Controles padrão de Segurança na Nuvem são ineficazes na prevenção de ataques

A Elastic, a empresa por trás do Elasticsearch, lançou ontem, 15, o Relatório Global de Ameaças da Elastic de 2022, que detalha a natureza evolutiva das ameaças de Segurança Cibernética, bem como a maior sofisticação dos ataques relacionados a endpoint e Nuvem.

As tendências identificadas fornecem às organizações a inteligência operacional que precisam para fortalecer sua tecnologia de Segurança e as estratégias necessárias para observar e proteger sistemas de negócios de missão crítica contra ameaças cibernéticas. Esse relatório é produzido pelo Elastic Security Labs, equipe de pesquisa de ameaças, análise de malware e engenharia de detecção da empresa, e compilado usando telemetria de implantações mundiais do Elastic Security de agosto de 2021 a agosto de 2022.

Entre as principais tendências abordadas no relatório constam o erro humano, que representa o maior risco para a Segurança na Nuvem, pois os usuários superestimam a Segurança de suas implementações na Nuvem; 1 em cada 3 (33%) dos ataques na Nuvem utilizam o acesso a credenciais, indicando que os usuários frequentemente superestimam a Segurança de seus ambientes de Nuvem e, consequentemente, não os configuram e protegem adequadamente. Além disso, os agentes maliciosos estão se concentrando cada vez mais em explorar os pontos onde a tecnologia e as pessoas se cruzam, especialmente quando se trata de acesso a credenciais.

A Elastic Security Labs descobriu que isso responde a 33% de alertas de Nuvem em todos os provedores de serviços de Nuvem. Outros índices importantes sobre Segurança na Nuvem dão conta de que 57% da telemetria de Segurança na Nuvem veio da AWS, seguida por 22% do Google Cloud e 21% do Azure.

AWS
Mais de 74% dos alertas foram relacionados a acesso de credenciais, acesso inicial e táticas de persistência, com quase 57% das técnicas relacionadas à tentativa de roubo de token de acesso à aplicação, uma das formas mais comuns de roubo de credenciais na Nuvem.

Google Cloud
Quase 54% dos alertas foram relacionados ao uso inadequado de contas de serviço, com 52% das técnicas utilizando manipulação de contas, e indicando que o comprometimento da conta de serviço continua alto quando as credenciais padrão da conta não são alteradas.

Microsoft Azure
Mais de 96% dos alertas foram relacionados a eventos de autenticação, com 57% das técnicas direcionadas a contas válidas na tentativa de recuperar tokens Oauth2 e 58% das tentativas iniciais de acesso usaram uma combinação de tentativas tradicionais de força bruta e password spraying de contas anteriormente comprometidas.

Software comercial é usado como ferramenta maliciosa
Embora o software comercial de simulação de adversário, como o CobaltStrike, seja útil para a defesa de ambientes de muitas equipes, ele também está sendo usado como uma ferramenta maliciosa para implementar malware em massa.

O Elastic Security Labs descobriu que o CobaltStrike foi o binário ou carga malicioso mais disseminado para endpoints do Windows, representando quase 35% de todas as detecções, seguido pelo AgentTesla com 25% e pelo RedLineStealer com 10%.

Outras descobertas importantes sobre malware apontam que mais de 54% de todas as infecções globais por malware foram detectadas em endpoints do Windows, enquanto mais de 39% foram detectadas em endpoints do Linux. O relatório indica que quase 81% do malware observado globalmente são de trojans, seguido por “criptomineradores” com 11%.

O MacKeeper classificou-se como a maior ameaça para MacOS em quase 48% de todas as detecções, com XCSSet na segunda posição com quase 17%.

Ataques a endpoints estão mais diversificados
Mais de 50 técnicas de infiltração de endpoint estão sendo utilizadas por agentes de ameaças, sugerindo que a Segurança de endpoint está funcionando bem, pois sua sofisticação exige que os agentes de ameaças busquem continuamente métodos de ataque novos ou inovadores para serem bem-sucedidos.

Três táticas do Mitre ATT&CK representaram 66% de todas as técnicas de infiltração de endpoint. Uma combinação de 74% de todas as técnicas de evasão de defesa consistiu em mascaramento (44%) e execução de proxy binário do sistema (30%). Isso indica que, além de contornar a instrumentação de Segurança, as técnicas de evasão de defesas também afetam a visibilidade, resultando em tempo de permanência mais longo para as ameaças.

De acordo com o relatório da Elastic, 59% das técnicas de execução eram relacionadas a interpretadores de scripts nativos e de comando, seguidas por uma porcentagem de 40% atribuída a uso inadequado da Instrumentação de Gerenciamento do Windows, indicando que os adversários usam o PowerShell, o Windows Script Host e os arquivos de atalho do Windows para executar comandos, scripts ou binários.

Aponta ainda, que quase 77% de todas as técnicas de acesso a credenciais são atribuídas ao despejo de credenciais do sistema operacional com utilitários comumente conhecidos. Isso segue a tendência de os adversários confiarem em contas válidas para atrair menos suspeitas dos administradores em ambientes de implementação híbrida, com hospedagem local e provedores de serviços em Nuvem.

Embora as técnicas de acesso a credenciais tenham sido uma prioridade para os invasores, o investimento do adversário em técnicas de evasão de defesas indica uma reação às melhorias nas tecnologias de Segurança que têm afetado seu sucesso. Em combinação com técnicas de execução, os invasores conseguem contornar controles avançados de endpoint sem serem detectados nos ambientes das organizações.

“Para evitar ameaças de Segurança cibernética com eficácia, as organizações precisam de mais do que apenas um ótimo software de Segurança — elas precisam de um programa que inclua insights compartilhados e práticas recomendadas, além de uma comunidade com foco na inteligência de dados de Segurança para estender o valor desse produto para os clientes”, diz Ken Exner, diretor de Produto da Elastic. “O Relatório Global de Ameaças da Elastic de 2022 é uma parte importante da nossa oferta de um programa holístico de Segurança, e estamos entusiasmados por poder compartilhar nossa visibilidade, funcionalidade e experiência com a comunidade em geral.”

A Elastic é uma plataforma para soluções baseadas em busca. Com soluções em busca empresarial, observabilidade e Segurança, aprimora as experiências de busca de clientes e funcionários, mantém aplicações de missão crítica funcionando e protege contra ameaças cibernéticas. De acordo com a empresa. “onde quer que os Dados residam, seja em uma Nuvem, em várias Nuvens ou em um ambiente local, a Elastic permite que mais de 19 mil clientes e mais da metade da Fortune 500 alcancem novos níveis de sucesso em escala e em uma única plataforma”.

Serviço
elastic.co/pt