Hackers levam 16h, em média, para invadir uma empresa. Entenda formas de ataque e medidas de proteção
Cibercriminosos utilizam ferramentas, como o Active Directory, para penetrar ambientes corporativos, driblar barreiras e acessar sistemas e informações. Entenda as medidas e ferramentas fundamentais para prevenção de ataques.
Com atuação 24x7x365, os hackers estão driblando os sistemas corporativos e reduzindo o tempo de ataque às empresas, de acordo com o Active Adversary Report, relatório produzido pelo time da Sophos X-Ops.
O estudo realizado entre janeiro e julho de 2023, analisou companhias de 25 setores em 33 países e apresenta insights importantes para os líderes empresariais, como o uso dos servidores de Active Directory sendo as principais ferramentas dos hackers.
Diante dessas descobertas, acende-se o alerta às corporações para realizarem uma análise completa das vulnerabilidades exploradas pelos agentes mal-intencionados nessas ações, bem como incluírem um plano completo de recursos para detectar, mitigar e responder às ameaças de maneira constante e ininterrupta.
Para saber como se dá a atuação dos hackers, os sistemas explorados e como a sua empresa deve estabelecer um plano cibernético, continue a leitura deste #BlogSW.
Active Directory: sua empresa atacada em 16h
Durante a análise dos especialistas da Sophos, descobriu-se que o tempo médio em que os invasores ficam nas redes corporativos, isto é, desde a penetração até a detecção pelos times internos, é de oito dias. Mas, quando o tipo de ataque é ransomware, o período é de cinco dias.
Entretanto, em média, o comprometimento do Active Directory (AD) ocorre em apenas 16 horas. Isso representa um fator alarmante para as organizações, já que o sistema é vastamente utilizado para o gerenciamento da identidade e o acesso de recursos organizacionais.
O AD é responsável por fornecer uma estrutura centralizada e hierárquica para armazenar e organizar informações sobre recursos de rede e seus atributos. Dentre suas principais funções e atribuições, destaque para: autenticação de usuários, gestão de grupos e de suas políticas, organização, pesquisa e recuperação de informações, integração de serviços e segurança.
Visto que é uma ferramenta ligada tanto à segurança quanto à infraestrutura de rede, o relatório da Sophos apontou que a invasão dos hackers ao servidor AD funcionou como o ponto de partida para os ataques observados.
A movimentação lateral, principal ação utilizada, é mais rápida e por isso é uma opção aos agentes mal-intencionados já que “um servidor é normalmente o ativo mais poderoso e privilegiado em uma rede, capaz de controlar a identidade e as políticas em toda a organização. Os invasores podem desviar contas altamente privilegiadas, criar novas ou desativar aquelas que são legítimas. Eles também podem usar o servidor AD para implantar seu malware a partir de uma fonte confiável.”
Ou seja, a partir do momento em que os hackers quebram as credenciais do Active Directory, eles são capazes de controlar toda a corporação, incluindo o acesso às informações sensíveis e iniciar atividades maliciosas.
Perfis dos ataques atuais
Além do AD, que tem sido bastante explorado e apresenta um tempo de penetração curto, outros tipos de ataques também continuam sendo observados.
Dentre eles, o ransomware prevalece com 69% do total de ataques registrados no relatório, o que lhe concede liderança dessa lista. E, de forma curiosa, 81% desse tipo de ataque foram registrados fora do horário comercial, sendo detectados às sextas ou sábados.
Em seguida, as violações de rede não específicas foram 16% do total identificado de ataques. Enquanto a extorsão de dados completou o terceiro lugar da lista, com 9%.
Contingência dos ataques e papel dos líderes
Quando se trata do organograma, a segurança cibernética exige dos líderes empresariais um conhecimento aprimorado das ameaças atuais e dos riscos que elas representam à corporação. Cabe a eles também entenderem como mitigar os riscos, definindo as prioridades e o orçamento adequado à área.
Desta forma, o relatório da Sophos destaca a importância de ter parceiros estratégicos no tema, auxiliando esses executivos a tomarem melhores decisões sobre como empregar seus recursos, visando a proteção do ambiente.
Para reduzir os riscos apresentados pelos invasores, é preciso, em primeiro lugar, uma mudança na política corporativa, como garantir que a aplicação de patches abrangentes seja uma prioridade ou exigir que o uso do RDP (Remote Disaster Protocol) seja necessário, limitado e auditado. Assim como investir e implementar ferramentas, como a MFA (Identificação por dois fatores) resistente a phishing em todos os lugares ou garantir que a telemetria adequada esteja disponível quando necessário.
Todo esse controle pode ser realizado pelo SOC (Centro de Operações de Segurança), que é comandado por um time especializado e que, sob qualquer alerta, age para deter as ameaças e evitar que a empresa seja atacada.
Não deixe que a sua organização seja a próxima atacada. Mitigue os riscos com os profissionais e as tecnologias mais sofisticadas do mercado com a SECUREWAY.