MDR
O serviço Kaspersky Managed Detection and Response (MDR) permite que as empresas fortaleçam suas equipes de segurança monitorando de forma externa a infraestrutura corporativa 24 horas por dia. De acordo com um relatório de análise do MDR publicado recentemente, em 2021 o serviço processou cerca de 414.000 alertas de segurança, resultando em 8.479 incidentes relatados aos clientes. Ao analisar esses incidentes, nossos especialistas SOC (Centro de Operações de Segurança, na sigla em inglês) identificaram as técnicas de ataque mais comuns sob a classificação MITRE ATT&CK; eles calcularam a proporção de incidentes com base nessas técnicas para o número total de incidentes e nomearam os três mais populares.
Execução do Usuário
Essa categoria inclui todos os incidentes em que o invasor depende das ações de um usuário de dentro da infraestrutura. Ou seja, esses são os casos em que os invasores forçam um funcionário a clicar em um link malicioso ou abrir um anexo de e-mail. Esse grupo também inclui incidentes em que um usuário sem saber concede a um invasor acesso remoto a recursos corporativos.
Anexos de Spearphishig
De acordo com a classificação MITRE ATT&CK, a tática Spearphishing Attachment envolve o envio de e-mails com um arquivo malicioso anexado. Com maior frequência, os invasores também contam com a táticas de engenharia social e a execução do usuário para realizar esse ataque. Tudo isso com uma carga de arquivos executáveis, documentos do MS Office, PDFs e arquivos compactados.
Exploração de Serviços Remotos
A categoria Exploração de Serviços Remotos inclui incidentes em que invasores usam serviços vulneráveis para acessar sistemas internos em uma rede corporativa. Normalmente, isso é usado para um movimento lateral dentro da infraestrutura. Os invasores geralmente visam servidores, mas às vezes também exploram vulnerabilidades em outros terminais, incluindo estações de trabalho.
Como proteger sua infraestrutura das técnicas mais comuns dos invasores
O site MITRE ATT&CK lista os métodos mais eficazes que podem ser usados para mitigar cada técnica propulsora de ataque.
- Para evitar automaticamente a participação involuntária de um funcionário em ataques à infraestrutura da sua empresa, é recomendável usar soluções de segurança com recursos de controle de aplicativos, que também podem bloquear ataques à rede, verificar a reputação de sites e verificar os arquivos baixados. Também é importante aumentar a conscientização de segurança dos funcionários, explicando a eles táticas e técnicas atuais usadas pelos criminosos.
- Os mesmos mecanismos de proteção são eficazes contra anexos maliciosos em e-mails direcionados. Como nível adicional de proteção para o seu sistema de e-mail corporativo, também é recomendado o uso das tecnologias SPF, DKIM e DMARC.
- As tecnologias de isolamento de aplicativos funcionam bem contra a exploração de serviços remotos. No entanto, existem algumas etapas que devem estar ainda mais altas em sua lista de prioridades: é recomendável remover ou desabilitar todos os serviços remotos não utilizados, redes e sistemas de segmento e minimizar o nível de acesso e permissões de contas de serviço. Também é necessário instalar atualizações de segurança em tempo hábil para sistemas críticos e usar soluções de segurança com recursos de detecção comportamental. Além disso, não faz mal verificar a rede de forma periodica em busca de serviços potencialmente vulneráveis e usar dados atualizados contra ameaças Inteligentes.
De um modo geral, para proteger sua infraestrutura corporativa contra ataques complexos, você deve contar com a ajuda de especialistas externos , que podem proteger sua infraestrutura, investigar alertas de segurança e notificá-lo sobre atividades perigosas e fornecer respostas atvivas e recomendações.
Dicas