Estudo da Sophos revela, também, que 69% dos ataques utilizaram Remote Desktop Protocol para movimentação lateral dentro da rede
A Sophos lançou o “Active Adversary Playbook 2021”, que detalha os comportamentos dos atacantes e as ferramentas, técnicas e procedimentos (TTP, na sua sigla em inglês) que os threat hunters e especialistas de resposta a incidentes da Sophos viram em ação em 2020. Os dados de deteção de TTP também são relativos ao início de 2021. Os resultados demonstram que o tempo de permanência médio dos atacantes antes da deteção foi de 11 dias – ou 264 horas – sendo que a intrusão sem deteção mais longa durou 15 meses. O ransomware foi utilizado em 81% dos incidentes e outros 69% utilizaram também o Remote Desktop Protocol (RDP) para movimentação lateral dentro da rede. Este playbook baseia-se em telemetria da Sophos, bem como em 81 investigações de incidentes e contribuições das equipas da Sophos de Managed Threat Response (MTR), composta por threat hunters e analistas, e de Rapid Response, da qual fazem parte especialistas de resposta a incidentes. O seu objetivo é ajudar as equipas de segurança a compreender o que os criminosos fazem durante os ataques e como podem detetar e defender-se de atividade maliciosa na sua rede. As principais conclusões do playbook incluem:
“O panorama de ameaças está a tornar-se mais concorrido e complexo, com ataques implementados por adversários que possuem uma ampla variedade de capacidades e recursos, desde amadores com scripts até grupos apoiados por nações adversárias. Isto pode tornar a vida muito complicada para quem tenta defender-se”, afirmou John Shier, Senior Security Advisor da Sophos. “Ao longo do último ano, os nossos especialistas de resposta a incidentes ajudaram a neutralizar ataques levados a cabo por mais de 37 grupos de atacantes, que entre si utilizaram mais de 400 ferramentas diferentes. Muitas destas ferramentas são também utilizadas pelos gestores de TI e profissionais de segurança nas suas tarefas quotidianas, pelo que nem sempre é fácil detetar as diferenças entre a atividade benigna e maligna. Com os adversários a despender uma média de 11 dias na rede, implementando os seus ataques enquanto se ambientam com a atividade de TI de rotina, é crítico que as equipas de defesa compreendam os sinais de alerta a que devem prestar atenção e que devem investigar. Um dos alertas mais importantes, por exemplo, é quando uma ferramenta ou atividade legítimas são detetadas num local inesperado. Acima de tudo, as equipas de defesa devem lembrar-se de que a tecnologia pode fazer muitas coisas, mas, no atual panorama de ameaças, pode não ser suficiente por si só. A experiência e a capacidade de resposta humanas são uma parte vital de qualquer solução de segurança”. |