederem agora aos principais recursos e aplicações da rede a partir dos seus escritórios em casa. Esta transição aconteceu tão subitamente que houve pouco tempo para planear uma estratégia eficaz de ciber-segurança. O resultado: quando um escritório doméstico desactualizado e por vezes inadequadamente seguro é "rachado", os atacantes estão já um grande passo mais perto de rachar também a rede corporativa.
Algumas empresas ainda estão a tentar descobrir como alargar eficazmente a segurança informática da sua empresa aos escritórios domésticos dos seus empregados. No segundo semestre de 2020 em particular, as explorações que visavam dispositivos da Internet das coisas (IdC), tais como sistemas de entretenimento doméstico, routers domésticos e dispositivos de segurança ligados, estavam entre as principais ameaças. Cada um destes dispositivos da Internet das coisas fornece uma nova superfície de ataque que deve ser defendida contra.
Entretanto, recursos que antes estavam escondidos por detrás de uma variedade de soluções de segurança de classe empresarial estão a ser protegidos em algumas situações com pouco mais do que encriptação SSL. Isto está a levar a um maior sucesso para os cibercriminosos que atacam as redes domésticas com explorações de legado e depois as utilizam como uma cabeça de praia a partir da qual lançam ataques à rede corporativa e às aplicações e recursos baseados na nuvem.
2 As cadeias de fornecimento digitais estão a tornar-se mais focalizadas
Os ataques às cadeias de abastecimento têm uma longa história, mas o caso SolarWinds elevou a discussão a um novo nível. Os Laboratórios FortiGuard seguiram de perto as informações divulgadas e utilizaram-nas para criar Indicadores de Compromisso (IoCs). A identificação do tráfego relacionado com o SUNBURST em Dezembro de 2020 mostra que o hack encontrou vítimas em todo o mundo, com Five Eyes a revelar taxas particularmente elevadas de IoCs.
3. O ataque de resgate continua
A actividade de resgate aumentou sete vezes no segundo semestre de 2020 em comparação com o primeiro semestre do ano. O desenvolvimento contínuo do Ransomware-as-a-Service, a ênfase na "caça grossa" (grandes resgates de grandes alvos) e a ameaça de expor dados comprometidos se as exigências não forem satisfeitas criaram um mercado sombra com crescimento maciço. No final do ano, estas práticas foram utilizadas como alavanca adicional nas campanhas de resgate numa grande proporção dos ataques.
As mais activas das campanhas de resgate rastreadas entre Julho e Dezembro de 2020 foram "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" e "BazarLoader". Os sectores alvo dos ataques de resgate eram diversos e incluíam os cuidados de saúde, empresas de serviços profissionais, organizações do sector público e fornecedores de serviços financeiros.
Para enfrentar eficazmente a rápida evolução e o risco crescente de resgates, as organizações precisam de fazer alterações fundamentais à segurança dos seus dados. Juntamente com o compromisso da cadeia de fornecimento digital e uma força de trabalho que se teletrai para a rede corporativa, existe um risco real de que os ataques possam vir de qualquer lugar. Soluções de segurança baseadas na nuvem, tais como SASE para proteger dispositivos fora da rede, soluções avançadas de segurança de terminais, tais como EDR (Endpoint Detection and Response) que podem perturbar o malware no meio de um ataque, e estratégias de acesso de confiança zero e segmentação da rede que restringem o acesso a aplicações e recursos com base em políticas devem ser implementadas para reduzir o risco e o impacto de um ataque de resgate bem sucedido.
Tendências na propagação de explorações de vulnerabilidade
A correcção é uma prioridade constante das organizações para fechar vulnerabilidades e buracos de segurança dentro de uma rede empresarial. Especificamente, porém, o desafio é frequentemente "que remendos?" e "quando devem ser implementados". Estas questões são difíceis de responder, pois poucas empresas têm a escala de dados necessária para fornecer uma resposta adequada. No entanto, Fortinet, com a perícia dos Laboratórios FortiGuard, gostaria de tentar lançar luz sobre esta questão:
Ao acompanhar a evolução de 1500 explorações nos últimos dois anos, FortiGuard Labs foi capaz de determinar a rapidez e a amplitude da propagação das explorações. Parece que a maioria das explorações não se espalham, de facto, rápida e amplamente. Especificamente, de todas as explorações rastreadas durante os últimos dois anos, apenas cerca de 5% foram descobertas por mais de 10% das organizações. Se uma vulnerabilidade for escolhida ao acaso, os dados mostram que a probabilidade de uma organização ser atacada é de cerca de 1 em 1000. Cerca de 6% das explorações atingiram cerca de 1% das organizações no primeiro mês, e mesmo após um ano, 91% das explorações não ultrapassaram esse limiar de 1%.
Independentemente disso, ainda é aconselhável concentrar-se nas vulnerabilidades com exploits conhecidos e dar prioridade, entre essas vulnerabilidades, às que se propagam mais rapidamente na natureza. Soluções especializadas como o Greenbone podem ajudar nesta matéria.
Artigo original por Derek Manky, FortinetTraduzido do inglês com DeepL
Desbravada e corrigida por Simon Schmischke