Três locais para aviso prévio de ransomware e violações que não são a dark web
Para o bem ou para o mal, muitas investigações e previsões de crimes cibernéticos tendem a se concentrar em vários sites e fóruns clandestinos nos cantos profundos e obscuros da Internet. Sempre que um relatório cita senhas, contrabando ou kits de fraude traficados nessas tocas subterrâneas, faz com que fraudadores evasivos e jogadores de extorsão pareçam tangíveis.
As pessoas querem instintivamente se infiltrar nesses espaços para ver se sua própria empresa e seus dados estão à venda. Para profissionais de segurança com falta de tempo, no entanto, os corredores subterrâneos que se multiplicam rapidamente são difíceis de navegar e correlacionar em escala. Alcançar a capacidade de peneirar esses domínios de forma produtiva, sem perder tempo – ou se envolver em complicações legais – não é pouca coisa.
Mas há três fontes adicionais, às vezes esquecidas, de pistas de alerta precoce de ransomware e violações que vi produzir percepções mais diretas e acionáveis em meus anos como líder de resposta a incidentes.
1. Fontes públicas e bons samaritanos
Às vezes, os maiores riscos e pistas estão escondidos à vista de todos, sendo crucial não ignorar lugares menos notórios e pessoas trazendo coisas importantes à luz. Hoje, as forças da mídia social e da sincronização e compartilhamento da nuvem em todos os lugares significam que apresentações de slides confidenciais, números de telefones celulares de nível C e bancos de dados confidenciais podem chegar à Web pública com muita facilidade.
Alguns movimentos de configuração em um smartphone podem ser tudo o que resta entre compartilhar algo com um colega de trabalho ou com qualquer pessoa com um mecanismo de pesquisa. No último Data Breach Investigations Report (DBIR) da Verizon, os erros de “configuração incorreta” e “entrega incorreta” aumentaram drasticamente como fatores de violação, agora perdendo apenas para phishing e roubo de credenciais no quadro de líderes.
Felizmente, a comunidade de segurança está cheia de Bons Samaritanos entrando em contato quando veem dados pessoais ou de clientes em perigo. Mas você está tornando mais fácil para eles encontrá-lo e está preparado para agir com base nessas descobertas? Muitas empresas não têm informações de contato claras e publicamente disponíveis e processos para lidar com problemas de segurança e vulnerabilidades, o que impede os atores de boa fé que tentam fazer um contato seguro e responsável – às vezes até que seja tarde demais. Antecipe-se a quaisquer lacunas aqui, estabelecendo canais dedicados e continuamente monitorados para você coletar e examinar dicas e preocupações de entrada.
2. Ferramentas de segurança implantadas
Paradoxalmente, quanto mais ferramentas de segurança e conformidade uma organização implanta – aparentemente para obter métricas e consciência situacional – mais os operadores podem se sentir cegos e oprimidos pelo crescimento dos dados mais rápido do que eles podem processá-los, decidir e agir. Um forte instinto de “defesa em profundidade” pressupõe que, para cada novo controle introduzido, o alvo visível aos invasores deve estar diminuindo. Mas a maior suposição aqui é que sabemos até “o que” e “onde” estão os alvos, em primeiro lugar. Muitas vezes, as ferramentas de segurança sozinhas fornecem dados de valor líquido diminuído porque são implantadas um passo atrás dos sistemas em nuvem em expansão, dispositivos IoT, funcionários cada vez mais remotos e outras mudanças de negócios que eclipsam o entendimento atual dos defensores sobre os ativos.
Ao mesmo tempo, a fadiga do produto em camadas promove a confiança nas categorias de alerta pré-configuradas das ferramentas de segurança e contextualização arbitrária, sugerindo sutilmente aos administradores com pouco tempo que procurem indicadores de “luz verde” reconfortantes antes de avançarem para o próximo painel. “O quê”, exatamente foi detectado? Mesmo que tenha sido rotulado de gravidade “baixa” ou atividade incômoda, esse rótulo muda com base no que mais está sendo visto na rede? Impulsionar a interoperabilidade entre as ferramentas geralmente troca a profundidade da análise por velocidade, enterrando pistas no processo.
Ataques de ransomware são um ótimo exemplo: uma empresa normalmente liga em resposta a incidentes assim que um invasor detonou sua carga de ransomware e tornou as máquinas infectadas como reféns. No entanto, a confusão de dados e o bloqueio de telas muitas vezes acontecem apenas depois que uma gangue experiente de ransomware ganhou uma posição nas redes por um tempo e primeiro passou um tempo mapeando o tamanho e a composição dos dispositivos para garantir que eles sequestrassem todos os dispositivos visíveis e backup mecanismo.
Essa atividade precursora pode se perder no ruído da hora do rush na rede. Nem todo produto de segurança classificará a indexação anômala e o invólucro de sistemas de TI da mesma forma, mas definir essa atividade como um comportamento crítico para reconhecimento ajuda a evitar os piores cenários, ganhando tempo para fazer backup dos arquivos ou iniciar outras medidas como precaução.
Da mesma forma, ficar de olho em contas privilegiadas é um investimento de alerta precoce inestimável. Primeiro, faça um balanço de quem tem essas contas em sua organização – sejam administradores de TI, líderes C-suite ou sua equipe. Suponha que você tenha muitos usuários privilegiados em primeiro lugar e que alguns possam até ser compartilhados. Confirme se algum pode ser restrito ou excluído com base na rotatividade ou consolidação de funcionários. Em seguida, implemente o registro rigoroso dos padrões de vida dessas contas mais restritas.
Os atacantes contam com os defensores que têm um entendimento incompleto de contas inativas e outras contas vulneráveis frequentemente transformadas em armas antes que alguém saiba que um crime está em andamento. O número de contas privilegiadas está mudando? Quem usa as contas? Seus logins e comportamento correspondem à sua função, fusos horários e rotinas do dia de trabalho? Todas as coisas sendo iguais, anomalias com usuários privilegiados exigem atenção urgente.
3. Intersecções de risco de terceiros
A ascensão e o dinamismo de desenvolvedores, revendedores, proprietários de edifícios inteligentes e outros parceiros de terceiros afetam drasticamente a segurança e a conformidade dentro e fora das paredes de uma empresa. De acordo com recente gerenciamento de risco empresarial Deloitte pesquisa , “segurança da informação” e “risco cibernético” liderou listas dos problemas orçamento para uma maior supervisão de terceiros condução dos inquiridos.
Uma empresa pode integrar código de terceiros em seu site ou aplicativos de negócios – ou seja, quando o código é comprometido, os invasores têm uma via expressa para a rede. O acesso à rede e à nuvem concedido a contratantes remotos pode ser comprometido, dando aos criminosos a camuflagem de dispositivos e nomes de usuário previamente aprovados para entrada.
Identificar os caminhos específicos que os parceiros de negócios têm em seu ambiente produz uma consciência inestimável. Faça um balanço dos parceiros com os quais sua organização depende, concentrando-se naqueles com o maior risco associado (por exemplo, proximidade com dados de joias da coroa ou aplicações diárias que oferecem amplo movimento lateral se comprometido). Confirme as normas e funções para esses serviços e contas de terceiros, para que as ferramentas de registro e monitoramento possam sinalizar desvios imediatamente, o que costuma ser um sinal inicial crucial de que um terceiro pode ser empregado em um ataque.
Além de servir como um posto avançado de alerta prático, o monitoramento de terceiros gera conscientização e influência que os líderes de segurança cibernética podem usar para forçar conversas estratégicas mais amplas nas empresas sobre a tolerância ao risco e a criticidade dessas relações. Além de pesar os aspectos de criticidade e risco desses relacionamentos, aqueles que observam os pontos de contato de terceiros estão bem posicionados para defender os termos de segurança em relacionamentos com parceiros, como exigir que os parceiros cumpram limites como autenticação multifator para contas que tocam seus clientes .
A segurança cibernética é uma luta constante de medida-contra-contra-medida e o desejo de examinar o próximo movimento dos invasores é implacável. Embora malwares exóticos e círculos de crimes infames capturem a atenção e mereçam reconhecimento, essas ameaças ainda devem descobrir e explorar as mesmas vulnerabilidades, rotatividade de negócios e pontos cegos de rede que outros precisam.
Fazer um balanço de algumas fontes de dados subutilizadas e de alto rendimento já existentes em seu ambiente é uma maneira poderosa de manter a perspectiva e visualizar todos os riscos no mesmo plano. Isso ajuda a manter as coisas em perspectiva e a definir decisões eficazes sobre onde e como priorizar recursos finitos e testar a prontidão para resposta a incidentes.
Fonte: https://www.helpnetsecurity.com/2020/08/25/early-warning-of-ransomware-and-breaches/
