Por que se concentrar na proteção, em vez de confiar na detecção
O cenário de ameaças está em constante evolução, mas acho que a maior mudança é a forma como o cibercrime moderno se transformou para se tornar uma indústria mercantilizada profissional que vale mais de US $ 680 bilhões. Os cibercriminosos são bem financiados e têm acesso a uma sofisticada cadeia de suprimentos que lhes permite inovar rapidamente, criando novas ameaças, como malware polimórfico e até mesmo exploits de dia zero, com o objetivo de evitar a detecção e comprometer sistemas de TI de alto valor.
Somado a isso, a dark web está tornando mais fácil do que nunca obter as habilidades e ferramentas de que os hackers precisam para disseminar malware e lançar campanhas, com muito pouco risco de exposição – ela também fornece um mercado para negociar e vender acesso e dados. Por exemplo, nosso último relatório de ameaças mostrou que as campanhas recentes da Emotet aumentaram em mais de 1.200% de julho a setembro em comparação com o trimestre anterior. As infecções por Emotet costumam ser um precursor de ataques de ransomware operados por humanos. Atores de ameaças foram observados usando o acesso a sistemas comprometidos para realizar o reconhecimento das redes das vítimas antes de implantar famílias de ransomware como o Ryuk.
Outra grande área de inovação está nas iscas implantadas para induzir os usuários a realizar ações que estão tornando as campanhas de phishing muito mais eficazes. Por exemplo, o ‘sequestro de thread’ está cada vez mais sendo empregado, em que clientes de email em máquinas comprometidas são usados para responder a conversas com mensagens contendo malware e podem parecer muito convincentes. Também estamos vendo alguns usando avisos relacionados ao COVID-19 para chamar a atenção dos usuários e brincar com os medos das pessoas. Nosso último relatório de ameaças descobriu que 5% dos e-mails de phishing da Emotet que puderam ser identificados envolviam o uso de uma isca relacionada ao COVID-19, como um relatório falso.
Qual é o problema com uma abordagem de detecção primeiro?
Existem alguns problemas – em primeiro lugar, o fato inevitável de que prever o futuro é difícil. Se 2020 nos ensinou alguma coisa, é que o mundo é imprevisível. Isso é especialmente verdadeiro na segurança cibernética, onde o cenário de ameaças está em constante evolução. As ferramentas de segurança da Internet dependem da detecção, tentando identificar o código que já é conhecido como malicioso com base em indicadores de comprometimento (IoCs) conhecidos. Tudo o que um hacker precisa fazer é ajustar seu código para que pareça novo para escapar da detecção. Eles podem fazer isso de forma automatizada, com geração de máquina para criar variantes de seu malware, que são então testadas automaticamente em relação a todos os produtos de segurança que esperam encontrar, repetindo até serem ‘aprovados’. Eles podem então distribuir esse malware com a expectativa de que ele comprometa com sucesso as vítimas que o recebem. Os fornecedores de segurança acabarão por descobrir e começar a bloquear o ataque, mas os invasores podem simplesmente repetir o ciclo.
Os hackers também estão ficando melhores em disfarçar malware em códigos e documentos legítimos, para que possam passar por scanners. O malware frequentemente evita a detecção em caixas de proteção de rede que usam análise comportamental, detectando a presença da caixa de proteção ou exigindo interação humana (como um clique do mouse ou movimento do cursor) para detonar. Outros usam a comunicação com um servidor da web para controlar o tempo de detonação. Existem muitas técnicas muito eficazes que os hackers usam para evitar a detecção.
As abordagens baseadas em detecção também sofrem de falsos positivos, um problema agravado pelos fornecedores que aumentam os limites de sensibilidade em um esforço para evitar menos falsos negativos. Como resultado, as equipes do centro de operações de segurança (SOC) são colocadas sob pressão ainda maior, algumas recebendo mais de 10.000 alertas por dia que precisam peneirar para ‘garimpar o ouro’. Isso pode resultar na perda de ameaças reais aos negócios.
Não importa o quão bom seja o produto de detecção que você usa, ele não consegue detectar tudo; é inevitável que, mais cedo ou mais tarde, um usuário clique em algo que resulte no comprometimento de um endpoint. A questão então é se o invasor pode permanecer oculto e se pode aproveitar o endpoint comprometido e os dados e credenciais nele contidos para se mover pela rede. A detecção de tal atividade novamente depende da detecção e, neste ponto, as ferramentas de segurança no endpoint provavelmente estão desativadas ou danificadas. Você pode ter sorte e conseguir parar o ataque antes que o dano seja feito, mas você foi violado e não saberá com certeza o que aconteceu e se conseguiu expulsar os atacantes. Confiar na detecção resultará em um resultado insatisfatório mais cedo ou mais tarde, portanto, é necessária uma abordagem de segurança mais robusta em termos de arquitetura.
A educação do usuário está funcionando?
Os cibercriminosos sabem que os funcionários e seus dispositivos são o ponto fraco da segurança de TI. No ano passado, 68 por cento dos profissionais de segurança de TI afirmaram que sua empresa experimentou um ou mais ataques de endpoint que comprometeram ativos de dados ou infraestrutura de TI, e 94 por cento do malware foi entregue por e-mail. A educação do usuário ajuda, mas nunca será 100% eficaz. As pessoas estão ocupadas e distraídas, e os invasores fazem uso eficaz da engenharia social. Agora é comum ver e-mails de phishing empregando técnicas de geração de máquina para adaptá-los a organizações ou indivíduos. Conforme mencionado anteriormente, os hackers também usarão táticas como o sequestro de threads para melhorar suas chances. Freqüentemente, os usuários nem sabem que foram comprometidos, deixando grandes lacunas na segurança organizacional.
Além do mais, alguns usuários precisam se envolver em comportamentos ‘arriscados’ para realizar seus trabalhos. Por exemplo, departamentos de RH precisam abrir anexos não solicitados para ler currículos enviados, finanças precisam abrir faturas de fornecedores e equipes digitais precisam de acesso a canais de mídia social; é essencial para o seu trabalho. Em última análise, os usuários não devem arcar com o peso da segurança; eles devem ser protegidos e capazes de cometer erros.
Como a abordagem à segurança deve mudar?
A inovação incremental em segurança está falhando em interromper os agentes de ameaça, portanto, é necessária uma nova abordagem de segurança que crie proteção a partir do hardware. As tecnologias impostas por hardware, como a micro-virtualização, podem ajudar a proteger os usuários e deixar os agentes mal-intencionados sem nenhum lugar para ir e nada para roubar, ao mesmo tempo em que coletam informações sobre ameaças para informar os negócios.
Com micro-VMs (máquinas virtuais) impostas por hardware, tarefas arriscadas como abrir anexos de e-mail, clicar em links ou abrir o download de arquivos são executadas em um ambiente virtual isolado. Essa ‘gaiola’ virtual roda em seu próprio hardware virtualizado, o que significa que não pode acessar mais nada no sistema. Isso garante que o malware não infecte o PC host, acesse outros arquivos ou se espalhe pela rede corporativa. O isolamento por meio da virtualização reduz drasticamente a superfície de ataque protegendo arquitetonicamente os principais vetores de ataque – por exemplo, navegadores, downloads, e-mail, bate-papo, USB e muito mais.
Do ponto de vista do usuário, é business as usual, a tecnologia é transparente. Eles podem clicar em links em e-mails, visitar páginas da web, baixar arquivos e abrir documentos como fariam normalmente, mas com a vantagem adicional de saber que, mesmo que seja malicioso, o malware se tornará inofensivo, dando aos usuários a capacidade de clicar com confiança. Essa abordagem não depende de detecção, ela não tenta impedir a ocorrência de ataques. Em vez disso, ele permite que os ataques ocorram, mas em um ambiente seguro e isolado, sem nada para roubar e nenhuma maneira de o malware persistir. As equipes SOC obtêm inteligência de alta fidelidade sobre ameaças reais, embora nenhuma correção seja necessária.
Qual é o valor da inteligência sobre ameaças?
A micro-virtualização também tem algumas vantagens exclusivas ao coletar inteligência sobre ameaças, que podem ser usadas para equipar o SOC com conhecimento detalhado de como estão sendo atacados. O isolamento por meio de micro-virtualização significa que você não precisa interromper o ataque assim que uma anomalia for detectada. O sistema pode capturar toda a cadeia de destruição do ataque que ocorre na VM sabendo que nenhum dano pode ocorrer.
O malware frequentemente tenta escapar da detecção em caixas de proteção de rede que usam análise comportamental, detectando a presença da caixa de proteção ou exigindo interação humana. Usando a micro-virtualização, o malware sempre será executado em uma VM isolada, então sempre haverá um usuário presente para interagir com o malware e disparar a detonação. Isso pode forçar os hackers a fazerem o malware mostrar seu verdadeiro propósito – por exemplo: comunicação com um servidor de comando e controle, gravação de uma carga útil de segundo estágio sendo baixada e executada, observando como o malware tenta persistir e quais ações e modificações que ele tenta fazer no sistema de arquivos e no registro.
Outra vantagem é que cada VM é criada para executar um determinado aplicativo. É um ambiente sem ruído, no qual o comportamento esperado do aplicativo é bem compreendido e comparado em tempo real ao comportamento real. Desvios são indicativos de que algo interessante está acontecendo e o rastreamento pode ser transmitido ao SOC para análise automatizada adicional. Pode ser um bug inocente no aplicativo, mas também pode ser um novo exploit de dia zero em uso na selva. Compare isso com a dificuldade de fazer a detecção de anomalias no sistema operacional host. Aqui, muitos aplicativos estarão em execução, talvez com usuários executando shells de comando, atualizações do Windows e outros instaladores de software em execução e o objeto de política de grupo do Active Directory fazendo alterações no registro – é muito difícil detectar anomalias em um ambiente tão complexo.
A micro-virtualização usa introspecção para monitorar a VM olhando de fora para dentro, capturando um registro de vôo em caixa preta da execução do malware ocorrendo lá dentro. Isso é altamente benéfico, uma vez que o monitoramento não pode ser desabilitado ou adulterado por malware em execução na VM. Isso permite que as organizações mobilizem seu exército de endpoints e capturem inteligência de ameaças única que pode ser compartilhada com outras ferramentas de segurança para ajudar a fortalecer sua postura geral de segurança – por exemplo, as equipes SOC podem identificar indicadores-chave de comprometimento (IOCs) que podem então ser usados para atualizar outras ferramentas baseadas em detecção.
- Ian Pratt, chefe global de segurança para sistemas pessoais da HP Inc.