Assistimos horrorizados aos ataques da vida real, onde empresas tentam simplesmente se defender de cibercriminosos que atacam suas redes em tempo real, mitigando os prejuízos e procurando por backups na tentativa de evitar o custo devastador de pagamentos de resgate.
É uma defesa semelhante a investir em bons dispositivos de demolição caso sua casa pegue fogo, para que você possa limpar os escombros rapidamente e reconstruir. No entanto, como qualquer especialista em segurança contra incêndios afirmaria, é muito menos dispendioso e demorado prevenir incêndios desde o início.
Da mesma forma, na cibersegurança, a prevenção não é apenas preferível, mas essencial. Aqui estão algumas táticas de ataque, com base nas tendências que estamos observando diariamente com nossos clientes, e alguns métodos preventivos que podem mitigar o ataque antes que ele atinja sua rede.
Defesa do Remote Desktop Protocol (RDP)
Ataques ao RDP, se bem-sucedidos, permitem que os cibercriminosos obtenham privilégios de administrador e desativem suas defesas cibernéticas. É como dar a um invasor uma chave-mestra para sua casa e depois tentar mantê-los afastados de suas joias preciosas. Empresas de segurança são frequentemente culpadas por não detectarem esses ataques complexos, mas é difícil superar o equivalente digital de deixar a porta da frente aberta. Adicionar camadas defensivas como autenticação multifator (MFA) pode ajudar a frustrar ataques ao RDP, como brute force e explorações de código remoto (RCE). Além disso, a Detecção e Resposta de Endpoint (EDR) e a Detecção e Resposta Gerenciada (MDR) podem ajudar a impedir invasores caso consigam ultrapassar o RDP, parando o movimento lateral e tentativas de criptografia para ransomware. Isso também se aplica aos Remote Desktop Services (RDS), onde os cibercriminosos exploram capacidades muito além do que o RDS deveria estar fazendo.
Visibilidade Corporativa
Os atacantes precisam ter sucesso apenas uma vez, enquanto os defensores precisam ser bem-sucedidos em todas as tentativas. Cibercriminosos que obtêm persistência em um nó da rede podem começar a mapear e planejar ataques. Tentativas de acesso à rede vistas apenas a partir do endpoint podem perder a imagem completa de um ataque coordenado. Firewalls de rede principais desempenham um papel crucial aqui, especialmente se possuírem IDS/IPS integrados, com a capacidade de adicionar regras YARA para se defender contra ataques emergentes. Empresas de segurança, como a ESET, frequentemente lançam regras YARA e várias ferramentas gratuitas para ajudar na defesa contra ataques baseados em rede, sejam eles originados de dentro ou de fora da organização.
Autenticação Multifator (MFA)
À medida que a maioria dos serviços migra para a nuvem, um único exploit contra um provedor de nuvem pode permitir que os atacantes causem estragos em múltiplos alvos, incluindo sua organização. Senhas de usuários, uma vez comprometidas, são continuamente adicionadas a conjuntos de dados disponíveis gratuitamente para tentativas automatizadas de brute force. MFA pode parar, ou pelo menos mitigar, ataques de brute force, especialmente os de Comprometimento de Email Empresarial (BEC), que são uma preocupação contínua. Adicionar MFA aos logins dos usuários pode limitar significativamente sua exposição.
Embora os ataques de nível à países sejam manchetes de jornais, são os ataques mais simples que são muito mais prováveis. Não comece procurando por vulnerabilidades complexas exploradas por equipes dedicadas de adversários cibernéticos direcionadas à sua organização. Essas ameaças geralmente são menos agudas, a menos que você esteja protegendo pagamentos potenciais de bilhões de dólares pelo roubo de segredos corporativos ou militares. Provavelmente não é o seu caso.
Mas essas táticas defensivas funcionam, estão prontamente disponíveis e são práticas de implementar, e você será muito menos propenso a simplesmente ficar assistindo ao prédio queimar enquanto captura um ótimo vídeo para compartilhar.