Caçadores de dados perdidos: Da vida diária de uma Equipa de Resposta a Incidentes
20 de janeiro de 2023
Sophos
Schwachstellen, Cybersecurity, Zukunft, Datenschutz
Peter Mackenzie, director de resposta a incidentes na Sophos, é algo como o Indiana Jones da paisagem cibernética: ele e a sua equipa fazem um scan incansável aos sistemas informáticos à procura de anomalias que indicam uma ameaça cibernética. Na maioria dos casos, as vítimas chamam os peritos porque foram vítimas de um ataque de resgate, por exemplo, ou ainda estão no meio de um. O ponto crucial: quando tal incidente de resgate paralisa computadores, não se trata do início de um ataque cibernético, mas sim do final agressivo. "Descrevo frequentemente o resgate de software como um recibo que os criminosos deixam para último. Muitas das vítimas sobre as quais perguntamos quando é que aconteceu dizem que a encriptação começou à uma hora da manhã e receberam alertas como resultado. Quando depois examinamos os sistemas, verificamos frequentemente que os autores das fraudes já estão na rede há quinze dias e já fizeram os seus preparativos", diz Peter Mackenzie.
A cibercriminalidade há muito que tem sido profissionalizada
Quem agora pensa que uma pessoa ou um grupo pirateia o teclado dia e noite, armazena finamente os dados encriptados e devolve-os de acordo com a honra dos vigaristas após pagamento extorquido, a fim de fazer uma boa vida no Copacabana com a massa saqueada, já viu demasiados filmes dos anos 80. Na realidade, os ciberataques há muito que foram profissionalizados. Existem fornecedores especializados para cada área de um ataque, que vão desde "Vamos levá-lo para qualquer rede" (já existe a profissão de Corretor de Acesso Inicial aqui....), até "Vamos comprar dados roubados", até "Vamos fazer a chantagem". O conhecimento especializado não é necessário, e mesmo aqueles que se esquivam a aceder à teia escura podem tornar-se aprendizes de cibercrook através do Google e de vídeos de como fazer no YouTube.Demasiado entusiasmo também pode correr mal, como prova o caso recentemente descrito de múltiplos atacantes, que, como grupos de resgate concorrentes, atacaram a vítima coincidentemente comum numa espécie de mudança de turno e sabotaram-se mutuamente no processo.O desleixo na manutenção de dispositivos torna-se um calcanhar de Aquiles
De acordo com Mackenzie, um aspecto é imensamente importante para os infractores após a entrada na rede: a que é que tenho acesso? Para o fazer, eles escaneam a rede, nem mesmo especificamente para qualquer coisa em particular, mas mais como um ladrão num corredor de escritório, empurrando cada maçaneta da porta, eventualmente uma porta abre-se.As oportunidades para os fraudadores inteligentes são imensas nos dias de hoje. Portanto, se houver um impulso suspeito num sistema, o software de segurança detecta-o e elimina-o, isso não significa que o problema esteja resolvido. Na maioria dos casos, o tratamento descuidado de actualizações, correcções e equipamento de cada dispositivo individual é o pequeno começo de um grande desastre.Defesa cibernética moderna apenas com software actualizado e conhecimentos humanos
A cibercriminalidade há muito que tem sido profissionalizada
Quem agora pensa que uma pessoa ou um grupo pirateia o teclado dia e noite, armazena finamente os dados encriptados e devolve-os de acordo com a honra dos vigaristas após pagamento extorquido, a fim de fazer uma boa vida no Copacabana com a massa saqueada, já viu demasiados filmes dos anos 80. Na realidade, os ciberataques há muito que foram profissionalizados. Existem fornecedores especializados para cada área de um ataque, que vão desde "Vamos levá-lo para qualquer rede" (já existe a profissão de Corretor de Acesso Inicial aqui....), até "Vamos comprar dados roubados", até "Vamos fazer a chantagem". O conhecimento especializado não é necessário, e mesmo aqueles que se esquivam a aceder à teia escura podem tornar-se aprendizes de cibercrook através do Google e de vídeos de como fazer no YouTube.Demasiado entusiasmo também pode correr mal, como prova o caso recentemente descrito de múltiplos atacantes, que, como grupos de resgate concorrentes, atacaram a vítima coincidentemente comum numa espécie de mudança de turno e sabotaram-se mutuamente no processo.O desleixo na manutenção de dispositivos torna-se um calcanhar de Aquiles
A Equipa de Resposta a Incidentes não só pára o ataque, como também analisa os processos nos sistemas, o que fizeram os ciber-rafias e com que finalidade. Também se construíram backdoors para um regresso posterior.
De acordo com Mackenzie, um aspecto é imensamente importante para os infractores após a entrada na rede: a que é que tenho acesso? Para o fazer, eles escaneam a rede, nem mesmo especificamente para qualquer coisa em particular, mas mais como um ladrão num corredor de escritório, empurrando cada maçaneta da porta, eventualmente uma porta abre-se.As oportunidades para os fraudadores inteligentes são imensas nos dias de hoje. Portanto, se houver um impulso suspeito num sistema, o software de segurança detecta-o e elimina-o, isso não significa que o problema esteja resolvido. Na maioria dos casos, o tratamento descuidado de actualizações, correcções e equipamento de cada dispositivo individual é o pequeno começo de um grande desastre.Defesa cibernética moderna apenas com software actualizado e conhecimentos humanos
Peter Mackenzie, depois de toda a sua experiência em lidar diariamente com ameaças cibernéticas em empresas grandes e pequenas, aconselha a prevenção. As perguntas seguintes ajudam a identificar os pontos fracos da empresa e a tomar precauções (ferramentas, peritos, serviços, etc.) para eles. E de preferência imediatamente, de modo a poder reagir rapidamente numa emergência.O que acontece se tivermos um ataque de resgate?o que acontece se os nossos backups forem eliminados?o que acontece se alguém nos disser que temos um atacante na nossa rede?a segurança é um processo abrangente e demorado que requer manutenção e correcção contínuas. Software que inicialmente detecta anomalias e especialistas em MDR (Managed Detection and Response) que identificam e param os ataques 24 horas por dia e limitam os danos aos sistemas são fundamentos essenciais da prevenção e defesa moderna contra ataques cibernéticos.