Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

As aplicações para a Internet foram o principal vetor de ataque inicial no ano passado

As aplicações para a Internet foram o principal vetor de ataque inicial no ano passado
Share it:

 As aplicações para a Internet foram o principal vetor de ataque inicial no ano passado

De acordo com o recente Relatório da Kaspersky Incident Response Analytics, mais de metade (53,6%) dos ciberataques em 2021 começaram com a exploração da vulnerabilidade. Outros métodos de ataque iniciais comuns incluíam contas comprometidas e e-mails maliciosos.  

Quando os atacantes planeiam as suas campanhas, têm geralmente como objectivo encontrar problemas de segurança facilmente identificáveis, tais como servidores públicos com vulnerabilidades bem conhecidas, palavras-passe fracas ou contas comprometidas. Ano após ano, estes vectores de acesso inicial levaram a um número crescente de incidentes de segurança cibernética de alta severidade.

A análise de dados anónimos de casos de resposta a incidentes tratados pela Kaspersky Global Emergency Response Team (GERT) de todo o mundo prova que a exploração de aplicações voltadas para o público, acessíveis tanto a partir da rede interna como da Internet, se tornou o vector inicial mais amplamente utilizado para penetrar no perímetro de uma organização . A percentagem deste método como vector de ataque inicial aumentou de 31,5% em 2020 para 53,6% em 2021, enquanto a utilização de contas comprometidas e e-mails maliciosos diminuiu de 31,6% para 17,9%, e 23,7% para 14,3%, respectivamente. Esta alteração está provavelmente ligada às vulnerabilidades descobertas nos servidores Microsoft Exchange Servers no ano passado. A ubiquidade deste serviço de correio e a disponibilidade pública de explorações para estas vulnerabilidades resultaram num enorme número de incidentes relacionados

 Entrando no impacto dos ataques, a encriptação de ficheiros, que é um dos tipos de ransomware mais comuns e priva as organizações do acesso aos seus dados, continua a ser o principal problema enfrentado pelas empresas durante três anos consecutivos. Além disso, o número de organizações que encontraram criptores na sua rede aumentou significativamente durante o período observado (de 34% em 2019 para 51,9% em 2021). Outro aspecto alarmante é que em bem mais de metade dos casos (62,5%), os atacantes passam mais de um mês dentro da rede antes de encriptarem os dados.

Os adversários conseguem passar despercebidos dentro de uma infra-estrutura, em grande parte devido às ferramentas do SO, ferramentas ofensivas bem conhecidas e à utilização de quadros comerciais, que estão envolvidos em 40% de todos os incidentes. Após a penetração inicial, os atacantes utilizam ferramentas legítimas para diferentes fins: PowerShell para recolher dados, Mimikatz para aumentar os privilégios, PsExec para executar comandos à distância ou estruturas como Cobalt Strike para todas as fases de ataque.

Para minimizar o impacto de um ataque em caso de emergência, Kaspersky recomenda o seguinte:

Faça cópias de segurança dos seus dados para que ainda possa aceder a ficheiros cruciais no caso de um ataque de ransomware e utilize soluções capazes de bloquear quaisquer tentativas de encriptar os seus dados

Trabalhar com um parceiro de confiança do Incident Response Retainer para resolver incidentes com acordos rápidos de nível de serviço (SLAs) 

Formar continuamente a sua equipa de resposta a incidentes para manter a sua perícia e manter-se a par das mudanças do cenário de ameaças

Compreender os perfis do adversário visando a sua indústria e região para dar prioridade ao desenvolvimento de operações de segurança

Implementar uma solução de Endpoint Detection and Response com um serviço Managed Detection and Response para detectar e reagir prontamente a ataques, entre outras características.

O Relatório completo da Análise da Resposta a Incidentes está disponível na Securelist.

Share it:

info

Post A Comment:

0 comments: