Barracuda full logo

Os ficheiros de casos SOC: A resposta automática a ameaças do XDR oferece proteção de alta velocidade a um funcionário na nuvem

Tópicos:
16 jan. 2025
|
Eric Russo

Resumo do incidente

  • Um funcionário de uma empresa de telecomunicações conectou-se como de costume à sua conta na cloud.
  • Em seguida, eles aparentaram percorrer uma distância de 361 km, aproximadamente 225 milhas, a quase o dobro da velocidade do som antes de se conectarem novamente, de acordo com os dados que chegaram aos sistemas de deteção automatizada do Barracuda Managed XDR.
  • Estes sistemas de deteção registaram simultaneamente que:
    • O segundo login do utilizador foi feito num dispositivo diferente.
    • O segundo login veio de um IP e localização que eram invulgares para este utilizador.
    • Este IP foi sinalizado como malicioso.
  • Considerando tudo, havia 99% de probabilidade de a conta ser comprometida por um agente malicioso.
  • Como o empregador do utilizador tinha Resposta a Ameaças Automatizada como parte da Segurança na Cloud XDR, a conta afetada foi automaticamente suspensa, o cliente foi alertado e o incidente foi encerrado.

O incidente foi detetado, contido e mitigado pela funcionalidade de Resposta a Ameaças Automática do Barracuda Managed XDR Cloud Security. Barracuda Managed XDR é um serviço de visibilidade, deteção e resposta (XDR) alargado que fornece aos clientes serviços de deteção de ameaças, análise, resposta a incidentes e mitigação liderados por humanos e por IA, 24 horas por dia, para proteger contra ameaças complexas.

Como o ataque se desenrolou

Uma tarde, por volta das 15:25, um funcionário de uma empresa de telecomunicações conectou-se à sua conta na nuvem com o seu dispositivo habitual e a partir da sua localização habitual.

  • Em seguida, eles pareceram viajar a mais de 2.160 km por hora, a velocidade de um avançado avião de reconhecimento Lockheed SR-71 Blackbird, para um local que raramente visitavam, se é que alguma vez o fizeram, e voltaram a aceder à sua conta usando outro dispositivo.
  • Esta atividade anómala desencadeou uma série de alertas nos sistemas de deteção Barracuda XDR.
  • O segundo login foi identificado como suspeito e não autorizado.
  • Apresentou quatro características que sugeriam comprometimento da conta com 99% de confiança:
    • O cenário de ‘viagem impossível’, cobrindo uma distância de 361 km (aproximadamente 225 milhas) a quase o dobro da velocidade do som entre inícios de sessão.
    • Foi utilizado um dispositivo diferente no segundo login suspeito.
    • Os indicadores de aprendizagem automática do Barracuda Managed XDR sinalizaram o endereço IP e a localização associados ao login suspeito como 'raros' para a conta de utilizador afetada.
    • A inteligência de ameaças sinalizou o endereço IP usado no evento de login suspeito como possivelmente malicioso.

Resposta e mitigação de ameaças

  • Pouco tempo após a segunda tentativa de início de sessão, o modelo de aprendizagem automática do XDR validou as características anómalas do evento de início de sessão suspeito e desencadeou um alerta de deteção maliciosa.
  • Seis minutos depois, o XDR suspendeu automaticamente a conta afetada e emitiu um aviso de segurança à organização.
  • Um analista de cibersegurança do SOC fez um acompanhamento com uma chamada para a organização para informá-los pessoalmente. A organização confirmou o incidente como um verdadeiro positivo.
exemplo de resposta automática a ameaças em ficheiros de caso SOC

Principais aprendizagens

  • Além de implementar soluções de segurança como Barracuda Managed XDR com Resposta Automática a Ameaças e proteção avançada e multilayered de e-mail, as organizações podem reforçar a sua proteção contra esses incidentes através de políticas robustas e formação de colaboradores.
  • Isto deve incluir políticas de acesso condicional — como permitir a autenticação apenas a partir de locais autorizados — medidas de autenticação multifator (MFA) e a rotação regular de credenciais para evitar o uso ativo de senhas obsoletas ou comprometidas.
  • O treino de sensibilização para a segurança ajudará a evitar que os utilizadores sejam vítimas de fadiga de MFA e de ataques de phishing cada vez mais complexos e evasivos.

Recursos do Barracuda Managed XDR, como inteligência de ameaças, Resposta Automática a Ameaças e a integração de soluções mais amplas, como Segurança de Servidor XDR, Segurança de Rede XDR e Segurança na Nuvem XDR, oferecem proteção abrangente e podem reduzir drasticamente o tempo de permanência.

Para mais informações sobre como o Barracuda Managed XDR e o Centro de Operações de Segurança podem ajudar, por favor contacte-nos.

Esteja um passo à frente dos atacantes com cibersegurança gerida 24/7.
Eric Russo

Eric Russo é Diretor de Segurança Defensiva do SOC na Barracuda.

Artigos Relacionados:
Back to school, back to scams part 2: Mitigation in motion
Back to school, back to scams part 2: Mitigation in motion
 De volta às aulas, de volta aos esquemas fraudulentos
De volta às aulas, de volta aos esquemas fraudulentos
 Cibersegurança municipal: Os MSPs navegam na linha da frente da defesa digital
Cibersegurança municipal: Os MSPs navegam na linha da frente da defesa digital
 A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.