De repente, as equipes de segurança da informação precisam se ajustar à realidade de uma força de trabalho quase 100% remota. As práticas recomendadas de segurança geralmente ficam em segundo plano em relação à continuidade dos negócios em tempos estranhos como estes. As equipes que antes gerenciavam uma força de trabalho principalmente interna podem não estar preparadas para combater novas ameaças de um local de trabalho sem fronteiras definidas.
Nossa equipe de resposta a incidentes ajuda os clientes a responder a incidentes de segurança todos os dias. Conheça as cinco principais ameaças que têm assombrado o trabalho remoto:
Com tantas pessoas trabalhando em casa, os invasores agora têm uma área de superfície maior para realizar um ataque de força bruta por meio da VPN. De acordo com a ZDNET, o número de conexões corporativas em julho de 2020 chegou a ter um aumento de 33%, o que significa que os invasores agora têm mais de um milhão de novos alvos para explorar que vieram online desde o início de 2020.
Ataques de força bruta representam cerca de 45% e, de acordo com os times de pesquisa da Varonis, a maioria deles são ataques de autenticação de VPN ou Active Directory. Vimos organizações desabilitarem os bloqueios integrados e outras restrições à conectividade VPN para manter a continuidade dos negócios ou reduzir a sobrecarga de TI, o que significa que esse ataque é uma opção mais viável para infiltrações.
Os invasores realizam um ataque de força bruta de VPN, visando um portal VPN e explodindo-o com muitas tentativas de autenticação usando listas pré-reunidas de credenciais. Esse ataque é comumente chamado de “enchimento de credenciais” [ou ‘credential stuffing’, na sigla em inglês. Se qualquer uma dessas combinações de nome de usuário / senha funcionar, o invasor ganha uma posição segura.
Além disso, se o alvo usar Single Sign-On (SSO), o invasor também terá um login de domínio válido. Muito rapidamente, o invasor se infiltrou na rede, pode iniciar o reconhecimento usando o login de domínio e tentar aumentar os privilégios.
A Varonis tem uma variedade de modelos de ameaças integrados para detectar comportamento de autenticação anormal (preenchimento de credenciais, difusão de senha, força bruta) em sua VPN ou Active Directory. Você notará que nossos modelos de ameaça consideram mais de uma fonte – a atividade VPN é enriquecida e analisada com informações que coletamos do Active Directory, proxies da web e armazenamentos de dados como o SharePoint ou OneDrive.
Outra ameaça que vimos adaptada para a pandemia é o phishing. Os criminosos construíram mapas COVID-19 e criaram sites que “vendem” equipamentos médicos ou discutem curas milagrosas que, em vez disso, implantam cargas de malware em seu computador.
Alguns desses golpes são flagrantes – como cobrar US $ 500 por uma máscara N-95, mas outros são projetados para atacar seu computador e todos os dados que você pode acessar.
Conforme você clica nesses links maliciosos, a carga útil do invasor é baixada e o invasor estabelece uma conexão com seu servidor de comando e controle. Em seguida, eles começam o reconhecimento e a escalada de privilégios para encontrar e roubar seus dados confidenciais.
A Varonis pode detectar o comportamento da rede que se assemelha ao comando e controle – não apenas procurando conexões com endereços IP ou domínios mal-intencionados conhecidos – realizando uma inspeção profunda do DNS e do tráfego de proxy da web para detectar malware que disfarça a comunicação no tráfego HTTP ou DNS.
Além de detectar a presença de malware e sua comunicação com um servidor C2, os modelos de ameaças centrados em dados da Varonis geralmente detectam um usuário comprometido com base em desvios no acesso a arquivos ou e-mail. A Varonis faz isso monitorando a atividade de arquivo e a telemetria de perímetro, enriquecendo todos os dados monitorados para criar linhas de base específicas do usuário e, em seguida, comparando a atividade atual com essas linhas de base e um catálogo cada vez maior de modelos de ameaças.
No primeiro semestre de 2020, a Microsoft relatou um aumento de 775% nos usuários do Azure no mês passado. Isso significa que várias empresas passaram a usar o diretório online para gerir seus ambientes de negócio.
Certifique-se de ver quais aplicativos seus usuários estão consentindo –e têm o consentimento para usar—e agende revisões de rotina de aplicativos aprovados para que você possa revogar qualquer aplicativo que pareça malicioso.
Os invasores descobriram que podem incluir aplicativos maliciosos do Azure em campanhas de phishing e, assim que o usuário clicar para instalar o aplicativo, o invasor se infiltrou em sua rede.
A Varonis pode rastrear as solicitações de consentimento do Aplicativo Azure para detectar sinais desse ataque desde o início. Além disso, como a Varonis está capturando, analisando e definindo o perfil de todos os eventos no Office 365 para cada entidade, assim que um aplicativo malicioso começar a se passar por usuário – enviando emails e baixando arquivos – nossos modelos de ameaças baseados em comportamento serão acionados.
Ameaças internas podem ser particularmente difíceis de detectar quando um funcionário está usando um dispositivo pessoal para acessar dados confidenciais porque o dispositivo não tem controles de segurança corporativa, como DLP, por exemplo, que normalmente podem detectar um interno exfiltrando esses dados.
A Varonis pode ajudar a detectar ameaças internas identificando primeiro onde residem os dados confidenciais em toda a organização e, em seguida, aprendendo como os usuários normalmente interagem com esses dados. A Varonis define os comportamentos de acesso aos dados do usuário ao longo do tempo e monitora a atividade do arquivo e enriquece isso com dados VPN, DNS e proxy. Dessa forma, a Varonis pode detectar quando um usuário baixa uma grande quantidade de dados pela rede ou acessa dados confidenciais que nunca fizeram antes e pode fornecer uma trilha de auditoria completa dos arquivos que o usuário acessou.