/i465942.jpeg)
Por Ricardo Kamel*
Agentes maliciosos têm colaborado entre si mais do que nunca, trocando acessos a redes, malware e técnicas de ataque, por isso o cenário de ameaças tem mudado continuamente no último ano. Essa maior cooperação e o baixo custo do malware – três quartos dos kits de malware custam menos de US$ 10 – estão tornando o cibercrime mais acessível, o que significa que ainda mais dispositivos e usuários estão propensos a se tornar alvos. Com os criminosos cibernéticos intensificando seus esforços para acessar sistemas corporativos, PCs e impressoras estão na linha de frente como alvos.
Para as equipes de defesa, esses desafios serão agravados pela recessão econômica. Embora as despesas com segurança cibernética devam aumentar 13,2% em 2023, os orçamentos serão reavaliados para focar apenas as necessidades mais prementes.
Em vista das decisões difíceis que estão no horizonte, aqui estão quatro tendências de segurança cibernética para as organizações se prepararem para o futuro:
1. Custos em alta podem provocar o aumento de ações de aproveitadores
A ascensão da gig economy (economia informal) criminosa, com a adoção de modelos de negócio baseados em plataformas, tornou o cibercrime mais fácil, barato e escalável. Ferramentas e serviços de mentoria de crimes cibernéticos estão prontamente disponíveis a preços baixos, atraindo aproveitadores – oportunistas com baixos níveis de habilidade técnica – para acessarem o que precisam para obter algum lucro. Ao enfrentarmos mais uma recessão global, o fácil acesso a ferramentas e know-how de crime cibernético pode aumentar o número de mensagens fraudulentas de SMS e de e-mail que vemos em nossas caixas de entrada. Também provavelmente veremos mais pessoas recrutadas como laranjas em esquemas financeiros, atraídas pela promessa de dinheiro fácil e inadvertidamente alimentando a economia do cibercrime ao permitir que criminosos lavem quantias obtidas com resgates e transações fraudulentas.
Em nosso setor, sabemos que o e-mail é o vetor de ataque mais comum, particularmente usado por oportunistas que buscam ganhar dinheiro rápido, tais como os ladrões cibernéticos que preferem técnicas mais simples, como esquemas de golpe e phishing. Como a gig economy do cibercrime é marcadamente interconectada, os agentes de ameaças conseguem monetizar com facilidade esses tipos de ataque. E, se tirarem a sorte grande e comprometerem um dispositivo corporativo, podem vender esse acesso para agentes maiores, tais como quadrilhas de ransomware. Tudo isso faz o motor do cibercrime girar, dando ainda mais alcance a grupos organizados.
Com o aumento dos ataques contra usuários, inserir a segurança nos dispositivos a partir do hardware vai ser essencial para prevenir e detectar ataques, bem como para se recuperar deles. Fomentar uma cultura robusta de proteção é vital para promover a resiliência, mas apenas se isso for combinado a soluções que reduzam a superfície de ataque da companhia. Isolando atividades arriscadas, tais como e-mails maliciosos, categorias inteiras de ameaças podem ser eliminadas. Tecnologias de contenção de ameaças garantem que, se um usuário abrir um link ou anexo malicioso, o malware não conseguirá infectar nada. Dessa forma, as organizações podem reduzir sua superfície de ataque e proteger os funcionários sem travar seus fluxos de trabalho.
2. Hackers consolidados investirão em ataques avançados abaixo do sistema operacional
As organizações devem assumir o controle da segurança de firmware. Antes, os ataques de firmware eram usados apenas por grupos criminosos altamente avançados. Mas, ao longo do último ano, vimos sinais iniciais de um aumento no interesse e no desenvolvimento de investidas abaixo do sistema operacional nos ambientes clandestinos – desde ferramentas para hackear senhas de BIOS até rootkits e cavalos de Troia mirando o firmware de dispositivos. Agora, vemos essas armadilhas anunciadas por poucos milhares de dólares nos mercados clandestinos.
Agentes avançados de ameaças estão sempre tentando estar à frente em suas capacidades de ataque. A segurança de firmware muitas vezes é negligenciada pelas organizações, criando uma grande superfície de ataque a ser explorada por esses inimigos. O acesso permite que os invasores obtenham controle persistente e se escondam sob o sistema operacional, dificultando muito sua detecção – e, ainda mais, a remoção e remediação.
As organizações devem se certificar de que entendem as boas práticas e os padrões de mercado relativos a segurança de hardware e firmware. Também precisam conhecer e avaliar o que há de melhor em tecnologia disponível para proteção, detecção e recuperação de ataques.
3. Máquinas de acesso remoto estarão na linha de frente
Prevemos que o sequestro de sessão – em que o invasor toma uma conta remota para acessar dados e sistemas sensíveis – vá se tornar mais popular ao longo do ano. Recursos como o Windows Defender Credential Guard estão forçando os invasores a mudar de estratégia. Ao mirar usuários com altos níveis de acesso a dados e sistemas – tais como administradores de domínio, TI e nuvem –, esses ataques têm impacto maior, são mais difíceis de detectar e também mais difíceis de remediar. O usuário geralmente não percebe que algo aconteceu. Leva apenas milésimos de segundo para injetar sequências-chave e emitir comandos para criar uma porta de acesso persistente. E isso funciona mesmo se sistemas de Gerenciamento de Acesso Privilegiado (PAM) empregarem Autenticação Multifator (MFA), por exemplo com cartões inteligentes.
Se esse tipo de ataque se conectar a Tecnologias Operacionais (OT) e Sistemas de Controle Industrial (ICS) em fábricas e plantas industriais, também pode haver um impacto físico na disponibilidade e na segurança operacionais – potencialmente cortando o acesso de áreas inteiras ao abastecimento de energia ou água. Um isolamento forte é a única maneira de evitar esse tipo de ameaça e romper a cadeia de ataque. Isso pode ser feito usando um sistema fisicamente separado, como uma Estação de Trabalho de Acesso Privilegiado (PAW), ou uma separação virtual, com abordagens baseadas em hypervisor (monitor de máquina virtual).
4. Segurança de impressoras negligenciada
Existe a necessidade de demandar mais inteligência acionável para monitorar ameaças e proteger ativos proativamente. Atualmente, a segurança de impressoras continua sendo um item negligenciado na postura geral de cibersegurança. E, com mais impressoras conectadas às redes corporativas devido ao trabalho híbrido, os riscos estão aumentando. As organizações vão precisar desenvolver políticas e processos de segurança para monitorar e defender dispositivos de impressão contra ataques, tanto no escritório como em casa. O desafio é que a telemetria de ameaças que vem de endpoints, inclusive impressoras, está aumentando a cada dia.
É por isso que as equipes de segurança precisam de inteligência para identificar com clareza os riscos mais altos, entender como se proteger contra eles e ajudar as administrações a alocar verbas adequadamente. Como resultado, veremos organizações focando os investimentos em soluções e serviços que ofereçam inteligência ao invés de simplesmente fornecer cada vez mais dados de segurança.
Combatendo ameaças crescentes
As organizações precisam adotar uma abordagem direcionada de segurança cibernética. A maioria das violações começa nos endpoints, então aumentar a proteção desses dispositivos vai fazer com que as empresas consigam reduzir a sobrecarga dos times de TI.
Independentemente das ameaças enfrentadas pelas organizações nos próximos meses, está claro que o jeito de proteger dispositivos e dados precisa evoluir. A alocação estratégica de recursos será essencial, e as equipes precisam saber quais áreas da organização estão em maior risco e quais podem ser mais impactadas no caso de uma violação. Uma abordagem em camadas a partir do endpoint, com segurança de fábrica, será crucial. Isso permitirá que implementem o isolamento, obtenham inteligência acionável e muito mais, ajudando a reduzir sua superfície de ataque e a manter dados importantes protegidos.
Canaltech
Comentários