Os Atacantes não são Invencíveis

Publicado por Igor Matsunaga em


Os atacantes muitas vezes podem parecer invencíveis mas não são, use da fraqueza deles para vence-los.

Os Atacantes

Assim como os defensores os atacantes também são humanos, portanto, estão sujeitos aos mesmos erros e imperfeições. Eles podem ser programadores únicos, membros de organizações criminosas, hackers governamentais, organizações desonestas ou qualquer um outro cibercriminoso.

Suas intenções podem ser motivados por ganhos financeiros, retribuição a alguma organização, pertubação ou destruição, dominação global ou uma variedade de outros motivos.

Erros Comuns

Do ponto de vista do defensor, um dos erros mais vantajosos que os atacantes cometem é escrever um bug, erro ou vulnerabilidade em seu código. Os autores de malware são programadores experientes,  mas não são perfeitos. Os principais exemplos de suas imperfeições incluem o ” kill switch ” encontrado no ransomware WannaCry inicial e, mais recentemente, os erros de manipulação de exceção no ransomware  LockerGoga.

Além disso, os invasores geralmente contam com ataques iguais ou semelhantes. Invasores que são limitados por recursos, tempo ou capacidades podem usar kits de exploração padrão e usar regularmente o mesmo malware. Mesmo quando os arquivos de malware são diferentes, os segmentos do código de malware costumam ser reciclados e reutilizados. Diferentes arquivos de malware geralmente apontam para a mesma infraestrutura, como o mesmo comando e controle de IP em vários ataques. Além disso, mesmo quando um malware totalmente novo é usado, os invasores usam consistentemente as mesmas táticas, técnicas e procedimentos (TTPs).

Repercussões

Quando os atacantes cometem erros, eles às vezes simplesmente falham em alcançar seus objetivos sejam eles roubo, espionagem, exploração ou interrupção e são forçados a gastar mais recursos em um determinado ataque. Além disso, eles fornecem uma fraqueza que os defensores podem usar em sua vantagem para melhor prevenir, detectar e responder aos ataques.

Maximize erros

Podemos aproveitar melhor os erros de invasão pelos erros de codificação, malware e reutilização e reciclagem de TTP, agregando e compartilhando essa inteligência de ameaças. Com os dados corretos, os defensores podem criar dossiês sobre os agentes de ameaças, identificar motivos e meios do invasor e, em seguida, usar esse conhecimento para limitar as oportunidades dos invasores por meio da modelagem de ameaças. Embora as organizações possam, e geralmente desenvolvam, suas próprias informações sobre ameaças, a troca rápida e frequente de informações sobre ameaças entre os defensores amplifica o impacto positivo desse trabalho.

Por exemplo, se uma organização que foi atingida por um ataque, compartilhar imediatamente essa informação com seus associados, ela poderá ajudar a criar uma “vacina cibernética” que impeça outras organizações de se tornarem vítimas do mesmo ataque. Isso pode ser particularmente crítico em casos de erros de codificação do invasor porque a identificação desses erros geralmente requer análise de malware. Muitas organizações não possuem esses recursos avançados e precisam contar com equipes mais sofisticadas para essa análise. Alguns fornecedores de segurança já começaram a incorporar essa troca. Quando um cliente vê um novo ataque, a inteligência de ameaça associada é extraída e, em seguida, incorporada ao produto para o benefício de cada cliente.

As organizações também podem encorajar erros de invasores e aumentar o custo de um ataque para o atacante, implementando recursos avançados como tecnologias de enganação e defesas de alvo em movimento, que forçam o invasor a correr em círculos procurando o alvo e permitindo que os defensores aprendam o TTPs do invasor no processo. No geral, ao entender os atacantes e seus perfis de ataque, os defensores podem criar um ambiente em que os invasores precisam investir mais para tornar um ataque bem-sucedido.

Mude o Paradigma

Embora a sociedade esteja começando a entender que os ataques à segurança cibernética são comuns e difíceis de prevenir, algumas organizações ainda relutam em revelar detalhes do ataque por medo de que isso possa refletir negativamente na organização. Como especialistas em segurança cibernética, nós defensores temos a responsabilidade de educar as pessoas que não são de segurança cibernética sobre a inevitabilidade dos ataques – e violações – para que ambos sejam vistos como parte do custo de fazer negócios no ambiente de hoje, e não fraquezas que foram resultado de alguém deixar cair a bola. As organizações devem poder falar livremente sobre ataques e incidentes, sem a necessidade de aconselhamento legal para restringir o compartilhamento de informações por preocupação de que os dados possam e serão usados ​​contra a organização no futuro. Com compartilhamento de informações,

Conclusão 

A segurança cibernética é como uma corrida armamentista. À medida que crescemos cada vez mais dependentes de tecnologia e bilhões de dispositivos interconectados, enquanto geramos um volume exponencialmente crescente de dados (2,5 quintilhões de bytes de dados em nosso ritmo atual), sabemos que os invasores também evoluirão e avançarão. Portanto, nós defensores devemos evoluir e avançar também. E nós podemos fazer grandes progressos nessa direção, para ficarmos melhores preparados e conseguirmos nivelar o jogo, através do reconhecimento e minimizar o erro humano inevitável de usuários finais , líderes de segurança , analistas de segurança , os administradores de segurança e programadores – e maximizando o erro inescapável do invasor.

Fonte: darkreading  


Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking a mais de 6 anos, hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *