Recentemente, observamos outro evento de quase comprometimento / quase violação.
Em uma época em que o foco está nos adversários que desenvolvem ataques cada vez mais complexos e sofisticados, técnicas testadas e comprovadas, como credenciais comprometidas, continuam entre as armas mais potentes. De acordo com o Relatório DBIR anual da Verizon, 80 por cento das violações de dados confirmadas envolveram senhas fracas, padrão ou roubadas; ou compromissos de credenciais de força bruta.
O risco varia de acordo com o nível de acesso fornecido. Credenciais privilegiadas (por exemplo, contas administrativas) fornecem acesso a sistemas e dispositivos, dados confidenciais ou direitos irrestritos de movimentação dentro da infraestrutura. Não se deve esquecer, as contas de serviço, como contabilidade@empresa.com, costumam fornecer o nível mais profundo de acesso a uma empresa. As contas de serviço são usadas por máquinas em vez de humanos e, portanto, não podem aproveitar facilmente a segurança adicional de senhas de uso único e MFA.
Nós observamos isso com freqüência. E embora difiram em sua própria maneira, eles seguem um padrão semelhante (seguindo direcionalmente uma estrutura de ataque de escolha):
Reconhecimento usando informações publicamente disponíveis ou informações expostas inadvertidamente. No mínimo, isso fornece insights sobre as contas a serem direcionadas ou visibilidade das credenciais de acesso que foram divulgadas inadvertidamente. Existem inúmeras maneiras pelas quais as credenciais podem ser comprometidas; desde informações públicas em mídias sociais, sites ou até mesmo documentos legais.
Quebrar as credenciais e acessar recursos, hosts ou servidores.
Movimento para contas ou hosts de privilégio para, eventualmente, chegar ao seu alvo. Nosso parceiro de colaboração, Crowdstrike, afirmou que leva um intruso uma hora e 58 minutos para pular da máquina que foi inicialmente comprometida e começar a se mover lateralmente através de sua rede.
Embora você deseje proteger todas as três frentes, a probabilidade de prevenir cada instância de abuso de credencial é fundamentalmente difícil: você deve estar certo todas as vezes e o invasor só precisa estar certo uma vez. A maioria das equipes de segurança tem dificuldade em confirmar, quanto mais responder a compromissos antes que o movimento ocorra.
Observamos e monitoramos a atividade em todas as frentes. Em particular, nossa plataforma está em uma posição única para ver ataques após o comprometimento das credenciais, mas antes do impacto de uma violação. Essa posição oferece visibilidade direta do acesso inicial a aplicativos, sistemas e dados; especialmente quando eles acionam comportamentos anômalos e inesperados que são indicativos de atividades maliciosas.
Apenas no último mês, o seguinte é uma pequena amostra de comportamentos observados:
Comportamentos incomuns durante o login, incluindo localizações geográficas inesperadas e tentativas de força bruta
Segundos fatores desencadeados por causa de comportamentos conhecidos de invasores
Upload de dados confidenciais, potencialmente uma tentativa de “envenenar o poço” com um documento infectado por malware que é compartilhado ativamente.
Download de dados confidenciais, como um indicador inicial de comportamentos de perda de dados e exfiltração.
Identificação de arquivos infectados por malware
Para saber como sua organização pode obter total visibilidade e controle sobre a ampla gama de aplicativos que os funcionários usam para realizar suas tarefas de trabalho, entre em contato conosco através do nosso e-mail contato@asg.com.br ou então através do nosso site https://www.asg.com.br
