Você quer entender como os cibercriminosos enxergam a segurança da sua empresa e descobrir se suas defesas são realmente eficazes contra as ameaças cibernéticas modernas?
Os CISOs e os gerentes de segurança geralmente enxergam seus ambientes de uma perspectiva macro, vendo o "todo" como um objeto de proteção e não as partes separadas que o definem.
Entretanto, o mesmo não acontece com os agentes de ameaças. Cada rede, dispositivo, sistema ou aplicativo apresenta uma oportunidade separada de exploração. Além disso, em um mundo com tecnologia profundamente interligada e parcerias comerciais que trazem grandes eficiências no ROI, os elos mais fracos dessas cadeias de produção podem muito bem fazer com que o "todo" figurativo desmorone por dentro.
Assim, a liderança se depara com a necessidade de unir as necessidades de negócios e de tecnologia e, ao mesmo tempo, demonstrar muita cautela antes de se comprometer com uma abordagem de segurança de tamanho único. Em vez disso, eles devem procurar ver sua segurança pelos olhos de um invasor, assumindo uma posição ofensiva em relação ao seu próprio ambiente.
Pontos principais deste artigo:
- Para alcançar a verdadeira resiliência cibernética, os SOCs devem se empenhar ao máximo. Eles devem testar suas suposições, estratégias e ferramentas de gerenciamento de incidentes assumindo o papel de um verdadeiro invasor.
- Os atacantes avançados dependem da furtividade, perdendo-se em meio à detecção e ao ruído do trabalho. Torne o trabalho deles mais difícil vendo suas ações como elas são.
- A segurança cibernética está em constante evolução. O fluxo e o refluxo do cenário de ameaças devem ser espelhados pelas defesas organizacionais que estão sendo implementadas a tempo para evitar inimigos invisíveis.
- Como o tempo é essencial, a resposta a incidentes deve ser tão ágil quanto as TTPs em rápida evolução de uma APT, lidando com a ação maligna em minutos, não em meses.
Entrando no personagem
Observe que a segurança ofensiva (OffSec) não é um termo novo. Práticas ofensivas como red teaming, pen testing e verificações de vulnerabilidade são abordagens padrão que não devem ser estranhas a nenhum CISO. Só que não é exatamente isso que este artigo tem em mente.
Embora uma abordagem ofensiva possa testar um ambiente contra ataques do mundo real com segurança, essa abordagem pode não levar em conta a visão específica de um invasor, nem seus TTPs reais. O que é óbvio é que a segurança interna não terá as mesmas ferramentas/experiência à disposição.
Lembre-se de que emulações profissionais, como o MITRE ATT&CK Evaluations Enterprise ou o exercício Locked Shields da OTAN, testam TTPs tangíveis, mas isso está fora do escopo deste artigo.
Para resolver essa lacuna e refletir sobre o que os agentes mal-intencionados fazem de melhor, os gerentes de segurança devem adotar a mentalidade de seus inimigos.
Veja como um invasor
Antes de mais nada, os atacantes adoram evitar a detecção pelo maior tempo possível. Inicialmente, eles podem procurar por aberturas em uma rede, uma VPN insegura, servidores SQL e similares, ou podem simplesmente criar uma mensagem de spear phishing personalizada para coletar as credenciais de alguém, e já estão dentro.
Seja qual for o caminho escolhido, uma coisa é certa: os atacantes apostam que os profissionais de segurança não descobrirão o comprometimento inicial. Isso geralmente acontece porque os SOCs internos não têm equipe suficiente, o que leva a vários meses de persistência por parte de um invasor, ou talvez porque os SOCs possam analisar uma detecção de forma insuficiente.
Às vezes, é um problema de habilidade. Outras vezes, é uma questão de escopo, em que as empresas não conseguem cobrir totalmente as pegadas de suas redes (muita dívida técnica). Em ambos os casos, o verdadeiro problema é a visibilidade. Não é possível proteger o que não se pode ver. Os atacantes sabem disso, e é também por isso que eles tendem a atacar durante o horário comercial mais movimentado (de acordo com atelemetria do ESET MDR).
Crie estratégias como um invasor
Em segundo lugar, os atacantes estão sempre em movimento. Os agentes de ransomware, como o Warlock, podem ter apenas algumas vítimas públicas, mas avançaram enormemente em sua tecnologia e introduziram técnicas de evasão inovadoras e perigosas.
Com a pesquisa da ESET projetando um aumento de 40% em relação ao ano anterior no número de vítimas de ransomware que se deparam com agentes de ameaças que utilizam EDR killers e malware capaz de comprometer a UEFI, as posturas de segurança devem refletir o cenário de ameaças em constante mudança.
Saiba mais sobre EDR killers e medidas defensivas.
Como? Repense sua postura/estratégia atual. Muito vago? Vá mais fundo. Sua plataforma de segurança e seus módulos de proteção refletem a pegada da sua empresa? As regras de detecção em sua solução EDR/XDR estão atualizadas? Elas podem detectar técnicas do tipo "traga seu próprio driver vulnerável"? Somente mantendo-se dinâmica, como um comandante de linha de frente, uma empresa poderá sobreviver nos próximos anos.
Mova-se como um invasor
A diferença entre um comprometimento e a prevenção pode ser de apenas seis minutos. Se você é uma empresa localizada em um setor de alto risco, como o de manufatura, provavelmente não quer interromper sua produção por vários meses, custando literalmente bilhões de dólares para alguns. Os agentes de ameaças também não querem que você faça isso; na verdade, eles preferem escapar da notificação e se movimentar dentro de uma rede para aguardar a oportunidade certa.
Pensar é teoria. Movimento é prática. Se você não conseguir tomar decisões em questão de minutos, ou mesmo segundos, estará perdendo uma batalha de segurança. Além disso, você não quer que haja atrito entre o console de segurança, seus módulos e a entrada humana adicional. Os invasores dependem em grande parte do malware que faz muito do trabalho para eles.
A adaptabilidade é, portanto, tão vital para os defensores quanto para os atacantes, com uma resposta ágil que exige a combinação da automação com o toque humano necessário para combater a lógica mal-intencionada.
Teste seu poder
É fácil cair na complacência. Da sala de reuniões, basta ver algumas caixas de seleção "cibernéticas" marcadas e, potencialmente, deixar isso de lado. No entanto, o mundo mudou. Caixas marcadas não satisfarão as seguradoras cibernéticas, nem convencerão os reguladores de sua preparação. Elas também não impedirão que ameaças persistentes avançadas as contornem.
No entanto, elas ajudam - se você puder fazê-las trabalhar para você. Ao tentar traçar seu perfil pelos olhos de um invasor, veja essas caixas de seleção como recursos que você não apenas gostaria de obter, mas também de testar. Seja o atacante, vá à caça e veja como você se sai em relação às suas próprias suposições:
- Conhecer o seu inimigo: uma coisa é usar uma determinada plataforma de segurança para se defender contra ataques, mas outra coisa totalmente diferente é entender os conjuntos de ferramentas dos agentes de ameaças reais. Eles podem não usar um produto XDR para atacá-lo, mas podem muito bem empregar RMMs legítimos ou drivers assinados para escapar da detecção, juntamente com seu próprio código proprietário ou de MaaS.
- LARPing como um atacante: Comprometa-se com a parte, refletindo as cadeias de ataque do mundo real, da mesma forma que um teste corporativo faria. Valide se seus funcionários e sistemas podem resistir a ataques avançados usando cenários localizados na base de conhecimento MITRE ATT&CK e inteligência de ameaças terceirizada e personalizada contra seus sistemas. Se achar que talvez não haja capacidade suficiente para fazer isso internamente, considere a possibilidade de realizar avaliações externas profissionais por um provedor de serviços de equipe vermelha.
- Fornecimento de feedback: Transforme a experiência ofensiva em feedback real. Teste o tempo de resposta de seu SOC e os gargalos de incidentes e valide sua estratégia de resiliência cibernética abusando deliberadamente de seus pontos fracos. Um grande benefício aqui é que essas simulações podem mapear as partes vestigiais de sua rede, simplificar as operações e reduzir os gastos desnecessários com TI.
É tudo uma questão de perspectiva
Ao visualizar seus sistemas como um invasor e (realmente) se tornar um, os insights obtidos devem ajudar a transformar as suposições cibernéticas organizacionais. Além disso, isso também testa a capacidade de um CISO ou gerente de segurança de ajustar dinamicamente a postura de um ambiente em relação às últimas tendências de segurança mal-intencionadas.
Embora você possa confiar apenas na plataforma de sua escolha e nos analistas de segurança que a utilizam, isso só conta um lado da história. Para alertar os leitores, devemos lembrar que, com o pensamento crítico, não é possível formar uma opinião sólida sem validar os dois lados de uma história.
Para obter mais informações sobre as tendências atuais de ameaças e detalhamento de pesquisas, consulte o último Relatório de Ameaças da ESET.