Barracuda full logo

Tempo de permanência em declínio: Boa notícia ou má?

Tópicos:
11 jun. 2024
|
Tony Burgess

Os investigadores da Google Mandiant descobriram recentemente que o "tempo de permanência" médio dos atacantes cibernéticos tem vindo a diminuir. Se isto é bom, mau, ou uma mistura de ambos, depende do que exatamente está a impulsioná-lo.

O que é o tempo de permanência?

O tempo de permanência é simplesmente o tempo que um intruso cibernético mantém o acesso a uma rede que penetrou.

O tempo de permanência chega ao fim por um de três motivos:

  1. A vítima detecta a intrusão e responde para a expulsar e bloquear.

  2. O atacante alcança o seu objetivo, como exfiltrar dados roubados, e retira-se da rede. Claro, neste caso, eles mantêm a capacidade de retornar a qualquer momento e é muito provável que o façam.

  3. O atacante detona uma carga ruidosa, mais comummente um ataque de ransomware, anunciando assim a sua presença.

Diferentes tipos de ataques, com objetivos diferentes, tendem a ter tempos de permanência bastante variados. Por exemplo, um ataque de ransomware normalmente tem um tempo de permanência medido em dias ou semanas, no máximo. Uma vez que encontraram e comprometeram os dados que querem manter como reféns, já não têm qualquer razão para prolongar o seu tempo de permanência, especialmente porque isso só os exporia a um maior risco de descoberta.

No extremo oposto, as intrusões recentemente descobertas em sistemas de infraestruturas críticas pelo grupo de hackers chinês Volt Typhoon foram encontradas tendo estado em vigor por até cinco anos em alguns casos (ver este post recente no blog para mais detalhes). Uma das razões pelas quais passaram tanto tempo sem serem detectadas é que não tinham quaisquer objetivos imediatos de espionagem ou roubo de dados, pelo que o seu movimento lateral ou outra atividade na rede foi extremamente limitado. Outra razão é que estavam a utilizar técnicas avançadas de "living-off-the-land" (LoTL) para minimizar ainda mais os vestígios da sua presença.

Porque é que os tempos de permanência estão a ficar mais curtos?

Então, o que está a impulsionar a redução nos tempos médios de permanência? Bem, é um conjunto de fatores relacionados que trabalham em conjunto.

Por um lado, os avanços na tecnologia e estratégia de segurança tornaram mais fácil para as organizações que os implementam detetar ameaças presentes nas suas redes. A deteção e resposta estendida (XDR) e especialmente as soluções geridas de XDR (como Barracuda Managed XDR) tornam muito mais provável que comportamentos anómalos na rede sejam detetados e respondidos. E isto acontece porque toda a atividade está a ser monitorizada ativamente 24 horas por dia, 7 dias por semana, algo que é impossível para as equipas de TI típicas com recursos limitados.

E, por outro lado, os atacantes responderam a esta capacidade de deteção aumentada acelerando os seus processos. Os agentes de ameaça que antes poderiam ter demorado a explorar completamente uma rede alvo — garantindo a aquisição dos níveis de acesso mais elevados e descobrindo todos os dados que pudessem ser valiosos — agora têm uma agenda mais apressada. É mais provável que obtenham o que puderem o mais rapidamente possível e fiquem satisfeitos por terem conseguido algo em vez de nada antes de serem detetados e expulsos.

Os atores de Ransomware, em particular, estão a acelerar os seus ataques, tornando-se ruidosos assim que têm uma quantidade razoável de dados sob o seu controlo. É por isso que as ameaças de ransomware registaram a maior diminuição no tempo de permanência, passando de uma média de 10 dias para cinco.

Para muitos tipos de ameaças, obter acesso aos sistemas do Active Directory é um passo inicial crítico. O tempo que os atacantes sofisticados demoram a fazer isto — e a ganhar a capacidade de escalar os seus privilégios de acesso — é agora, em média, de 16 horas.

O que isso significa para si

Para responder à pergunta do título, isto não é especialmente bom nem mau, é apenas o resultado natural da eterna corrida armamentista entre atores de ameaças e profissionais de segurança.

No entanto, indica que é cada vez mais importante para todas as organizações implementarem estratégias modernas de deteção e resposta que utilizem IA, automação e pessoal dedicado para fornecer monitorização 24 horas por dia, 7 dias por semana — ou seja, XDR se tiver um SOC bem financiado, e XDR gerido se não tiver.

 

 

 

Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.