Todos os dias e a cada chance que têm, criminosos iniciam ataques contra organizações e os usuários protegidos por elas, muitas vezes durante feriados importantes, quando os usuários estão menos vigilantes e as equipes do centro de operações de segurança (SOC) não estão no escritório. As violações de alto nível que causam grandes danos viram notícia. Ainda assim, essas histórias geralmente não detalham os eventos de segurança e os comportamentos de ataque que ajudariam as equipes de segurança e TI a reforçar suas defesas.

Usar dados para melhorar a prevenção

Aproveitando a maior nuvem de segurança do mundo, nossa equipe interna de pesquisadores da ThreatLabz recebe um fluxo contínuo de dados, categorizados como sinais, para analisar e compartilhar com a comunidade geral de SecOps. Utilizando técnicas avançadas, incluindo análise de IA e ML, a ThreatLabz consegue identificar e bloquear mais de 250 bilhões de indicadores de ameaças diariamente para os nossos clientes. Embora a maioria das ameaças bloqueadas seja conhecida, nos casos de ameaças desconhecidas, a ThreatLabz — e os clientes da Zscaler — utilizam a quarentena controlada por IA da Zscaler Cloud Sandbox para interceptar e prevenir sua entrega aos usuários. As sequências de ataque que ocorreriam em um dispositivo se manifestam em um ambiente separado e virtual que captura e identifica comportamentos maliciosos, compartilhando a proteção entre todos os usuários, independentemente do local.

Quer uma boa notícia? Ataques cibernéticos compartilham padrões semelhantes. Com a ajuda da matriz MITRE ATT&CK e adotando a mentalidade de um invasor, você pode antecipar o próximo movimento de um adversário e fortalecer as defesas em cada estágio. Para demonstrar isso melhor, vamos assumir o papel do “Alex”, um analista de segurança sênior na A2Z Health Services, que recebeu um alerta de atividades incomuns no sistema de registros dos pacientes. Após fazer uma triagem rápida, ele percebeu que a A2Z está sofrendo um ataque — mas há tempo para impedir maiores danos. Vamos analisar o ciclo de vida do ataque para ver onde as ferramentas de segurança da A2Z deveriam ter entrado em cena para salvar o dia e onde os pontos fracos de suas defesas podem estar.

Uma análise mais detalhada do ciclo de vida de um ataque

1. Reconhecimento

Adversários especializados realizam uma missão de reconhecimento, delimitando a campanha, reunindo informações valiosas e criando um plano de ataque. Um programa de educação de segurança cibernética bem conduzido pode ajudar os funcionários a permanecerem alertas.

Como diz o ditado: “O tempo gasto com reconhecimento raramente é desperdiçado”. Um grupo adversário chamado Frying Pan identificou a A2Z Health Services como sua próxima vítima, e Jim, especialista em registros e finanças, seria seu próximo alvo. Utilizando técnicas de engenharia social, a Frying Pan conseguiu reunir informações sobre a identidade da vítima, como e-mails pessoais.

2. Acesso inicial

Após identificar os vetores de entrada, os adversários tentam obter acesso inicial à rede. Técnicas comuns como o uso de uma conta válida podem ser bloqueadas por meio da autenticação de dois fatores ou da rotação de senhas. Infelizmente, para Jim, uma campanha de phishing direcionado (spearphishing) não foi capturada pela ferramenta de segurança do seu e-mail. Para evitar esse tipo de situação no futuro, a equipe de Alex pode utilizar o serviço de quarentena controlado por IA da Zscaler Cloud Sandbox para analisar e bloquear arquivos suspeitos, mesmo quando o malware é enviado por HTTPS, um protocolo criptografado, e por um fornecedor ou programa confiável, como o Google Drive e o Microsoft OneDrive. Ao falsificarem um relacionamento confiável com um fornecedor, os adversários conseguiram fazer com que Jim clicasse no link de uma fatura em atraso que solicitava o download de um arquivo de Excel contendo uma macro maliciosa. A detecção e resposta de terminal (EDR) e a verificação do antivírus não detectaram qualquer assinatura ou comportamento conhecidos.

3. Execução

Agora que os adversários entraram, várias táticas podem ser operadas simultaneamente dependendo dos objetivos dos invasores. Para a Frying Pan, o objetivo é executar um malware no sistema local do Jim ao fazer com que a macro solicite o download de bibliotecas de vínculo dinâmico (DLLs) maliciosas para serem instaladas. Um EDR sólido e um gerenciamento de eventos e informações de segurança (SIEM) deveriam ter sido ativados para identificar o comprometimento em andamento e alertar as equipes apropriadas. Para usuários do Zscaler Internet Access (ZIA) com a Advanced Cloud Sandbox, a inspeção de conteúdo integrada identifica uma possível ameaça desconhecida, analisa o conteúdo e encerra as conexões maliciosas.

4. Acesso a credenciais e escalonamento de privilégios

Para manter o acesso contínuo e evitar a detecção, os adversários precisam de nomes e senhas de contas. Alex e a equipe de segurança determinaram que a Frying Pan obteve credenciais de usuários por meio de gerenciadores de senhas e ataques de força bruta, o que os levou a um usuário com mais privilégios e acesso ao controlador de domínio. Após alterar as configurações que gerenciam e respondem às solicitações de autenticação de segurança, a Frying Pan abriu caminho na rede e nos sistemas da A2Z. Infelizmente, para Alex e para a A2Z, suas soluções de gerenciamento de acesso e VPN foram contornadas, e eles não possuem segmentação de usuário para aplicativo e carga de trabalho para carga de trabalho, nem iscas, para impedir a propagação da infecção.

5. Movimentação lateral

Com acesso quase irrestrito, os adversários agora conseguem alternar entre vários aplicativos, sistemas ou contas para completar sua missão. Como a Frying Pan utilizou credenciais legítimas para realizar a movimentação lateral em vez de instalar sua própria ferramenta de acesso remoto, ela não foi detectada. Para a maioria das organizações que dependem de firewalls de nova geração (NGFW) ou da segmentação de rede, isso pode ser uma ocorrência comum.

Uma arquitetura zero trust é fundamental para impedir a movimentação lateral. A política de “nunca confiar, sempre verificar” garante que o Zscaler Private Access (ZPA) conecte os usuários e dispositivos autenticados apenas aos aplicativos autorizados. Sem inserir os usuários na rede, os aplicativos nunca são publicados na internet e permanecem invisíveis para usuários não autorizados.

6. Coleção e exfiltração

Semelhante ao estágio de reconhecimento, neste estágio os adversários buscam e reúnem informações importantes. No entanto, diferentemente do estágio anterior, os dados coletados devem ser usados para outros fins maliciosos, como extorsão. O agente de segurança de acesso à nuvem (CASB) com prevenção contra perda de dados (DLP) pode intervir para evitar o compartilhamento em excesso e bloquear a exfiltração de dados.

O estágio de coleta foi onde Alex notou pela primeira vez as atividades de rede suspeitas no sistema de registros de pacientes, incluindo acessos ao sistema fora do horário de trabalho e de locais geográficos diferentes que indicavam deslocamentos impossíveis. Depois de investigar um pouco mais, ficou claro que as técnicas de exfiltração ainda não haviam começado. Embora alguns adversários parem por aqui com a intenção de deixar uma backdoor acessível para coletar e roubar mais dados ou propriedade intelectual, Alex e a equipe de segurança se antecipam a um ataque de ransomware, desconectando o sistema de dados dos pacientes da rede e desativando o acesso dos usuários afetados.

Para as vítimas infelizes de um ataque de ransomware, as próximas etapas após a exfiltração de dados são:

7. Instalação do ransomware e exigência do pagamento de um resgate

Criminosos cibernéticos ou grupos comuns não criam suas próprias variantes de ransomware. Em vez disso, eles são afiliados a criadores de ransomware como serviço, como LockBit ou Conti, e pagam aos criadores um certo percentual do pagamento do resgate. Isso permite que os criminosos se concentrem em encontrar e atacar as vítimas e que os criadores se concentrem no desenvolvimento do seu “produto”.

A vida das equipes de segurança não é fácil. Quanto maior é a presença digital da sua empresa, mais pertinente se torna impedir que criminosos obtenham acesso inicial e movimentem-se lateralmente com a proteção de paciente zero e proteção integrada contra ameaças da Zscaler Cloud Sandbox, que integra a Zero Trust Exchange. Saiba mais sobre como a plataforma Zero Trust Exchange oferece defesa abrangente contra todo o ciclo de vida do ataque.