Tag: Cisco segurança

As 5 dimensões da resiliência de segurança

[vc_row][vc_column][vc_column_text]Nas notícias da última semana o mundo ficou espantado ao descobrir que os principais membros de uma organização de crimes cibernéticos eram adolescentes, que foram apreendidos em Londres pela polícia local para prestar esclarecimentos sobre o possível envolvimento em ataques a grandes organizações.

O grupo de ameaças cibernéticas conhecido como LAPSUS$ foi descoberto pela primeira vez em meados de 2021, com alguns clientes de telefones celulares do Reino Unido relatando receber mensagens de texto ameaçadoras. Em dezembro de 2021, o grupo teve como alvo vítimas de alto perfil, como o Ministério da Saúde do Brasil e o conglomerado de mídia português Impresa.

Invasores se tornaram incrivelmente habilidosos em encontrar lacunas em nossa infraestrutura. As barreiras de proteção entre as empresas tornaram-se difusas à medida que corporações, clientes, fornecedores e parceiros operam como ecossistemas integrados – e à medida que avançamos em direção ao futuro do trabalho, onde os funcionários têm a liberdade de realizar seus trabalhos de onde quiserem. Mas se enganam os que acreditam que todos os ataques divulgados possuem um alto nível de complexidade.

 

Em 2021, grupos de invasores encadearam quatro vulnerabilidades, todas posteriormente classificadas como “altas”, para explorar com sucesso brechas em servidores Microsoft Exchange. Essa metodologia, conhecida como chaining, usa pequenas vulnerabilidades para primeiro ganhar uma posição (foothold) e, em seguida, explora vulnerabilidades adicionais para aumentar os privilégios de forma incremental. Além disso, muitas vulnerabilidades classificadas como “críticas” são altamente complexas e não há registro de que tenham sido exploradas no mundo real – na verdade, apenas 4% do número total de CVEs foram explorados publicamente. Mas os adversários são extremamente rápidos em explorar suas vulnerabilidades de escolha: desses 4% de CVEs explorados conhecidos, 42% estão sendo usados ​​no dia zero da divulgação; 50% em 2 dias; e 75% em 28 dias. Enquanto isso, o CVSS classifica alguns deles como gravidade “média” ou até “baixa”.

Seguindo a mesma linha de raciocínio, será que as organizações respondem na mesma velocidade com uma política de patches/atualizações de forma proativa?

Entre os bugs de dia zero está o CVE-2021-42292, um problema de desvio de recurso de segurança com o Microsoft Excel nas versões 2013-2021, que pode permitir que invasores instalem código malicioso apenas convencendo alguém a abrir um arquivo do Excel. Não estou dizendo que não precisamos nos preocupar com vulnerabilidades críticas, mas ataques em evidência como os de adversários iguais ao LAPSUS$ nos mostram que estamos falhando no básico.

Um recente aviso de segurança cibernética do FBI e da Agência de Segurança Cibernética e Infraestrutura (CISA) alerta que os cibercriminosos patrocinados pelo estado russo estão obtendo acesso à rede explorando os protocolos de autenticação multifatorial padrão (MFA) e a vulnerabilidade PrintNightmare. A chave para a técnica usada era simplesmente adivinhar a senha. Para agravar a situação, a configuração padrão do sistema de MFA em questão, assim como a maioria das soluções de mercado, permitia o registro de um novo dispositivo para contas inativas. O ataque bem-sucedido não foi um problema de tecnologia, foi um problema processual com relação à adoção da tecnologia e a falta de boas práticas de implementação.

Prevenção em cibersegurança é primordial, mas com a dispersão de pessoas, dispositivos e dados, aliado a complexidade de gestão sob as óticas de visibilidade e controle desse perímetro estendido, sabemos que eventualmente algum ataque será bem-sucedido, e acreditar que iremos prevenir todas as ameaças não é realista. Resiliência de segurança é a habilidade de proteger a integridade de cada aspecto dos negócios a fim de resistir a ameaças ou mudanças imprevisíveis. Isso sempre foi um requisito em segurança cibernética, mas eventos recentes o tornaram mais crítico do que nunca.

O que importa agora, e que será a diferença entre os negócios que continuarão operando e os que podem eventualmente deixar de existir, é a rapidez com que podemos identificar e conter ameaças, mitigar os riscos para nossa organização e nos recuperar em caso de impacto. Então, como nos tornamos resilientes? Como podemos garantir que os planos dos invasores sejam frustrados rapidamente e que nossos negócios continuem a prosperar apesar dos desafios? Como garantimos a integridade de nossas finanças e dados, nos recuperamos de interrupções operacionais, resistimos a choques nas cadeias de suprimentos e garantimos uma força de trabalho hiperdistribuída?

Os 5 passos para a resiliência de segurança:

A Cisco capacita as organizações com resiliência de segurança para que possam suportar circunstâncias imprevisíveis. Para fazer isso, dividimos a resiliência de segurança em cinco componentes principais:

1) Veja mais e ative bilhões de sinais em sua infraestrutura: use a infraestrutura de tecnologia existente como os olhos e ouvidos de sua rede, buscando ativamente comportamentos incomuns e ameaças cibernéticas 24×7. Alcançar visibilidade e conscientização abrangentes significa menos surpresas e defesas mais fortes.

2) Antecipe tendências e adote a inteligência compartilhada e acionável: quando você está ciente do que está acontecendo em sua rede baseado em informações de telemetrias locais e globais, você pode prever com mais facilidade o que vem a seguir. Aproveite a visibilidade detalhada e a inteligência avançada contra ameaças de organizações como a Cisco Talos, para acompanhar os eventos cibernéticos atuais.

3) Tome as medidas certas e priorize o que é mais importante: o contexto baseado em risco fornecido pelo seu ecossistema de segurança e inteligência de ameaças atualizadas podem ajudá-lo a descobrir onde colocar sua valiosa atenção. Sempre haverá muitas ameaças para investigar e remediar de uma só vez – entenda quais delas você corre mais risco e quais terão o maior impacto em sua organização e, em seguida, proteja-se adequadamente.

4) Feche as lacunas e obtenha uma defesa abrangente com uma plataforma aberta entre usuários, dispositivos, redes e aplicativos. Nosso estudo “Security Outcomes Study vol. 2”, descobriu que a tecnologia bem integrada é um fator importante para o sucesso da segurança. Sistemas desarticulados deixam brechas de segurança perigosas. Mas se você conectar tudo, poderá monitorar e proteger consistentemente todos os ativos em seu ambiente, e os sistemas esquecidos não se tornarão recursos importantes para os cibercriminosos.

5) Fique mais forte a cada dia orquestrando e automatizando sua resposta. No presente, aprenda com o passado para se preparar para o futuro. Experiências anteriores de sua equipe de segurança e de outras pessoas pode fortalecer ainda mais sua arquitetura contra ameaças em constante evolução. De acordo com o Security Outcomes Study, vol. 2, as organizações que testam regularmente seus recursos de continuidade de negócios e recuperação de desastres de várias maneiras têm 2,5 vezes mais chances de manter a resiliência.

Como a Cisco pode ajudar?

A Cisco permite que os clientes se destaquem nessas cinco dimensões de resiliência de segurança por meio de:

1) Uma plataforma aberta e integrada – Com nossa plataforma nativa da nuvem, Cisco SecureX, permitimos que os clientes integrem perfeitamente várias tecnologias de segurança e rede, da Cisco e de terceiros, para obter visibilidade mais abrangente e resposta coordenada a ameaças. Com o SecureX, você pode ver mais, bloquear mais e automatizar mais para uma proteção de rede aprimorada, ao mesmo tempo em que amplia o poder dos investimentos em segurança existentes.

2) Inteligência de ameaças insuperável – Cisco Talos é a maior organização de inteligência de ameaças comerciais do mundo. A análise de ameaças da Talos está integrada em todo o nosso portfólio de segurança e também é compartilhada com um público mais amplo para a proteção coletiva de nossa infraestrutura global.

3) Uma longa história de conectividade segura – Como líder mundial em redes, estamos posicionados de forma única para fornecer conectividade com segurança. Nossa infraestrutura de rede e a inteligência de ameaças subsequente são prolíficas em todo o mundo. E nossa herança de quase 40 anos de ser um consultor confiável para nossos clientes significa que você nunca terá que fazer tudo sozinho.

À medida que entramos em outro ano tumultuado, a resiliência deve ser uma prioridade para todos os defensores da segurança cibernética. Com o Cisco Secure, os líderes de negócios podem agir com confiança, apesar de um cenário de ameaças em constante mudança.

Explore o Cisco SecureX e nosso portfólio de segurança integrado para saber como você pode adicionar camadas de resiliência cibernética ao seu ambiente. Comece seus treinamentos conosco, verifique todos os cursos em nosso site. Clique aqui.[/vc_column_text][us_separator size=”small” show_line=”1″][vc_column_text]Por: Flavio Costa – Cisco[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , ,

Criptomoedas e o impacto na cibersegurança

[vc_row][vc_column][vc_column_text]A ideia de criptografar arquivos e pedir resgate não é nada novo, há evidências desde 1989 (AIDS trojan), embora o método de propagação offline, por assim dizer, via disquete e pagamento através de uma caixa-postal não fossem escaláveis e eram facilmente interceptados ou rastreados, além de contar com um payload relativamente simples que utilizava criptografia simétrica. Explorar a confiança dos usuários para executar um arquivo malicioso era algo novo, e pouquíssimas pessoas tinham o conhecimento necessário sobre segurança, mas o que realmente faltava era um método de pagamento online, eficiente, anônimo e escalável.

A popularização do Bitcoin em 2010 foi o início da mudança total do panorama de ciberameaças. Essa é uma verdade dura de ouvir: as criptomoedas foram o estopim para o avanço dos crimes eletrônicos, especialmente o ransomware. Não é a primeira vez que a tecnologia motiva o crime e isso é uma tendência, porque apesar das boas intenções, da mesma forma que a internet nasceu para resolver um problema de comunicação e compartilhamento de informações e foi posteriormente utilizada de todas as formas ilícitas imagináveis, o mesmo aconteceu com as criptomoedas, que criaram oportunidades para a economia, negócios e também atividades criminosas.

Os últimos 10 anos foram essenciais para o amadurecimento dessa ideia, porque apesar de o Bitcoin ter facilitado o pagamento do resgate do ponto de vista dos cibercriminosos, não eram todas as vítimas que sabiam sequer o que eram criptomedas, quem dirá adquirir e transacionar esses ativos. Mas veja o lado bom, apesar de pouco provável, se você foi vítima de ransomware em 2010 e decidiu por efetuar o pagamento, pode ter valido muito a pena ter sido atacado se sobrou algum troco dessa transação, pensando que apenas um Bitcoin atualmente vale cerca de R$390mil, mas não se preocupe, os grupos de ransomware colocam instruções completas de pagamento para que não haja dúvidas.

Contudo, dispor de uma equipe de call center, (isso mesmo, alguns grupos disponibilizam chats virtuais para instruções completas de pagamento), demanda tempo, energia e dinheiro. E mais uma vez pudemos assistir de camarote uma transição de esforços, ao invés de ataques sem foco e para o maior número de usuários possível, os ataques começaram a se tornar direcionados a empresas, para fazer valer o investimento inicial, utilizando táticas, técnicas e procedimentos sofisticados (TTPs) em invasões human-driven, para comprometimento inicial, movimentação lateral e instalação do ransomware.

“Human-Driven Attacks Rose 77% During First Half of 2021”, by Himanshu Bari, Sep 21, 2021.

Os atores maliciosos geralmente visam organizações que são particularmente sensíveis ao tempo de inatividade, pois isso aumenta a motivação para pagar o resgate. Como resultado, os setores mais visados por esses cibercriminosos incluem especialmente organizações do setor público, instituições acadêmicas, o setor de tecnologia, saúde, manufatura e serviços financeiros.

“Hackers are targeting bigger organizations in an attempt to steal high-value assets or data.” Fonte: ITProPortal

Dos incidentes de segurança em grandes empresas que tive oportunidade de participar, sabe o que todas têm em comum? Além da falta de segmentação interna para evitar um maior escopo de comprometimento, a desconexão entre as equipes de segurança e a liderança está deixando as organizações ainda mais vulneráveis a ataques cibernéticos. Todos os funcionários precisam ser treinados e obter pelo menos uma compreensão básica das ameaças que podem enfrentar e como reconhecê-las. À medida que a segurança cibernética se torna um problema crescente para as organizações, é preciso reconhecer que segurança é uma responsabilidade compartilhada, e não apenas de equipes específicas.

Até 2015 já tínhamos amostras de ao menos 4 milhões de ransomwares. Em 2017 tivemos o maior ataque da história com o WannaCry, e o grupo de inteligência Cisco Talos foi fundamental para fornecer a visibilidade e a inteligência acionável necessárias para entender e interromper esse ataque, e é exatamente isso que precisamos, de uma estratégia de Cyber Threat Intelligence (CTI). No ano passado tivemos ataques expressivos tão complexos quanto supply chain, como o da SolarWinds, por exemplo, e empresas que pagaram milhões em resgate de ransomware. Esse ano estamos vendo uma mobilização ainda maior da indústria de cibersegurança para tentar amenizar os danos do cibercrime e colocar atrás das grades os grupos responsáveis por esses crimes virtuais.[/vc_column_text][us_separator size=”small” show_line=”1″][vc_column_text]Autor: Flavio Costa – Cisco BR[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , , , ,

Processo fantasma – ataque de adulteração de imagem executável

[vc_row][vc_column][vc_column_text]Como membro de uma equipe de segurança, qual a primeira solução que vem a cabeça quando o assunto é proteção contra executáveis maliciosos? Se você atua nessa área a tanto tempo quanto eu, muito provavelmente a sua resposta é antivírus. Se você está mais atualizado e quer ser um pouco menos generalista com relação a definições e terminologias, a resposta provavelmente seria anti-malware, afinal de contas, não é somente vírus que desejamos detectar, existem vários outros tipos de malware.

Para falar sobre esses outros tipos, vamos estabelecer uma linha de base de raciocínio e falar sobre sistemas Microsoft: o fabricante disponibiliza para fornecedores de soluções de segurança a habilidade de registrar chamadas a partir da criação de processos no sistema. Desenvolvedores de drivers podem chamar APIs como PsSetCreateProcessNotifyRoutineEx, uma rotina que registra ou remove a chamada que notifica quando um processo é criado ou já existe, para receber informações sobre esse tipo de evento. No entanto, há uma particularidade na chamada dessa rotina em específico, ela não é feita a partir da criação do processo, mas a partir da criação das primeiras threads do processo. Isso cria uma lacuna entre a criação do processo e a notificação dessa ação para a solução de segurança (o antivírus, por exemplo). Essa lacuna é utilizada por atores maliciosos que adulteram o executável de apoio antes da verificação/scan da sua solução de anti-malware.

Um exemplo de ataque que abusa deste comportamento para evasão de verificação de sistemas de segurança é o “Process Herpaderping“. Com essa técnica, um invasor pode gravar um malware no disco de forma que seja difícil verificá-lo ou excluí-lo, onde ele executa o malware excluído como se fosse um arquivo normal no disco. Essa técnica não envolve injeção de código, esvaziamento de processo ou NTFS transacional (TxF).

Veja uma demonstração.[/vc_column_text][us_separator size=”small” show_line=”1″][vc_column_text]Autor: Flavio Costa Cisco
[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , , , , ,

Por que organizações deveriam considerar uma abordagem de cibersegurança integrada

[vc_row][vc_column][vc_column_text]O avanço acelerado da transformação digital e o crescimento ainda mais acentuado das ameaças virtuais levaram as organizações do mundo todo a uma corrida rumo às soluções de segurança cibernética. Muitas vezes, no entanto, esta indústria cria uma solução para cada desafio identificado, o que estimula a construção de uma Babel da segurança cibernética, pois as ferramentas não se integram e, consequentemente, isso cria obstáculos para a troca de informações e a garantia efetiva da segurança.

Estas soluções pontuais, as ameaças em maior número e mais sofisticadas e a escassez de profissionais qualificados juntas resultam na tempestade perfeita para o crime cibernético. Em um relatório recente da ESG (Enterprise Strategy Group, Inc.), 76% das empresas afirmaram que a detecção e a resposta a ameaças são mais difíceis hoje do que há dois anos, um desafio crescente que é impulsionado por mudanças externas e internas, conforme avalia a consultoria.

Externamente, os profissionais de segurança precisam lidar com um cenário de ameaças dinâmicas e sofisticadas enquanto monitoram e mantêm a segurança em uma superfície de ataque crescente (nuvem, IoT, celular, SaaS etc.) impulsionada por novas iniciativas de TI, como a transformação digital. Internamente, muitos CISOs enfrentam os desafios da segurança cibernética com processos informais manuais, uma equipe de segurança cibernética com poucos funcionários e um exército de ferramentas pontuais diferentes e de diversos fornecedores.

No estudo da ESG, 31% das empresas afirmaram usar mais de 50 produtos de segurança diferentes, enquanto 60% usam mais de 25. A consultoria avalia que isto não só leva ao aumento dos desafios como amplia o custo e a complexidade dos ambientes, conforme informam 40% dos profissionais de segurança ouvidos por ela. E não se pode esquecer que a falta global de habilidades em segurança cibernética afeta 75% das operações de segurança.

Outro ponto levantado pelo estudo é a dificuldade de obter um retrato sem distorções do status do ambiente de segurança cibernética de uma organização, o que é considerado um problema grave para 35% dos entrevistados.

Pensando em uma solução para este cenário caótico, 54% dos profissionais ouvidos pela ESG disseram que seria fundamental a integração entre os produtos de segurança, enquanto 33% afirmaram ser importante que ao menos os melhores produtos se integrem a outras tecnologias.

Claramente, os CISOs querem a interoperabilidade das tecnologias e não vão medir esforços, mesmo que a resposta não venha do mercado. A pesquisa da ESG indica que 35% das empresas já estão consolidando ativamente o número de fornecedores de segurança cibernética com os quais fazem negócios em grande escala e 38% vêm reduzindo o número de fornecedores com os quais negociam de forma limitada.

A pesquisa indica que os profissionais de segurança cibernética têm expectativas claras sobre o valor de compra de mais tecnologias de segurança de um número reduzido de fornecedores. Para 58%, esta prática aumenta a eficácia de prevenção/detecção de ameaças, 51% dizem que buscam obter eficiências operacionais e 46% afirmam que esperam um período mais curto para a resolução de problemas ao contar com um único contato de suporte.

Considerando a consolidação das plataformas de segurança cibernética como um caminho irreversível, o estudo também identificou os atributos de maior relevância para aqueles fornecedores que entregam soluções de nível empresarial, ou seja, ferramentas mais completas e preparadas para barrar um leque mais amplo de ameaças.

Entre os atributos mais citados estão:

  • Experiência em segurança cibernética do setor;
  • Inteligência e pesquisa de ameaças de nível internacional;
  • Amplo portfólio de produtos de segurança cibernética;
  • Histórico comprovado de controle de execução.

Do ponto de vista da plataforma, os cinco principais atributos são:

  • Cobertura de segurança nos principais vetores de ameaças e pontos de acesso;
  • Dados analíticos;
  • Integração de inteligência de ameaças;
  • Ampla cobertura;
  • Prevenção, detecção e resposta.

A ESG afirma que a transição de um produto pontual para plataformas de segurança cibernética não é uma visão distante; ao contrário, ela já está em andamento. Por exemplo, 38% das empresas já compraram vários produtos de um único fornecedor em vez de optar pelos melhores produtos de vários fornecedores, 34% usaram software de código aberto como uma camada de integração entre produtos independentes e 34% incentivaram vários fornecedores de produtos de tecnologia de segurança cibernética a trabalhar juntos na integração de soluções.[/vc_column_text][us_separator size=”small” show_line=”1″][vc_column_text]Artigo por Ghassan DreibiCisco Brasil
[/vc_column_text][/vc_column][/vc_row]

Tags:, , , , , , , , , , , ,