Um ponto de vantagem para ver as ameaças antes do impacto



Recentemente, observamos outro evento de quase comprometimento / quase violação.

Em uma época em que o foco está nos adversários que desenvolvem ataques cada vez mais complexos e sofisticados, técnicas testadas e comprovadas, como credenciais comprometidas, continuam entre as armas mais potentes. De acordo com o Relatório DBIR anual da Verizon, 80 por cento das violações de dados confirmadas envolveram senhas fracas, padrão ou roubadas; ou compromissos de credenciais de força bruta.


O risco varia de acordo com o nível de acesso fornecido. Credenciais privilegiadas (por exemplo, contas administrativas) fornecem acesso a sistemas e dispositivos, dados confidenciais ou direitos irrestritos de movimentação dentro da infraestrutura. Não se deve esquecer, as contas de serviço, como contabilidade@empresa.com, costumam fornecer o nível mais profundo de acesso a uma empresa. As contas de serviço são usadas por máquinas em vez de humanos e, portanto, não podem aproveitar facilmente a segurança adicional de senhas de uso único e MFA.


Nós observamos isso com freqüência. E embora difiram em sua própria maneira, eles seguem um padrão semelhante (seguindo direcionalmente uma estrutura de ataque de escolha):

  • Reconhecimento usando informações publicamente disponíveis ou informações expostas inadvertidamente. No mínimo, isso fornece insights sobre as contas a serem direcionadas ou visibilidade das credenciais de acesso que foram divulgadas inadvertidamente. Existem inúmeras maneiras pelas quais as credenciais podem ser comprometidas; desde informações públicas em mídias sociais, sites ou até mesmo documentos legais.

  • Quebrar as credenciais e acessar recursos, hosts ou servidores.

  • Movimento para contas ou hosts de privilégio para, eventualmente, chegar ao seu alvo. Nosso parceiro de colaboração, Crowdstrike, afirmou que leva um intruso uma hora e 58 minutos para pular da máquina que foi inicialmente comprometida e começar a se mover lateralmente através de sua rede.

Embora você deseje proteger todas as três frentes, a probabilidade de prevenir cada instância de abuso de credencial é fundamentalmente difícil: você deve estar certo todas as vezes e o invasor só precisa estar certo uma vez. A maioria das equipes de segurança tem dificuldade em confirmar, quanto mais responder a compromissos antes que o movimento ocorra.


Observamos e monitoramos a atividade em todas as frentes. Em particular, nossa plataforma está em uma posição única para ver ataques após o comprometimento das credenciais, mas antes do impacto de uma violação. Essa posição oferece visibilidade direta do acesso inicial a aplicativos, sistemas e dados; especialmente quando eles acionam comportamentos anômalos e inesperados que são indicativos de atividades maliciosas. 


Apenas no último mês, o seguinte é uma pequena amostra de comportamentos observados:

  • Comportamentos incomuns durante o login, incluindo localizações geográficas inesperadas e tentativas de força bruta

  • Segundos fatores desencadeados por causa de comportamentos conhecidos de invasores

  • Upload de dados confidenciais, potencialmente uma tentativa de “envenenar o poço” com um documento infectado por malware que é compartilhado ativamente.

  • Download de dados confidenciais, como um indicador inicial de comportamentos de perda de dados e exfiltração.

  • Identificação de arquivos infectados por malware


Para saber como sua organização pode obter total visibilidade e controle sobre a ampla gama de aplicativos que os funcionários usam para realizar suas tarefas de trabalho, entre em contato conosco através do nosso e-mail contato@asg.com.br ou então através do nosso site https://www.asg.com.br




Posts em Destaque
Posts Recentes
Arquivo

VENDAS

(51) 3376-1210

(51) 99340-7861

ONDE ESTAMOS
PORTO ALEGRE -RS

Rua Corcovado, 247

Bairro Auxiliadora

CEP: 90540-100

Tel:. (51) 3376-1210