Blog - Guia Contra Ameaças Cibernéticas

16/07/2020

Guia contra ameaças cibernéticas

Introdução

Não é fácil se manter livre das garras dos cibercriminosos. Apesar dos avanços em tecnologia de cibersegurança, cibercriminosos continuam com frequência a ter sucesso em seus ataques, dignos de estampar as manchetes dos jornais. Na verdade, pode até parecer que eles estão levando vantagem nessa disputa. Mas, por quê?

Primeiramente, o número e os tipos de ciberameaças mudaram. Por exemplo, ransomware tornou-se a ameaça principal nos últimos anos. Esses ataques podem ser devastadores e afetar vitalmente os serviços, como o prejuízo sofrido pelo Serviço de Saúde Nacional do Reino Unido, devido ao ataque WannaCry1.

Em segundo lugar, os ofensores estão cada vez mais coordenados e organizados. Enquanto organizações ainda têm que se preocupar com hackers individuais ou agentes internos maliciosos, agora devem também lidar com o crime organizado e até mesmo agentes de Estado. De acordo com o relatório de investigação sobre violação de dados da Verizon em 2018, 50% das violações de dados foram executadas por organizações criminosas.

Em suma, o jogo da segurança cibernética tem se tornado mais complexo e as apostas mais altas.

Defesa em profundidade

Se você já leu algo sobre cibersegurança, então provavelmente o conceito de estratégia de defesa em profundidade, por vezes também chamado de segurança em camadas, lhe é familiar. Refere-se à ideia de que a cibersegurança requer várias linhas ou camadas de defesa para uma proteção contra ameaças.

É importante perceber essa defesa em profundidade como uma estratégia, não uma meta. Como acontece com qualquer estratégia, você precisa manter suas táticas atualizadas.

Os métodos de defesa fundamentais ainda aplicam fortemente patches antecipadamente e, muitas vezes, utilizam antivírus potente e monitoram ameaças baseadas em e-mail. No entanto, é importante atualizar sua arquitetura de segurança periodicamente com táticas projetadas para lidar com o cenário de ameaças. Em muitos casos, isso poderia significar que MSPs precisam adicionar tecnologia mais sofisticada que vai além da ciberhigiene básica, como a detecção de intrusões, inteligência contra ciberameaças, informações de segurança e gerenciamento de eventos (SIEM) ou até mesmo serviços de uma central de operações de segurança (SOC).

Este guia aborda algumas das maiores ameaças enfrentadas pelas organizações. Ao examinar cada ameaça, discutiremos as medidas de contra-ataque projetadas para ajudar você a proteger seus clientes.

GUIA CONTRA AMEAÇAS CIBERNÉTICAS

Sendo você responsável pela segurança, confidencialidade, integridade e disponibilidade dos sistemas de TI de seus clientes, é fundamental estar atualizado sobre as ameaças comuns da atualidade. Isso é o que pode diferenciar entre um cenário de segurança e de uma violação.

Ransomware

DO QUE SE TRATA?

Ransomware é um tipo de malware que bloqueia o acesso ou ameaça divulgar dados da vítima, mediante o pagamento de um resgate. A verdade é que qualquer organização corre o risco de ser atingida por um vírus ransomware. De fato, o ransomware pode ser tão lucrativo que vários cibercriminosos implementaram plataformas SaaS para facilitar ataques ransomware contra organizações, grandes e pequenas.

Os maiores perigos impostos pelo ransomware são a interrupção, distração e tempo de inatividade que a ameaça pode causar às empresas.

Variações: algumas variantes comuns de longo alcance incluem CryptoLocker, CryptoWall, Locky, WannaCry, NotPetya e Teslacrypt.

QUE MEDIDAS EU POSSO ADOTAR?

Estabelecer procedimentos periódicos de backup do sistema, armazenar backups com segurança e testar procedimentos de recuperação do sistema para garantir que funcionam.

Enquanto os dados do cliente estiverem bem protegidos por backup e forem facilmente recuperáveis, você reduzirá a probabilidade de vulnerabilidades para este tipo de extorsão e chantagem digital.

É também interessante observar que, quando você fizer backup de sistemas do seu cliente, deve seguir a regra de backup do 3-2-1. Isso indica que você deve ter três cópias de backup em pelo menos dois meios diferentes, com pelo menos um backup mantido offsite. Isso pode reduzir ainda mais os riscos se os backups locais estão corrompidos ou se o código ransomware tentar excluir backups locais, como algumas cepas de ransomware tentam fazer. E não esqueça de testar periodicamente seus backups, antes que eles venham a ser necessários. A última coisa que você quer é acabar com um arquivo de backup inútil em plena situação de violação de dados do cliente.

Além disso, certifique-se de monitorar todos os aplicativos, bancos de dados e sistemas críticos, assim você será capaz de detectar tentativas e atividades suspeitas de acesso, antes que elas saiam fora de controle. Você pode querer adicionar uma ferramenta SIEM para ajudar a monitorar potenciais ameaças e para atuar em conformidade. Priorize procedimentos de patch, especialmente para o software de segurança, e efetue varreduras de vulnerabilidade periodicamente para os ativos de seus clientes que sejam voltados para o público.

Ransomware fez uma nova vítima corporativa a cada 14 segundos em 2019.

Alguns ataques de ransomware visam vulnerabilidades conhecidas no software, enquanto outros usam credenciais roubadas de administradores para instalar o código malicioso. Independente disso, o ransomware aposta na ideia de que muitas organizações não são diligentes com backups. Lutar contra isso pode ser tão simples como encontrar uma boa solução de backup primária na nuvem que armazena seus dados em todo o mundo e usa criptografia AES de 256 bits para manter os dados seguros.

 QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

O SolarWinds® Backup e o SolarWinds RMM são projetados para ajudar a combater ataques de ransomware.

  • Gerenciamento de patches no SolarWinds RMM: use o gerenciamento de patches para certificar-se de que o sistema operacional permanece atualizado com patches de segurança críticos. A aplicação de patches tem sido particularmente útil na prevenção de alguns ataques ransomware durante a crise do WannaCry4
  • Antivírus gerenciado no SolarWinds RMM: use antivírus gerenciado para detectar ransomware, se um arquivo for baixado para um terminal.
  • Backup primário na nuvem com o SolarWinds Backup: tire proveito da de duplicação, compressão e tecnologia projetada para otimizar a circulação na nossa nuvem privada global e ajudar você a fazer backup de dados mais rápido e mais frequentemente, além de possibilitar a recuperação mais rapidamente, em caso de ataque.
  • Monitoramento automatizado de ameaças com SolarWinds Threat Monitor: monitore ativamente possíveis ameaças contra a sua rede usando inteligência contra ciberameaças reunida de várias fontes, rede e tecnologia de detecção de intrusão de hosts, além de respostas automáticas.

Negação de serviço distribuída (DDoS)

DO QUE SE TRATA?

Ataques DDoS (Negação de serviço distribuída) agem através do sobre carregamento e interrupção de um serviço online com tráfego de várias fontes. Ataques DDoS não são novidade.

A novidade é que os ofensores estão usando a tecnologia mais recente para amplificar esses tipos de ataques. Ao movimentar seus ataques de DDoS fora de um servidor Memcached (software usado para acelerar os tempos de carregamento da página web), os ofensores podem amplificar o efeito de um ataque em 51.0005

O maior ataque DDoS já registrado foi perpetrado contra a GitHub® em 2018. Na verdade, os relatórios mostram que o ataque à GitHub foi duas vezes mais poderoso do que o ataque DDoS que detinha o recorde anterior em 20166. . Embora o DDoS possa não ser o truque mais recente, os criminosos ainda continuam a usá-lo e a inovar para torná-lo mais poderoso.

Enormes quantidades de tráfego podem rapidamente sobrecarregar a infraestrutura de um negócio e realmente derrubar a internet.

Variações: DDoS existe há muito tempo. As inovações mais recentes envolvem botnets e exércitos de botnets que se infiltram em sistemas ao redor do mundo. Um botnet de alguns hosts é relativamente inofensivo, mas uma botnet de milhares de máquinas poderia ser forte o bastante para derrubar o ambiente operacional de uma vítima. Para produzir o esgotamento mais rápido de recursos do sistema da vítima, o ofensor pode diminuir a taxa de resposta ou manter aberta a conexão TCP/IP enviando pacotes confusos, não compatíveis com RFC. Basicamente, isso ludibria o servidor para fazê-lo pensar que vai receber mais dados em breve. Isso é o equivalente a imitar uma conexão de celular ruim.

QUE MEDIDAS EU POSSO ADOTAR?

Uma saída para atenuar os ataques de DDoS é monitorar o desempenho do roteador e servidor voltados para o exterior. Métricas de SNMP podem ajudar a determinar as taxas de carga, conexões e erro para qualquer interface de rede, especialmente, os componentes críticos da infraestrutura, como firewalls. Rastrear o fluxo dos dispositivos de rede do cliente também pode ajudar a compreender quanto de largura de banda está sendo usada por comunicações legítimas, tais como dados entre um sistema interno e um provedor externo, e quanto é inteiramente uma atividade de entrada (um sinal de atividade de DDoS potencial). Isso poderia ajudar a localizar ameaças ou aumentos em volume de comunicação, protocolos ou tráfego do aplicativo. Finalmente, inspecionar o tráfego de entrada ao implementar escutas ou espelhamento, interfaces voltadas para o exterior permitem analisar o tráfego de rede de entrada e provavelmente dará a você uma boa indicação sobre se seus clientes estão sob ataque.

Especificamente, você precisará confiar continuamente na inteligência atualizada contra ameaças para ajudar a deter problemas antes que atrapalhem as operações dos seus clientes. Inteligência contra ameaças na forma de regras de correlação de eventos, assinaturas atualizadas, endereços IP do servidor de CnC conhecidos e muito mais podem ser reunidos, para ajudar você a detectar e a reagir antes que um ataque de DDoS ganhe força.

Em matéria de deter ataques de DDoS, prestadores de serviços gerenciados (provedor de nuvem, ISPs, DNS etc.) provavelmente serão os “socorristas” na linha de frente dessas ameaças. Ao monitorar e filtrar ativamente por este tipo de ataque, prestadores de serviços podem contar com a capacidade de responder e atenuar riscos, confiando uns nos outros para seguir em direção à orquestração de planos eficazes contra estes padrões de ataque distribuído e complexo.

É nesse sentido que implantar uma abordagem em camadas, como descrito anteriormente, é essencial. Por exemplo, tirar proveito de firewalls de gateway com serviços de atenuação de DDoS, juntamente com uma solução de atenuação de DDoS baseada em nuvem, pode ser útil para as empresas as quais você oferece suporte com operações de missão crítica e online. Além disso, uma ferramenta SIEM como o Threat Monitor pode ajudar a detectar picos suspeitos no tráfego que pode ser sinal de um ataque ativo.

Considere testar a resiliência de DDoS de seus clientes, simulando um ataque para ver como seus sistemas reagem. Uma abordagem clara das “melhores práticas” de segurança para servidores, especialmente DNS (sem solucionadores abertos) ajudará a reduzir as chances de uma organização ser usada em um ataque de proxy ou de estilo de amplificação. Você pode fornecer valor agregado adicional, ao garantir que firewalls, roteadores, comutadores de borda e servidores tenham patches aplicados e sejam ativamente monitorados. Infelizmente, ofensores de DDoS podem tirar proveito de uma única vulnerabilidade de um patch não aplicado para transformar ativos em participantes involuntários de uma campanha DDoS contra alguém. Atenuar esse estilo de ataque pode ser complexo e exigir um plano ativo e bem orquestrado.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Ferramentas de monitoramento podem ser particularmente úteis para com essas formas de ataques, especialmente as de monitoramento de rede baseadas em SNMP (disponíveis no SolarWinds RMM). Use-as para monitorar alterações de desempenho que possam sugerir a possibilidade de um ataque. Além disso, o SolarWinds RMM inclui um recurso de lista de URLs proibidas de proteção da web para ajudar a impedir que um sistema faça chamadas para um servidor CnC conhecido. Finalmente, aplicar patch nos sistemas pode ajudar a impedir que cibercriminosos obtenham acesso através de uma vulnerabilidade do sistema.

Ataques de força bruta

O QUE SÃO?

Ataques de força bruta envolvem a busca insistente e sistemática de uma senha de rede correta. Ataques bem-sucedidos dão acesso à infraestrutura do cliente, sejam em dispositivos de rede ou de servidor, em muitos casos com privilégios de nível de administrador. Esta fase é infelizmente um game over para os defensores. Ataques de força bruta, sejam um malware procurando seu próximo hospedeiro para infectar ou um agente malicioso, executando um script, geralmente almejam um único serviço exposto à Internet, como Remote Desktop, VNC, FTP ou SMTP.

Dependendo da robustez do seu log de segurança, esses ataques podem não ser fáceis de detectar. Um ataque de força bruta de alto volume pode apresentar padrões semelhantes a um ataque DDoS, normalmente apenas de um ou dois endereços IP. Ataques de força bruta e seus comparsas, injeções de SQL, são uma ameaça a todos os serviços expostos à Internet. Por exemplo, se um invasor adivinhar uma senha para um dos sistemas de gerenciamento de conteúdo do seu cliente, pode ganhar acesso irrestrito a essa conta. Se esse site é hospedado dentro da rede da empresa, então, a exploração completa da rede torna-se possível.

Variações: ataque de injeção SQL: isso ocorre quando alguém sem autorização tenta “injetar” código SQL diretamente no banco de dados do aplicativo. Esta é uma versão mais sofisticada do ataque de força bruta, pois muitas combinações diferentes de injeção de SQL precisam ser testadas para se obter acesso à tabela de ID e senha de usuário, frequentemente não criptografada ou mal criptografada.

Ataques consistem em uma verificação sistemática e previsível de todas as senhas possíveis até que seja encontrada uma correta.

QUE MEDIDAS EU POSSO ADOTAR?

Um bom método projetado para atenuar os ataques de força bruta de quebra de senha é limitar o número de logins inválidos (ex. bloqueio automático). Em termos de proteção contra a injeção SQL, é bom lembrar que há dois modos de autenticação usados no SQL Server® modo de autenticação do Windows®  e modo misto, que permite a autenticação do Windows e a autenticação do SQL Server. O modo de autenticação do Windows é menos vulnerável a ataques de força bruta, pois o ofensor provavelmente irá encontrar um bloqueio de login (recurso de política de bloqueio de conta) após um número finito de tentativas de ataque. Em um ambiente de produção, considere certificar-se de que o modo de autenticação do Windows é implementado e de usar o recurso de diretiva de bloqueio, pois esse se destina a tornar os ataques de força bruta um grande dispêndio de tempo e dinheiro para o ofensor. Além disso, é importante lembrar que seus clientes não devem usar uma conta de administrador de domínio como uma conta de conexão de banco de dados SQL.

Além disso, revise e considere reforçar as políticas de senha do cliente, especialmente para bancos de dados, servidores de domínio e outros sistemas e aplicações críticos. A autenticação

multifator também pode ajudar a reduzir o risco desses ataques. Além disso, certifique-se de que atividades suspeitas de login sejam monitoradas ativamente, particularmente para bancos de dados sensíveis e servidores de produção.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Tecnologias que oferecem suporte e autenticação multifator destinam-se a fornecer um nível robusto de proteção contra ataques de força bruta. A autenticação multifator se baseia em muito mais do que seus clientes sabem (nome de usuário e senha). A solução combina isso a outro fator, algo que eles possuem (por exemplo, número de telefone) ou quem são (por exemplo, ID facial). Esta abordagem é projetada para tornar as credenciais mais dinâmicas e menos vulneráveis ao roubo.

Além disso, considere escolher uma ferramenta de monitoramento de ameaça para ajudar a aumentar a autenticação forte com monitoramento praticamente contínuo e ativo, e correlação da atividade de login. Se você não quer oferecer este nível de detecção de ameaça sofisticado, pode sempre encontrar um parceiro para isso. O SolarWinds MSP oferece um programa de serviço de monitoramento que permite aos MSPs entrarem em parceria com um provedor de segurança aprovado para ajudar a oferecer um monitoramento de ameaças avançado.

Um bom método projetado para atenuar os ataques de força bruta é bloquear uma conta depois de muitas falhas de tentativas de login.

Ataques de phishing e spear phishing

DO QUE SE TRATA?

Ataques de phishing e spear phishing são formas de fraude onde o invasor disfarça-se de entidade confiável para seduzir a vítima a agir como desejado (por exemplo, baixar um anexo malicioso, acessar a um site, enviar suas credenciais etc.). Esta ação é muitas vezes o primeiro passo para um ataque mais amplo, onde os ofensores tiram proveito das credenciais roubadas de um “phish” para roubar dados, como registros médicos ou propriedade intelectual. A principal diferença entre phishing e spear phishing é o escopo do público-alvo. Ataques de phishing são geralmente amplos e amplamente distribuídos, enquanto o spear phishing geralmente é destinado a indivíduos específicos ou um grupo de indivíduos dentro de uma organização.

Variações: os cibercriminosos frequentemente levam tempo armando suas armadilhas maiores de spear phishing para garantir um grande retorno financeiro. Na verdade, muitas vezes vão criar e armazenar perfis detalhados sobre suas vítimas em bancos de dados na dark web, coletando migalhas de informação extraídas das redes sociais na sua empreitada. Enquanto cada uma dessas ações pode diferir ligeiramente em suas abordagens iniciais e táticas, esses ofensores normalmente visam o roubo de credenciais.

QUE MEDIDAS EU POSSO ADOTAR?

Tal como acontece com outras formas de engenharia social, educar os clientes sobre como comportar-se no ambiente online é um primeiro passo fundamental. Ao projetar seus programas de treinamento de conscientização sobre segurança, considere instruir seus clientes (especialmente os executivos) a uma prática de bom senso e ceticismo saudável ao usarem as redes sociais no trabalho, tanto em ambiente móvel, como em casa. Além disso, incentive-os a pensar criticamente antes de abrir anexos de e-mail ou clicar em links.

Pode valer a pena testar programas de conscientização sobre segurança do cliente regularmente, enviando e-mails de phishing simulados para funcionários de seus clientes. Você pode então ajustar seus componentes de treinamento de conscientização sobre segurança, com base no feedback dessas ações. Existem ferramentas que você pode usar para testar o grau de preparação contra ataques de engenharia social.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Provedores de serviços gerenciados podem adotar medidas para combater este tipo de ataque usando várias camadas de defesa que incluem recursos de prevenção, detecção e resposta. A SolarWinds MSP fornece várias soluções projetadas para ajudar a combater ataques de phishing e spear phishing.

O SolarWinds Mail Assure é projetado para oferecer uma camada adicional de segurança de e-mail para quase qualquer serviço de e-mail. É um sistema baseado em nuvem que usa a inteligência coletiva de sua base de usuários para ajudar a prevenir tentativas de malware, ransomware, phishing ativo e spam. Se uma tentativa de phishing for descoberta em uma parte do mundo, o Mail Assure atualiza seus algoritmos para ajudar a proteger todos os outros usuários.

Anexos e links de e-mails de aparência inocentem podem comprometer seriamente a rede. O sucesso dos ataques de engenharia social, como spear phishing e phishing geralmente dependem de falhas humanas, em vez de erros técnicos. Teste o sucesso dos programas de conscientização de segurança regularmente.

Além disso, o SolarWinds Threat Monitor foi projetado para manter-se atualizado com as últimas informações de ameaças em ferramentas de phishing, táticas e procedimentos para ajudar você a manter-se a par dos riscos emergentes.

Download induzido

DO QUE SE TRATA?

Um download induzido refere-se a um site que baixa automaticamente o código malicioso para o computador do visitante. Isso pode levar a consequências devastadoras, dependendo do que de fato for baixado para a máquina da vítima.

Em outubro de 2017, a cidade de Issaquah em Washington, foi atingida por um ataque de ransomware que deixou os serviços da cidade offline por quatro dias.  Embora o resultado final tenha sido um ataque de ransomware, o ponto de entrada foi um download induzido, causado por um funcionário que abriu um arquivo PDF em um site. Em outras palavras, um único download induzido derrubou uma cidade por quatro dias.

Os cibercriminosos comumente usam kits de exploração para distribuir malware aos usuários que navegam na web. Esses kits podem incluir explorações para múltiplas vulnerabilidades dentro de uma única página maliciosa da web. Sub-rotinas no código verificam os sistema salvo do visitante do site, navegadores e plugins do navegador, tais como Flash® Player, Adobe® Reader®, Java® , ou Microsoft®  Silverlight® , buscando qualquer elemento que não esteja com patch totalmente aplicado. Um ataque é então lançado para explorar esse software desatualizado específico.

QUE MEDIDAS EU POSSO ADOTAR?

Como mencionado anteriormente, pense em como implantar uma estratégia ampla de segurança para todos os seus clientes. No caso de ameaças baseadas na web, a proteção e filtragem da web provavelmente devem formar a base de sua defesa contra essa ameaça.

Proteção e filtragem da web podem ser uma defesa mais ampla do que o antivírus neste caso, pois são projetadas para impedir que seus clientes e seus funcionários visitem pontos de acesso problemáticos conhecidos. Isso pode ajudar a reduzir a chance de uma infecção maliciosa. Isso também significa que ele pode ser usado como uma ferramenta educacional e de conscientização sobre segurança. No extremo oposto da escala, os relatórios que podem ser produzidos de uma ferramenta de proteção e filtragem da web podem ser usados para ajudar a explicar o mau desempenho da Internet, bem como fornecer uma ferramenta forense para identificar tráfego suspeito na web.

A importância da segurança em camadas

Assim como o e-mail de phishing descrito anteriormente, provedores de serviços gerenciados podem adotar medidas adicionais para atenuar esse tipo de ataque, implementando várias camadas de defesa. Defesas robustas podem proteger clientes e seus funcionários contra o acesso a páginas da web nocivas onde essas ameaças residem. Focar em ataques baseados na web é uma “vitória rápida” para a segurança. Uma proteção de e-mail como o SolarWinds Mail Assure também pode ajudar, pois downloads induzidos poderiam começar com um link de e-mail simples atraindo alguém para um site malicioso.

Ao considerar a ameaça representada pela web, é importante compreender o mecanismo de fornecimento de um ataque. Mais comumente, trata-se de um kit de exploração criminosa à espreita em um site comprometido. Remover e-mails com anexos maliciosos da jogada é o primeiro passo. No entanto, links da web podem aparecer de várias maneiras: anúncios maliciosos, redes sociais ou até mesmo clientes de mensagens instantâneas. Isso significa que você precisará provavelmente de mais defesas do que apenas a proteção de e-mail.

Além de manter navegadores e plugins incisivamente atualizados, uma das táticas mais comumente usadas para proteger os usuários finais dos perigos de navegar na Internet é instalar vários navegadores da web nas estações de trabalho. No evento raro de uma ameaça de dia zero mirar em um navegador da web específico, os usuários podem ser instruídos a usar um navegador diferente até que o fornecedor emita um patch.

Como um provedor de serviços gerenciados, você provavelmente está ciente do papel fundamental do DNS no direcionamento da navegação na web dos usuários, uso de e-mail e quaisquer outras ações de conexão com a Internet que exigem resoluções de nome. É importante compreender que o DNS não é seguro por natureza. Na verdade, servidores de ISP DNS com baixa segurança são um problema de segurança crítico. Servidores DNS comprometidos podem redirecionar solicitações de um site legítimo para um site falso.

O DNS é uma base importante de comunicação baseada na web, então estabelecer um provedor, como os serviços DNS público do Google®  ou Webroot®  Secure DNS, irá fornecer uma camada adicional de segurança. Você também tem a vantagem adicional de ser capaz de detectar (através do uso de uma regra de firewall ou efetuando login no seu servidor DNS) quando há uma anomalia de DNS, como uma estação de trabalho tentando se comunicar com um servidor DNS localizado em uma região geograficamente suspeita.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Provedores de serviços gerenciados por vezes sobrecarregam suas equipes para realizar tarefas. Isso poderia ser viável em pequena escala, mas pode não ser sustentável contra as ameaças cibernéticas de hoje.

Aplicar patches para tudo, desde o sistema operacional até as definições de antivírus é uma medida projetada para ser a sua principal linha de defesa neste caso. Considere investir em uma solução de gerenciamento de patches intuitiva, projetada para rapidamente identificar sistemas fora de sincronia e resolver essas vulnerabilidades de software de uma forma que o trabalho possa ser feito sem atrapalhar o usuário final.

Seus clientes provavelmente vão querer que você demonstre conformidade com os patches ao se manter adiante das vulnerabilidades e produzindo relatórios de resumo para mostrar status de aplicação de patches. Além disso, certifique-se de agendar e manter ciclos de aplicação de desktops, laptops, servidores e VM e de manter-se atualizado com os patches mais recentes para aplicativos de terceiros.

Lembre-se de que “conformidade” não quer dizer que “patches estão aplicados na última versão sempre”. Em vez disso, você deve ser capaz de determinar quais sistemas têm ou não patches e a razão de estarem desatualizados. Não é possível garantir o melhor estado para todos os sistemas, se, por exemplo, um novo driver ou DLL interfere com funções críticas para os negócios. Soluções robustas de aplicação de patch usam regras para determinar se um patch pode ser aplicado com segurança ou não. Então, quando o conflito já não está presente, o patch pode ser aplicado sem depender da equipe de TI se lembrar de quais sistemas foram ignorados da última vez.

Além disso, o SolarWinds RMM inclui um recurso de proteção da web que pode ajudar a manter os usuários longe de sites maliciosos. O Web Protection oferece listas de bloqueio preexistentes para sites inseguros conhecidos. Isso é projetado para proteger contra os downloads induzidos e outras possíveis ameaças baseadas na web como sites de phishing.

Enquanto isso, o SolarWinds Threat Monitor foi projetado para ajudar você a tirar proveito da inteligência contra ameaças atualizada de várias fontes. Você pode automatizar respostas às ameaças e até mesmo ver relatórios para ter maior visibilidade sobre seus esforços. Ter programas que monitoram continuamente em busca de problemas pode ajudar seus clientes a evitar que eles se tornem alvo fácil de ofensores de download induzido e ajudar você a agir, se um ataque for deslanchado através de vetor baseado na web.

Ataques de Ameaça Persistente, Avançada (APT): cibercriminosos, Estados e hackativistas

DO QUE SE TRATA?

Uma ameaça persistente avançada refere-se a um ataque cibernético sustentado contra uma organização, muitas vezes para fins de espionagem e coleta de dados. Eles podem ser, mas não sempre, patrocinados por uma nação.

Agentes APT são geralmente mais sofisticados, com maiores recursos no seu comando do que muitos outros grupos ou cibercriminosos. Muitas vezes, esses grupos vão persistir no ataque a um grupo-alvo até que alcancem seus objetivos. Esses ataques podem ser desafiadores de se combater, especialmente se os autores estão ligados a uma nação.

Algumas dessas ameaças podem ser completamente assustadoras. Para dar um exemplo, a Computer Emergency Readiness Team dos Estados Unidos (US-CERT) emitiu um comunicado alegando que pessoas a serviço do governo russo têm atuado sistematicamente para comprometer a infraestrutura dos EUA, desde pelo menos março de 2016. O sofisticado ataque teve uma abordagem em duas fases: primeiro, teria como alvo terceiros com redes provavelmente inseguras, em seguida, usaria esses dados para obter acesso a suas vítimas. Ao longo da ação, a US-CERT identificou o uso de “e-mails spear phishing, domínios watering hole, coleta de credencial, reconhecimento de rede e open source, exploração baseada em host e [mirou na] infraestrutura de sistema de controle industrial (ICS).  Em outras palavras, esse ataque era sofisticado, estava em andamento e usava uma quantidade numerosa de técnicas cibercriminosas para comprometer sistemas.

Agentes APT almejarão uma organização específica ou uma entidade e conduzirão uma campanha persistente até que eles alcancem seus objetivos.

Variações: existem muitos grupos APT bem conhecidos, documentados por pesquisadores de segurança. Um do mais conhecidos é o Anonymous, que aglomera hackers ativistas sob sua bandeira. É importante mencionar que é difícil diferenciar entre APT, hacker ativista, agentes patrocinados por países subdesenvolvidos e criminosos sofisticados. Assim, sob a bandeira do vale-tudo do APT, você tem diferentes graus de sofisticação, mas eles geralmente terão muitas coisas em comum:

  • Eles almejam um usuário para roubar seus dados na Internet.
  • A motivação tende a ser ideológica ou cultural, ou procuram perpetrar a espionagem tecnológica, ou o avanço de um plano ideológico/político/cultural, ou o roubo de propriedade intelectual.
  • Eles persistentemente sustentam o ataque por sondagem buscando por vulnerabilidades, usando a força bruta, executando campanhas de spear phishing, pesquisando e até mesmo realizando DDoS para arruinar seu dia.

QUE MEDIDAS EU POSSO ADOTAR?

Como um provedor de serviços gerenciados, você tem que ser realista sobre as chances de derrotar uma ameaça persistente de um grupo que pode ser relativamente grande e conter alguns hackers realmente qualificados. Algumas perguntas importantes são: você tem as habilidades e capacidades para assumir esse tipo de desafio? E vale a pena usar o tempo e dinheiro dos clientes para construir ciberdefesas para afastar esses perigos? O tipo de empresa que atrai a ira desses grupos é geralmente uma organização de médio e quase grande porte, do tipo que pode sofrer riscos cibernéticos significativos devido a produtos ou serviços de impacto político, cultural, religiosos ou ideológico.

Há chances de que uma empresa como esta já sabe a configuração adequada de sistemas que nunca devem estar na Internet. Seu trabalho como um profissional de tecnologia com foco em segurança é garantir que esses sistemas são, e continuarão a ser, protegidos contra o acesso à Internet.

Para reduzir as chances de um ataque, a lista de infraestruturas a seguir não deve estar conectada à Internet: redes e sistemas de computadores militares ou governamentais confidenciais; sistemas de computadores financeiros, como bolsas de valores; sistemas de controle industrial, tais como SCADA em campos de petróleo e gás; sistemas de proteção à vida críticos, tais como controles de usinas nucleares, computadores utilizados na aviação e equipamentos médicos computadorizados.

Infelizmente, muitos desses sistemas críticos estão conectados à Internet sem soluções de segurança necessárias implementadas. Você pode precisar ajudar uma empresa a implementar soluções de segurança para garantir que os benefícios da conexão à Internet não introduzam vulnerabilidades com consequências significativas, se exploradas.

Você tem as habilidades para assumir esse tipo de desafio para seus clientes e vale a pena investir seu tempo e dinheiro para construir ciberdefesas para espantar agentes como esses? Muitos sistemas críticos estão conectados à Internet sem soluções de segurança básica implementadas.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Até mesmo as maiores organizações de segurança têm que se esforçar para lutar contra APTs, pois a maior quantidade possível de ferramentas do comércio de segurança geralmente precisa ser implantada para afastar estes cibercriminosos. Neste tipo de ambiente, você precisará implantar tecnologias sofisticadas e simples para equilibrar a situação. O nível de controle sobre o ambiente de software e hardware terá que ser radical, e várias tecnologias serão necessárias.

Na maioria dos casos, você provavelmente precisará empregar especialistas com conjuntos de habilidades específicas de segurança, sem falar no monitoramento ininterrupto e resposta a incidentes através de uma central de operações de segurança. A segregação de rede, sistemas de detecção de intrusão, como os oferecidos pelo SolarWinds Threat Monitor, e a aplicação de lista de autorizados, bem como o amplo uso de criptografia de dados em repouso e em trânsito, podem ser usados em uma tentativa de afastar esses agentes. Você pode querer considerar uma parceria com uma empresa de serviços gerenciados de segurança especializados para ajudar a se defender ou responder a esses ataques. Você deve também considerar seriamente a arquitetura e conectividade à Internet do clientes.

Considere empregar “air gap” de redes e segurança física robusta, além das soluções técnicas mencionadas anteriormente. Uma rede que não está exposta à Internet pode ser considerada, em teoria, segura. No entanto, alguns ataques sofisticados perpetrados por países podem até comprometer computadores em uma configuração de “air gap”. É praticamente impossível para uma grande empresa enfrentar e sair-se vitoriosa em um ataque APT patrocinado por um país. Colocar todas as ferramentas de segurança imagináveis para trabalhar pode ser proibitivamente caro.

Em última análise, se este é o principal risco para um ou mais dos seus clientes, você pode querer considerar investir pesadamente em segurança física e criptografia onipresente, além de uma conexão à Internet não persistente e fortemente criptografada.

Em alguns casos, os profissionais de tecnologia atuarão como a equipe de limpeza, responsável por metaforicamente botar a rede no chão e reconstruí-la para remover o ponto de apoio que o grupo APT adquiriu na empresa. Uma opção nesse cenário envolve projetar e implementar metodicamente uma rede segura, usando uma estrutura robusta, como os controles SANS 20. Em cada etapa do processo de design, a segurança deve ser considerada, controles implementados e o monitoramento estabelecido. Isso inclui todas as camadas do modelo OSI 1-7, HVAC e segurança física. São muito poucas pessoas no mundo com a experiência, habilidades e credenciais para enfrentar todos os projetos e subprojetos surgidos de uma compilação de rede como esta; é por isso que muitas grandes organizações com foco em segurança, tais como bancos, companhias aéreas, governo e organizações militares, ainda são invadidas com êxito por agentes APT.

Essas ameaças são extremamente graves e desafiadoras de se resolver. Recomendamos que você fale com uma empresa experiente nesses tipos de ataques. Uma solução potencial poderia ser em parceria com um fornecedor com vasta experiência em segurança. Você pode fazer isso através do Programa de Serviço de Monitoramento de Ameaças da SolarWinds, no qual um provedor de segurança pré-aprovado será responsável pelas operações back-end de execução de detecção de ameaças sofisticada em seu nome, enquanto você administra o atendimento ao cliente.

Divulgação, destruição e roubo de dados

DO QUE SE TRATA?

O ataque de dezembro de 2014 à Sony Pictures Entertainment definiu um novo marco no dano que cibercriminosos podem causar a uma empresa. Em resposta ao dano causado por este ataque, incluindo a liberação de e-mails altamente comprometedores e a destruição de dados, o FBI lançou uma alerta flash para prevenir outras organizações sobre o perigo. Elementos do ataque à Sony®  incluem enormes danos de propriedade intelectual (por meio de lançamentos de filmes), destruição de dados, divulgação não autorizada de informações confidenciais, negação de serviço (através de roubo de credencial) e danos à reputação (levando à demissão de altos executivos).

Variações: o hackeamento da Sony pode ser único nos anais da cibercriminalidade, em termos de um grande conjunto de incidentes de segurança diferentes acontecendo rapidamente durante um curto período. Os motivos parecem ter sido puramente maliciosos. Incluímos esse ataque, mesmo que tenha ocorrido há vários anos, para demonstrar o que pode acontecer quando um invasor está obstinado a destruir uma empresa.

Em nenhum momento os ofensores tentaram extorquir dinheiro da Sony, só queriam causar o caos digital. Dado o estado de segurança cibernética e o efeito de desfrutar de uma sequência de vitórias contínua e implacável produzido pelos criminosos, um grande número de empresas provavelmente sofreria o mesmo dano de um ataque cibernético. Mesmo que o malware usado neste ataque não fosse detectável por programas antivírus, a Sony tinha um documento chamado “passwords.xls”, que não era criptografado nem protegido por senha, e listava todas as senhas, incluindo aquelas com acesso administrativo.

QUE MEDIDAS EU POSSO ADOTAR?

Como um provedor de serviços gerenciados, você precisa concentrar suas soluções de segurança nos riscos que seus clientes enfrentam. Implementar um monte de tecnologia raramente é suficiente como melhor solução. Projetar uma rede simples, gerenciável e estabelecer uma solução de monitoramento contínua trarão ganhos fáceis. Violações de dados ocorrem frequentemente quando as medidas básicas de segurança simplesmente não estão implementadas.

Vender o medo só funciona até certo ponto e geralmente não é sustentável. A segurança é muito mais que isso e combina o uso da tecnologia associada a pessoas e processos. Considere começar com uma avaliação de segurança, um plano para corrigir os itens críticos identificados pelos negócios e, em seguida, oferecer uma solução para monitorar o sistema de conformidade. Medidas simples, muitas vezes podem ser surpreendentemente úteis para reduzir o risco de violação de dados.

O objetivo do hacker era destruir a propriedade e liberar informações confidenciais.

QUE TECNOLOGIA VAI ME AJUDAR A DETECTAR, PROTEGER E REAGIR?

Profissionais de tecnologia devem ter uma coisa em mente: todo trabalho pesado, diligências e tecnologia de segurança serão ineficazes se a gestão da empresa não apoiar e endossar um programa de segurança. Se este for o caso, você vai precisar se tornar realmente bom na restauração de dados de backup.

O ataque da Sony foi usado nesse documento para ilustrar o pior cenário possível. Esse caso demonstra o que pode acontecer quando cibercriminosos estão simplesmente determinados a destruir dados de uma empresa. As consequências de uma violação maciça de dados evoluíram do saque de informação pessoal privada e roubo de propriedade intelectual para tentativas de destruir ou receber dinheiro por meio de ameaça de destruição dos dados de um alvo. De todo modo, restaurar dados para seu estado original provavelmente precisará ser um objetivo final. Um backup baseado em nuvem forte como o SolarWinds Backup poderia ajudar nessas situações. Além disso, ter uma solução de detecção de ameaça potente implementada, como o SolarWinds Threat Monitor, pode ajudar você a detectar essas inúmeras ameaças potenciais, além de auxiliar a envolver autoridades na situação o mais cedo possível, se necessário. O cenário em constante evolução das ameaças cibernéticas. Os cibercriminosos têm várias ferramentas na cartola para atacar as empresas. A verdade é que provavelmente nunca vão parar de inovar nas novas maneiras de comprometer sistemas ou destruir dados. O que não muda, no entanto, é a importância de adotar uma abordagem de segurança em camadas. As ferramentas que você usará dependerão dos tipos de ameaças enfrentados. A maioria das empresas deverá, no mínimo, manter sua ciberhigiene básica em dia com aplicação de patches, antivírus, proteção da web e segurança de e-mail. No entanto, muitas empresas devem considerar investir em ferramentas de segurança mais sofisticadas, como soluções SIEM e ferramentas de monitoramento de ameaças, projetadas para ajudar contra ataques cibernéticos mais complexos. Como mencionado antes, o SolarWinds MSP oferece uma solução baseada em nuvem SIEM chamada SolarWinds Threat Monitor. A solução inclui o log de correlações e alarmes, rede automatizada de detecção de intrusão de host, uma arquitetura multitenant para ajudar a oferecer suporte a vários clientes, respostas automatizadas a ameaças e relatórios de auditoria de prontidão. Além disso, o Threat Monitor incorpora dados de várias fontes de inteligência contra ameaças para determinar quando deve soar o alerta. Nossa inteligência contra ameaças é quase continuamente atualizada para ajudar a detectar as ameaças mais recentes, mesmo aquelas não mencionadas nesse relatório. Além disso, o Threat Monitor tem um preço fixo para que seja acessível para empresas de qualquer porte.

Todo o seu trabalho pesado será ineficaz se a gestão da empresa não apoiar e endossar um programa de segurança.

A SolarWinds é um provedor de software de gerenciamento de infraestruturas de TI líder no setor, robusto e economicamente viável. Nossos produtos proporcionam a organizações em todo o mundo, independentemente do porte ou da complexidade da infraestrutura de TI, a

capacidade de monitorar e gerenciar o desempenho de seus ambientes de TI, seja no local, na nuvem ou em modelos híbridos. Estamos continuamente em sintonia com todos os tipos de profissionais de tecnologia, operações de TI, DevOps e provedores de serviços gerenciados (MSPs), para nos ajudar a compreender os desafios que eles enfrentam na manutenção de infraestruturas de TI de alto desempenho e alta disponibilidade. Voltado para MSPs, o portfólio de produtos da SolarWinds MSP fornece soluções de gerenciamento de serviços de TI escaláveis e amplas que integram segurança em camadas, inteligência coletiva e automação inteligente. Nossos produtos são projetados para possibilitar aos MSPs o fornecimento de serviços de TI terceirizados altamente eficazes para os clientes finais de pequenas e médias empresas, e para gerenciar seus próprios negócios de maneira mais eficiente.

 

As marcas registradas comerciais SolarWinds e SolarWinds MSP são de propriedade exclusiva da SolarWinds MSP Canada ULC, SolarWinds MSP UK Ltd. ou de suas afiliadas. Todas as outras marcas registradas comerciais mencionadas neste documento são marcas registradas comerciais de suas respectivas empresas.