Vetores de ataque inicial mais comuns

De que forma é mais provável que os criminosos acessem a infraestrutura das empresas-alvo.

Empresas frequentemente chamam nossos especialistas para assistência de emergência de resposta a incidentes, para conduzir (ou ajudar a conduzir) investigações ou para analisar ferramentas de cibercriminosos. Ao longo de 2020, coletamos uma grande quantidade de dados para uma visão do cenário de ameaças atuais que nos ajuda a prever os cenários de ataque mais prováveis – incluindo os vetores de ataque inicial mais comuns – além de ajudar a escolher as melhores táticas defensivas.

Quando investigamos um ciberincidente, sempre prestamos atenção especial ao vetor de ataque inicial. Simplificando, a entrada é um ponto fraco e, para evitar a recorrência, identificar os pontos fracos dos sistemas de defesa é crucial.

Infelizmente, nem sempre isso é possível. Em alguns casos, muito tempo se passou entre o incidente e sua detecção; em outros, a vítima não manteve registros ou destruiu os vestígios (acidental ou intencionalmente).

Para complicar as coisas, quando os cibercriminosos atacam pela cadeia de suprimentos – método cada vez mais comum – o vetor inicial não cai sob a alçada da vítima final, mas sim de um desenvolvedor de programa ou provedor de serviço terceirizado. No entanto, em mais da metade de todos os incidentes, nossos especialistas foram capazes de determinar com precisão o vetor de ataque inicial.

Primeiro e segundo lugar: Força bruta e exploração de aplicativos acessíveis ao público

Ataques de força bruta e exploração de vulnerabilidades em aplicativos e sistemas acessíveis de fora do perímetro corporativo compartilham os dois primeiros lugares. Cada um serviu como vetor inicial de penetração em 31,6% dos casos.

Como observamos em anos anteriores, nenhum outro método é tão eficaz para lançar um ataque quanto a exploração de vulnerabilidades. Uma análise mais detalhada das falhas sugere que isso pode ser atribuído principalmente à falha das empresas em instalar atualizações prontamente; no momento dos ataques, havia patches disponíveis para cada vulnerabilidade. Simplesmente fazer as atualizações teria protegido as vítimas.

A transição em massa das empresas para o home office e o uso de serviços de acesso remoto contribuem para o aumento da popularidade do ataque de força bruta. Ao se adequarem à crise sanitária, muitas organizações não conseguiram lidar com as questões de segurança de forma adequada e, como resultado, o número de ataques a conexões remotas aumentou praticamente da noite para o dia. Por exemplo, no período de março a dezembro de 2020 houve aumento de 242% nos ataques de força bruta baseados em RDP.

Terceiro lugar: e-mail malicioso

Em 24% dos casos, o vetor de ataque inicial foi um e-mail malicioso, com malware anexado ou na forma de phishing. Tanto os operadores de ataque direcionado quanto os remetentes de e-mails em massa há muito usam os dois tipos de mensagens maliciosas.

Quarto lugar: comprometimento “sem querer”

Às vezes, os invasores tentam obter acesso ao sistema usando um site que a vítima visita periodicamente ou acessa por acaso. Para usar essa tática, que vimos em alguns ataques APT complexos, os cibercriminosos fornecem ao site scripts que exploram uma vulnerabilidade do navegador para executar código malicioso no computador da vítima ou enganam a vítima para que baixe e instale o malware. Em 2020, foi o vetor de ataque inicial em 8% dos casos.

Quinto e sexto lugares: drives portáteis e insiders

O uso de drives USB para invadir os sistemas da empresa tornou-se raro. Além de os vírus que infectam unidades flash serem em grande parte coisa do passado, a tática de entregar a alguém um dispositivo USB prejudicial não é muito confiável. No entanto, este método foi responsável por 2,6% das invasões iniciais da rede.
Insiders causaram a mesma proporção (2,6%) dos incidentes. São funcionários que, por qualquer motivo, queriam prejudicar suas próprias empresas.

Como minimizar a probabilidade de um incidente cibernético e suas consequências

A maioria dos incidentes que nossos especialistas analisaram eram evitáveis. Com base em suas descobertas, eles recomendam:
● Aplicar uma política de senha rígida e reforçando o uso de autenticação multifator;

● Proibir o uso de serviços de gerenciamento remoto acessíveis ao público;

● Instalar atualizações de software o mais rápido possível;

Proteger servidores de e-mail com ferramentas antiphishing e antimalware;

Conscientizar os funcionários sobre as ciberameaças atuais regularmente.

Além disso, lembre-se de configurar todos os sistemas de auditoria e registro e fazer backup de seus dados regularmente – não apenas para facilitar as investigações, mas também para minimizar os danos de incidentes cibernéticos.

Obviamente, as estatísticas acima representam apenas uma pequena parte das informações relevantes que nossos especialistas analisaram. Você encontrará o texto completo de nosso Relatório de análises de respostas a incidentes de 2021 aqui.

Dicas