Histórias do centro de operações de segurança (SOC)

Com a frequência e variedade de ciberataques a aumentar diariamente, a necessidade de medidas de segurança abrangentes nunca foi tão crítica. Para analistas que trabalham num centro de operações de segurança (SOC) para um serviço global de deteção e resposta alargada (XDR), cada dia traz dezenas ou até centenas de alarmes e eventos. Como é que estes especialistas de segurança juntam as peças da avalanche de potenciais ameaças através de uma vasta e diversa superfície de ataque?

Abaixo, apresentei três exemplos reais de ciberataques testemunhados pelas equipas do SOC do Barracuda XDR. Cada um deles destaca como os pontos cegos da cibersegurança podem afetar os resultados desses ataques.

Cenário 1: Ataque de ransomware e violação de dados em empresa de TI

Um cliente subscreveu o Barracuda XDR Managed Endpoint Security, mas apenas para dispositivos para os quais já tinha visibilidade. Isto revelou uma lacuna de segurança que acabou por ser explorada. Neste caso, a violação inicial foi facilitada por um comprometimento de um SSL VPN de firewall que não tinha ativado a autenticação multifator (MFA), permitindo que o atacante explorasse uma vulnerabilidade de zero-day para estabelecer uma base. O atacante então moveu-se lateralmente através da rede, comprometendo servidores, escalando privilégios, manipulando contas e grupos de administração, e estabelecendo canais de comunicação não autorizados com um servidor de comando e controlo (C&C) malicioso.

A falta de medidas de segurança robustas em várias camadas da infraestrutura de rede permitiu que o atacante explorasse várias vulnerabilidades, resultando em danos significativos e comprometimento da rede.

Durante o ataque, o agente de ameaça utilizou várias ferramentas para explorar os pontos cegos de segurança, comprometer o sistema, executar atividades maliciosas e evitar a deteção. Estas incluíram ferramentas para controlo remoto, estabelecimento de uma conexão de rede persistente, facilitação de movimento lateral ou apoio à exfiltração de dados.

Como muitos outros atores de ameaças, o atacante recorreu a ferramentas de TI comercialmente disponíveis que, se detetadas isoladamente, não despertariam imediatamente suspeitas. Nas mãos de um atacante, essas ferramentas são usadas para atividades como descarregar remotamente cargas maliciosas ou scripts ou analisar redes para identificar portas abertas, serviços em execução e outros atributos de rede que poderiam ser usados para exploração adicional ou para encontrar alvos adicionais.

O ataque de ransomware, que também incluiu a exfiltração de dados, resultou numa interrupção operacional, levando à paragem dos serviços e à probabilidade de perdas financeiras significativas. O roubo de dados agravou os danos com a perda de propriedade intelectual, dados de clientes e violações de conformidade.

Este incidente destaca a necessidade de uma estratégia de segurança abrangente que aborde uma abordagem holística, indo além da proteção de endpoints para incluir segurança de rede, servidor, nuvem e de e-mail.

Cenário 2: ataque de ransomware a um fabricante

Neste ataque, o agente de ameaça explorou credenciais comprometidas para obter acesso não autorizado a um servidor de protocolo de ambiente de trabalho remoto (RDP), usando uma ferramenta comum para forçar uma conta de VPN.

Os atacantes aproveitaram ao máximo as configurações de segurança incorretas, como a exclusão inadequada de diretórios de sistema essenciais. Estas falhas críticas resultaram em mais de 100 dispositivos comprometidos, perturbando o sistema ERP da vítima. O agente da ameaça também eliminou os dados de backup da organização.

Tal como no primeiro incidente, os atacantes utilizaram uma variedade de ferramentas para comprometer o sistema, realizar ataques de força bruta, extrair palavras-passe, verificar vulnerabilidades de segurança e auxiliar na movimentação lateral e execução remota de código.

A violação de segurança perturbou significativamente as operações da empresa, levando a grandes perdas financeiras. O comprometimento da rede interrompeu as atividades de produção, descarrilando os cronogramas de fabrico. Além disso, a perda de dados de backup prolongou o tempo de inatividade e o processo de recuperação. A empresa demorou mais de dois meses a retomar as operações completas.

A implementação parcial de soluções de segurança deixou este cliente vulnerável a estes tipos de ataques.

Cenário 3: ataque de ransomware a um retalhista

No nosso terceiro exemplo, ativos expostos, autenticação fraca e falta de visibilidade de segurança conectada deixaram um servidor crítico com o seu protocolo de desktop remoto (RDP) exposto à internet pública. O agente de ameaça aproveitou o canal RDP aberto para infiltrar-se na rede, tendo como alvo os controladores de domínio (DCs), onde criaram e, posteriormente, eliminaram contas para esconder os seus rastos.

Este nível de acesso permitiu ao atacante comprometer a integridade e confidencialidade da rede. O atacante extraiu dados sensíveis dos servidores de ficheiros e vendeu as informações roubadas na dark web.

Os atacantes utilizaram uma ferramenta comum de emulação de ameaças que pode ser usada para manter a persistência, escalar privilégios, mover-se lateralmente e roubar dados. Isto foi complementado com ferramentas de quebra de senhas e ferramentas que teriam ajudado os atacantes a entender melhor e mapear o ambiente da vítima para exploração adicional.

As consequências da violação centraram-se no roubo e exposição de dados sensíveis na dark web. Os servidores de ficheiros críticos comprometidos durante o ataque continham propriedade intelectual valiosa e informações sensíveis de clientes, cuja divulgação não autorizada levou a danos reputacionais e minou a confiança dos clientes.

Tal como nos dois primeiros exemplos, esta violação sublinhou a necessidade de uma estratégia de cibersegurança holística.

O valor de uma cobertura abrangente de cibersegurança

Todos os três ataques são um lembrete claro de que medidas de segurança incompletas podem deixar as organizações vulneráveis a ataques que podem ter consequências de longo alcance, tanto financeiras quanto reputacionais. Além disso, a falta de visibilidade de segurança em todo o ambiente significa que é mais difícil identificar e correlacionar atividades suspeitas com outras atividades, o que pode atrasar ou impedir uma resposta rápida e abrangente ao ataque. Lembre-se de que todas as três organizações tinham algumas soluções de segurança implementadas; como não tinham investido num conjunto holístico de sistemas de cibersegurança que protegessem todo o seu ecossistema de TI (cloud, servidores, redes, aplicações, etc.), lacunas críticas foram facilmente exploradas.

A integração da segurança de rede, endpoint, servidor, nuvem e e-mail através do XDR permite uma capacidade sem precedentes de deteção e resposta a ameaças. Isto deve-se aos dados. Com uma solução XDR abrangente, cada canto da infraestrutura de TI, desde e-mails até aplicações na nuvem, é monitorizado e protegido com medidas de segurança avançadas e um espectro completo de ferramentas defensivas combinadas com estratégias proativas de caça e resposta a ameaças. Isto permite uma ação rápida e minimiza a janela de oportunidade para os agentes de ameaça.

Nota: Este artigo foi originalmente publicado no Managed Services Journal.