Top Network Security Issues, Threats, and Concerns

No início de 2021, é um bom momento para refletir sobre as ameaças que o grupo Check Point Research viu em 2020 para se preparar para o próximo ano. De acordo com o Relatório Cibersegurança de 2021, os ataques Sunburst que violaram milhares de organizações governamentais e do setor privado foram apenas a ponta do iceberg no que diz respeito aos ataques cibernéticos de 2020. Na verdade, 87% das organizações experimentaram uma tentativa de exploração de uma vulnerabilidade conhecida.

Além do ataque do tipo Estado-nação do Sunburst, os agentes de ameaças com motivação financeira continuam a realizar campanhas de malware. Eles estão evoluindo suas técnicas para usar phishing de voz (vishing), ransomware de dupla extorsão, sequestro de threads de e-mail e ataques direcionados a infraestruturas de nuvem. Dito isto, também há alguns aspectos positivos no horizonte.

Leia o relatório Frost & Sullivan

Principais problemas e tendências de segurança de rede

No Relatório Cibersegurança 2021, o grupo Check Point Research descreveu os principais problemas, ameaças e tendências de segurança de rede de 2020.

#1. Ataques à cadeia de suprimentos

Em 8 de dezembro de 2020, a empresa de segurança cibernética FireEye revelou que havia descoberto o malware Sunburst em sua rede. A investigação desta infecção revelou uma campanha massiva de ataques cibernéticos que afetou 18.000 organizações, 425 empresas da Fortune 500 (incluindo a Microsoft) e também teve como alvo agências governamentais.

O malware SUNBURST foi distribuído por meio de atualizações comprometidas do software de gerenciamento de rede SolarWinds Orion. Os invasores conseguiram comprometer a SolarWinds usando um novo ataque contra suas contas do Office 365, que lhes permitiu forjar um token do Azure Active Directory para uma conta privilegiada e usar credenciais de administrador comprometidas para obter acesso ao servidor de gerenciamento de atualizações da empresa.

Com acesso ao servidor de gerenciamento de atualizações da SolarWinds, os invasores conseguiram modificar as atualizações durante o pipeline de desenvolvimento para incluir o malware backdoor. Esse amplo alcance de ataque tornou-o o ataque à cadeia de suprimentos conhecido de maior sucesso até o momento. No ataque à SolarWinds, o monitoramento foi essencial para primeiro identificar e depois responder ao ataque.

A prevenção de ataques futuros requer a implementação de práticas recomendadas de segurança, como:

  • Privilégio mínimo e segmentação de rede: essas práticas recomendadas podem ajudar a rastrear e controlar movimentos dentro da rede de uma organização.
  • DevSecOps: A integração da segurança no ciclo de vida de desenvolvimento pode ajudar a detectar se o software (como as atualizações do Orion) foi modificado de forma maliciosa.
  • Prevenção automatizada de ameaças e caça a ameaças: os analistas dos Centros de Operações de Segurança (SOC) devem se defender proativamente contra ataques em todos os ambientes, incluindo rede, endpoint, nuvem e dispositivos móveis.

#2. Vistoria

Embora o phishing seja o tipo mais conhecido de ataque de engenharia social, outras técnicas podem ser igualmente eficazes. Por telefone, um visher pode empregar técnicas de engenharia social para obter acesso a credenciais e outras informações importantes, contornar 2FA ou persuadir a vítima a abrir um arquivo ou instalar software malicioso.

Vishing é uma ameaça crescente à segurança cibernética corporativa. Em agosto de 2020, a CISA e o FBI emitiram um alerta sobre ataques de vishing, e o vishing tem sido usado em campanhas de malware e por grupos APT. Um ataque de grande repercussão permitiu que um adolescente assumisse o controle de várias contas de celebridades no Twitter em 2020. A ameaça de vishing só piorará à medida que a tecnologia de gravação deepfake melhorar e estiver mais amplamente disponível.

Vishing é um ataque de baixa tecnologia, o que significa que a educação dos funcionários é essencial para proteção contra ele. As empresas podem educar seus funcionários para não fornecerem informações confidenciais e verificarem de forma independente a identificação do chamador antes de atender às solicitações.

#3. ransomware

O ransomware foi uma das ameaças cibernéticas mais caras para as organizações em 2020. Custou às empresas US$ 20 bilhões em 2020, acima dos US$ 11,5 bilhões em 2019. No terceiro trimestre de 2020, o pagamento médio do resgate foi de US$ 233.817, um aumento de 30% em relação ao trimestre anterior.

Naquele trimestre, quase metade de todos os incidentes de ransomware incluíam uma dupla ameaça de extorsão. Esta inovação visa aumentar a probabilidade de a vítima pagar o resgate. Fá-lo empregando uma nova segunda ameaça, além da encriptação de ficheiros, ou seja, extraindo dados sensíveis e ameaçando a exposição pública ou a venda dos dados. Embora os backups possam permitir que uma organização se recupere de um ataque de ransomware sem pagar, a ameaça de violação de informações confidenciais e pessoais proporciona uma vantagem adicional ao invasor.

O aumento destes ataques duplos de extorsão significa que as organizações devem adotar uma estratégia de prevenção de ameaças e não confiar apenas na deteção ou remediação. Uma estratégia focada na prevenção deve incluir:

  • Soluções Anti-Ransomware: As organizações devem implantar soluções de segurança projetadas especificamente para detectar e erradicar infecções por ransomware em um sistema.
  • Gerenciamento de vulnerabilidade: A correção de sistemas vulneráveis ou o uso de tecnologias de correção virtual, como um Sistema de prevenção de intrusão (Intrusion Prevention System, IPS) (IPS), é necessário para bloquear vetores comuns de infecção por ransomware, como o protocolo de área de trabalho remota (RDP).
  • Educação dos funcionários: Eduque os funcionários sobre os riscos de abrir anexos ou clicar em links de e-mails maliciosos.

#4. Sequestro de thread

Os ataques de sequestro de threads usam seus próprios e-mails contra você. Depois de comprometer uma conta de e-mail interna, um invasor pode responder a uma conversa de e-mail com um anexo contendo malware. Esses ataques aproveitam o fato de que o tópico de e-mail parece legítimo... porque é.

O malware bancário Emotet, um dos maiores botnets, liderou as classificações de malware e atingiu quase 20% das organizações globais em 2020. Depois de infectar uma vítima, ele usa o e-mail da vítima para enviar arquivos maliciosos a novas vítimas. Qbot, outro malware bancário, empregou técnicas semelhantes de coleta de e-mail.

A proteção contra o sequestro de threads exige o treinamento dos funcionários para observar os e-mails em busca de sinais de phishing, mesmo quando provenientes de uma fonte confiável, e, se um e-mail parecer suspeito, verificar a identidade do remetente com uma ligação. As organizações também devem implantar uma solução de segurança de e-mail que use IA para detectar phishing e colocar em quarentena e-mails com anexos e/ou links maliciosos.

#5. Vulnerabilidade de acesso remoto

O aumento do trabalho remoto após a COVID-19 tornou o acesso remoto um alvo comum dos cibercriminosos em 2020. A primeira metade do ano assistiu a um aumento dramático nos ataques contra tecnologias de acesso remoto, como RDP e VPN. Quase um milhão de ataques contra o RDP foram detectados todos os dias.

No segundo semestre, os cibercriminosos passaram a se concentrar em portais, gateway e aplicativos VPN vulneráveis, à medida que novas vulnerabilidades nesses sistemas se tornavam conhecidas. A rede de sensores Check Point registrou um aumento nos ataques contra oito vulnerabilidades conhecidas em dispositivos de acesso remoto, incluindo Cisco e Citrix.

Para gerenciar os riscos de vulnerabilidade do acesso remoto, as organizações devem corrigir sistemas vulneráveis diretamente ou implantar tecnologias de patches virtuais, como IPS. Eles também devem proteger os usuários remotos, implantando uma proteção abrangente endpoint com tecnologias de detecção e resposta endpoint (EDR) para aprimorar a remediação e a caça a ameaças.

#6. Ameaças móveis

A COVID-19 dominou a esfera das ameaças móveis. O uso de dispositivos móveis aumentou dramaticamente devido ao trabalho remoto, assim como aplicativos maliciosos disfarçados de aplicativos relacionados ao coronavírus.

Os dispositivos móveis também foram alvo de grandes campanhas de malware, incluindo malware bancário como Ghimob, EventBot e ThiefBot nos EUA. Os grupos APT também visaram dispositivos móveis, como a campanha iraniana para contornar o 2FA para espionar expatriados iranianos. Vulnerabilidades notáveis em dispositivos móveis foram pontos fracos de Aquiles 400 em chips Qualcomm e vulnerabilidade em aplicativos como Instagram, sistema de login da Apple e WhatsApp.

As empresas podem proteger os dispositivos móveis de seus usuários com uma solução leve de segurança móvel para dispositivos não gerenciados. Eles também devem treinar os usuários para se protegerem instalando apenas aplicativos de lojas de aplicativos oficiais para minimizar o risco.

#7. Escalação de privilégios de nuvem

Em nosso resumo das principais questões de segurança, fechamos o círculo com as técnicas de ataque da SolarWinds. Ao contrário dos ataques anteriores à nuvem, que dependiam de configurações incorretas que deixavam expostos ativos da nuvem, como buckets S3 (e que ainda são uma preocupação), a própria infraestrutura da nuvem agora também está sendo atacada.

Os invasores da SolarWinds tiveram como alvo os servidores dos Serviços de Federação do Active Directory (ADFS), que também foram usados no sistema de logon único (SSO) da organização para acesso a serviços em nuvem como o Office 365. Nesse ponto, os invasores usaram uma técnica chamada Golden SAML para obter persistência e acesso total difícil de detectar aos serviços em nuvem da vítima.

Outros ataques a sistemas de gerenciamento de identidade e acesso (IAM) em nuvem também foram notáveis. As funções IAM podem ser abusadas usando 22 API encontradas em 16 serviços AWS. Esses ataques dependem de um profundo conhecimento dos componentes, da arquitetura e da política de confiança dos provedores de IaaS e SaaS.

As empresas precisam de visibilidade holística em ambientes de nuvem pública e implantar proteções unificadas e automatizadas nativas da nuvem. Isso permite que as empresas colham os benefícios que a nuvem traz, ao mesmo tempo que garante segurança contínua e conformidade regulatória.

Os ataques à saúde não tiveram precedentes em 2020

A COVID-19 tornou as organizações de saúde as mais lembradas por todos, incluindo os cibercriminosos. Algumas campanhas de malware prometeram abandonar os ataques contra os serviços de saúde, mas as promessas não tinham substância – os hospitais ainda eram o foco dos malwares Maze e DopplePaymer.

Em outubro, CISA, FBI e DHS divulgaram um alerta sobre ataques contra a saúde, mencionando o malware Trickbot usado para implantar o ransomware Ryuk. Além disso, os ataques APT patrocinados pelo país visaram instituições envolvidas no desenvolvimento da vacina contra a COVID-19.

A saúde nos EUA foi a mais visada pelos ciberataques. Check Point Research registou um aumento de 71% entre Setembro e Outubro e um aumento global de mais de 45% em Novembro e Dezembro.

Forros de prata

Ao mesmo tempo que compreendemos as ameaças às questões de segurança da rede de 2020, também é importante observar as muitas ações bem-sucedidas das autoridades policiais – apoiadas pela comunidade Cibersegurança – para localizar e indiciar numerosos indivíduos e grupos de ameaças envolvidos no crime cibernético em todo o mundo.

Alguns exemplos de operações cibernéticas bem-sucedidas de aplicação da lei em 2020 incluem:

  • Em outubro, a infraestrutura do Trickbot conectada a mais de um milhão de hosts infectados foi desativada.
  • A UE liderou investigações para desmantelar as operações DisRupTor, nas quais 179 vendedores de bens ilícitos foram detidos e os bens ilícitos apreendidos pelas autoridades policiais.
  • Foram emitidos mandados para atores de ameaças do grupo APT na Rússia e na China.
  • Esforços liderados pela Microsoft, como a remoção do TrickBot, também derrubaram o botnet Necurs.
  • O British National Cibersegurança Centre (NCSC) retirou do ar mais de 22.000 URL associados a scam relacionados ao coronavírus.
  • A aliança global contra ameaças cibernéticas da Cyber Threat Coalition (CTC) uniu-se para compartilhar IoCs da COVID-19.
  • Os pesquisadores da Cibersegurança continuam encontrando e divulgando vulnerabilidades de forma responsável.
  • A Check Point encontrou e divulgou uma vulnerabilidade RCE na nuvem com uma pontuação de risco CVE máxima de 10,0 e também a vulnerabilidade SigRed em servidores DNS do Windows.
  • Pesquisadores da indústria encontraram bugs no Pulse Secure VPN e no F5 Big-IP.
  • Foram encontrados bugs em malware que ajudam a eliminá-lo.
  • Um bug de buffer overflow no Emotet atuou como um kill switch, permitindo a remoção por 6 meses, seguida pela remoção do botnet Emotet em janeiro de 2021.

Recomendações para permanecer seguro

As ameaças cibernéticas e as preocupações com a segurança da rede de 2020 não se limitam a 2020. Muitas dessas tendências de ataque estão em andamento e 2021 trará novos problemas de segurança de rede e inovações no crime cibernético. Para se proteger contra o cenário de ameaças cibernéticas em evolução, reunimos as seguintes recomendações:

  • Foco na prevenção em tempo real: A detecção e resposta a incidentes são importantes, mas detectar um ataque assim que ele ocorre significa que o dano já pode estar feito. O foco na prevenção de ameaças em vez da detecção limita os danos e os custos associados aos ataques cibernéticos.
  • Proteja tudo: os cibercriminosos atacam os frutos mais fáceis de alcançar, o que significa que eles procurarão alvos fáceis. As organizações precisam proteger todos os aspectos de sua superfície de ataque, incluindo rede, infraestrutura de nuvem, usuários, endpoint e dispositivos móveis.
  • Consolidar para obter visibilidade: soluções autônomas de segurança cibernética podem ser boas para resolver um problema, mas uma confusão de soluções de segurança desconectadas é esmagadora para as equipes de segurança e resulta em detecções perdidas. A unificação da segurança torna as equipes mais eficientes e mais capazes de detectar e responder rapidamente a ataques.
  • Aplique paradigmas de confiança zero: permissões e acesso excessivos tornam muito fácil que um erro ou uma conta comprometida se transforme em um grande incidente de segurança. A implementação da confiança zero permite que uma organização gerencie o acesso aos recursos caso a caso, minimizando o risco de segurança cibernética.
  • Mantenha a inteligência ameaçada atualizada: O cenário de ameaças cibernéticas está em constante evolução. As organizações necessitam de acesso em tempo real à inteligência de ameaça para se protegerem contra as mais recentes ameaças cibernéticas.

Para saber mais sobre os principais problemas atuais de segurança de rede, confira o Relatório Cibersegurança 2021 completo. Você também pode solicitar uma verificação de segurança para identificar os problemas que colocam em risco a segurança da sua organização.

Iniciar

Cyber Security Report 2021

Guia do comprador ESG SASE

Visão do CISO sobre as tendências de segurança para 2020

Tópicos relacionados

Diagrama de segurança da nuvem

Folheto do Infinity Total Protection

ESG, a necessidade de segurança de rede em hiperescala

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK