Ainda mal começou o novo ano, mas o wiperware já voltou a ser notícia. O DevPro Journal observa um "aumento drástico" a partir do ano passado, provavelmente impulsionado por conflitos geopolíticos. O que é wiperware e como você pode proteger sua organização?
O que é wiperware?
O wiperware é frequentemente utilizado como parte de um ataque de ameaça persistente avançada (APT) contra infra-estruturas críticas. Ao contrário dos ataques destinados a obter ganhos financeiros através de extorsão ou roubo de dados, o objectivo do wiperware é puramente destruir ou causar estragos. Esta táctica é popular entre os actores do Estado-nação ou os terroristas, pelo que estes ataques aumentam normalmente durante períodos de conflito geopolítico.
Como pode lutar contra o wiperware?
Pense numa boa Detecção e Resposta a Ameaças de Identidade (ITDR) como uma cebola, fornecendo várias camadas de protecção. As camadas exteriores incluem estratégias como a formação dos utilizadores para detectar e-mails de phishing e a implementação da detecção e resposta de pontos finais (EDR).
Mas os ciberataques estão a tornar-se cada vez mais hábeis em encontrar formas de ultrapassar essas camadas exteriores. E quando os atacantes conseguem entrar na sua rede, o seu próximo alvo é normalmente a infra-estrutura de identidade. Para 90% das organizações actuais, isso significa o Active Directory (AD) e o Azure AD.
O acesso à sua infra-estrutura de identidade híbrida pode permitir que os agentes de ameaças se apoderem de activos ainda mais críticos no seu ambiente. É por isso que a segurança da infra-estrutura de identidade deve ser o núcleo da sua estratégia de ciber-resiliência.
Com este conceito em mente, eis três coisas que pode fazer hoje para reforçar a segurança com base na identidade e afastar o wiperware - e outras formas de ciberataque.
Passo 1: Implementar uma defesa em camadas
Os sistemas de identidade são os principais alvos dos agentes de ameaças e a utilização indevida de credenciais é o caminho mais popular para as violações de segurança. A Gartner refere a necessidade de "defesa em profundidade", com enfoque na identidade.
O EDR é uma ferramenta de segurança importante, mas simplesmente não pode ser utilizado como única defesa. A melhor defesa é uma defesa em camadas.
Por mais atractiva que possa parecer a consolidação de fornecedores, colocar todos os ovos num único cesto de segurança tem desvantagens significativas. A resiliência cibernética requer um certo nível de redundância para evitar um único ponto de falha, especialmente quando se trata de ITDR.
A Gartner observa: "Uma abordagem estratificada que envolva o ITDR é a melhor forma de melhorar a preparação para ciberataques.... Preencher as lacunas do ITDR, avaliando toda a gama de vectores de ataque e telemetria abrangidos. Planear a utilização de um mosaico de ferramentas que se complementam, e que se podem sobrepor, para cumprir os requisitos de uma iniciativa ITDR abrangente."
A melhor forma de proteger o sistema de identidade? Procure uma solução ITDR que se concentre especificamente na protecção do sistema de identidade. Para 90% das organizações empresariais, isso significa o Active Directory (AD) e o Azure AD.
Passo 2. Monitorizar o AD híbrido
Quando se trata de monitorizar a sua infra-estrutura de identidade no local ou híbrida, a monitorização regular da superfície de ataque de identidade é vital. A monitorização pode ajudá-lo a identificar potenciais vulnerabilidades antes que os atacantes o façam.
Uma estratégia de monitorização eficaz tem de ser específica para o AD. Os atacantes estão a tornar-se cada vez mais hábeis a encontrar formas de ultrapassar a autenticação multifactor (MFA), o EDR e até as soluções de gestão de eventos e informações de segurança (SIEM) e de orquestração, automatização e resposta de segurança (SOAR). Por conseguinte, a segurança com prioridade à identidade exige uma solução de monitorização que forneça informações em tempo real e orientações accionáveis.
Uma forma fácil de começar é explorar ferramentas comunitárias gratuitas, tais como Purple Knight e Forest Druid. Purple Knight analisa os indicadores de segurança - tanto os indicadores de comprometimento (IOCs) como os indicadores de exposição (IOEs). Forest Druid fornece mapeamento e gestão de caminhos de ataque de Nível 0. Soluções pagas como a Semperis Directory Services Protector ( DSP) oferece monitorização de IOC e IOE, além de reversão automática de alterações suspeitas e resposta alargada a incidentes.
Passo 3. Prepare-se para recuperar
Ser alvo de ciberataques já não é uma questão de "se", mas de "quando". As cópias de segurança testadas e sem malware dos seus principais sistemas de identidade são uma obrigação. Infelizmente, o nosso recente inquérito a mais de 50 organizações mostra que 77% dos inquiridos sofreriam um impacto grave ou catastrófico na eventualidade de um ciberataque que destruísse o AD.
Como pode melhorar as suas hipóteses de recuperar com sucesso de um ataque deste tipo?
- Implementar um backup centrado no AD. Os backups de estado do sistema e de recuperação bare-metal (BMR) não são suficientes para defender o AD. Uma cópia de segurança específica do AD permite uma recuperação mais rápida do seu ambiente e tem uma pegada de cópia de segurança mais pequena. Por exemplo, o Semperis Active Directory Forest Recovery (ADFR ) protege contra a reintrodução de malware e pode ser automatizado para evitar erros humanos e reduzir o tempo de inactividade de horas, dias ou semanas para apenas alguns minutos.
- Inclua passos específicos para implementar e testar cópias de segurança, recuperação e manutenção crítica do AD no seu plano de recuperação de desastres.
- Teste as suas cópias de segurança e pratique regularmente os processos de recuperação da floresta AD para estar totalmente preparado caso seja necessário restaurar o AD.
Elimine as ameaças de wiperware
Uma estratégia de cibersegurança que proteja tanto os terminais como a sua base de identidade principal, evitando pontos únicos de falha, é a sua melhor defesa contra tudo o que os ciberataques lhe lançam, incluindo o wiperware. Coloque a segurança da identidade em primeiro lugar na sua lista de prioridades para 2023 e terá menos uma coisa com que se preocupar.
