Semperis

Todos os anos, o número total de ciberataques e o custo dos danos causados pelo ransomware aumentam a nível mundial. A Microsoft informou recentemente que as tentativas de ataques com palavras-passe aumentaram "de cerca de 3 mil milhões por mês para mais de 30 mil milhões". Claramente, uma abordagem proactiva para mitigar os ataques baseados na identidade é uma boa resolução de Ano Novo.

Para o ajudar a tirar o máximo partido do seu planeamento de deteção e resposta a ameaças de identidade (ITDR) este ano, os nossos especialistas em segurança de identidade registaram três tendências que esperamos que ganhem velocidade em 2024:

  • Os agentes das ameaças irão intensificar os ciberataques a infra-estruturas críticas, incluindo a energia, os cuidados de saúde e a educação.
  • A evolução das tácticas, técnicas e procedimentos (TTP) das ameaças tornará a segurança da identidade em camadas mais importante do que nunca.
  • A segurança que privilegia a identidade continuará a ser um fator primordial na segurança operacional e na resiliência.

Eis o que precisa de saber sobre estas tendências.

Tendência 1: Ataques baseados na identidade a infra-estruturas críticas

Lembram-se de quando os ciberataques diziam evitar os hospitais e outras agências e organizações críticas? Esses dias já lá vão.

Considere-se a retaliação do grupo de ransomware BlackCat/ALPHV pela interrupção das suas operações pelo FBI no final do ano passado. O grupo notificou os afiliados do seu programa de ransomware como serviço (RaaS): "Agora podem bloquear hospitais, centrais nucleares, tudo, em qualquer lugar".

O que está a impulsionar esta tendência?

O aumento das tensões geopolíticas e a simples ganância colocaram as infra-estruturas na mira dos ataques baseados na identidade.

Quando se trata do setor público - umacategoria que inclui polícia, serviços médicos de emergência (EMS) e centros de trauma de nível 1, água, energia, aeroportos, portos e outras infraestruturas críticas "sempre ativas" - "os riscos não são apenas tabulados em termos de dólares e Bitcoins. São vidas humanas que estão em jogo", afirma Jeff Pitts, Diretor do Sector Público da Semperis.

As organizações federais e estatais, locais e educativas (SLED) nos EUA e em todo o mundo estão a dar o alarme.

A Revisão Anual de 2023 do Centro Nacional de Cibersegurança (NCSC) do Reino Unido destacou "os actores alinhados com o Estado como uma nova e emergente ameaça cibernética às infra-estruturas nacionais críticas", observando que o "desafio é global e sistémico". Particularmente preocupante:

  • Hackers patrocinados pelo Estado chinês atacam infra-estruturas dos EUA
  • Ataques DDoS e wiper alinhados com a Rússia contra a Ucrânia
  • Campanhas de spear-phishing contra alvos governamentais e educativos de "interesse" para o Irão
  • Ciberataques "prolíficos" da Coreia do Norte, incluindo contra organizações governamentais

A rede de partilha de informações Five Eyes - composta por funcionários dos serviços secretos dos EUA, Grã-Bretanha, Canadá, Austrália e Nova Zelândia - também alertou para o facto de um grupo chinês patrocinado pelo Estado, conhecido como "Volt Typhoon", estar a visar infra-estruturas críticas, incluindo telecomunicações, transportes e educação.

"Com os operadores de infra-estruturas críticas na mira de grupos patrocinados por estados-nação, estão a chegar ataques que podem afetar toda uma nação ou mesmo o mundo desenvolvido", afirma Gil Kirkpatrick, arquiteto-chefe da Semperis.

"As organizações devem preparar-se para potenciais ataques cibernéticos aos governos e aos operadores de infra-estruturas críticas de centrais nucleares, redes eléctricas, redes de telecomunicações, estações de tratamento de águas residuais, etc."

Os Estados-nação podem utilizar os ciberataques para complementar a guerra no terreno, perturbando as infra-estruturas críticas ou os sistemas financeiros...

Simon Hodgkinson, Consultor Estratégico da Semperis

Simon Hodgkinson, antigo CISO da bp e consultor estratégico da Semperis, concorda. "Os Estados-nação podem utilizar os ciberataques para complementar a guerra no terreno, perturbando as infra-estruturas críticas ou os sistemas financeiros, por exemplo."

Além disso, adverte, as "nações e organizações sancionadas podem recorrer ao cibercrime para financiar as suas actividades - atacando empresas que paguem resgates ou roubando criptomoedas".

O que pode fazer

Felizmente, diz Kirkpatrick, "os sectores público e privado estão a tornar-se cada vez mais resistentes" aos ataques baseados na identidade. O foco crescente em ITDR é fundamental.

Por exemplo, o Active Directory, que gere o acesso a praticamente todos os utilizadores e sistemas em ambientes que o incluem, está envolvido na maioria dos ciberataques. Proteger o Active Directory é, portanto, fundamental para identificar e impedir os atacantes antes que possam causar danos.

"Os serviços[de infra-estruturas críticas] são vulneráveis a ciberataques com vetor de identidade - normalmente o Active Directory", explica Pitts.

Os sistemas de infra-estruturas críticas ligados ao domínio do Active Directory, especialmente os sistemas SCADA, têm de incluir uma plataforma criada especificamente para gerir as ameaças ao Active Directory.

Jeff Pitts, Diretor do Sector Público, Semperis

"Os sistemas de infra-estruturas críticas ligados ao domínio do Active Directory, especialmente os sistemas SCADA, têm de incluir uma plataforma criada especificamente para gerir as ameaças ao Active Directory", afirma Pitts. "E os operadores desses sistemas devem ser capazes de recuperar o Active Directory em horas - e nãoem dias - no caso de um ataque cibernético devastador."

Tendência 2: Evolução das TTPs de ataque baseadas na identidade

A maioria das organizações reconhece a necessidade de proteção dos terminais, autenticação multifactor (MFA) e formação dos utilizadores. Afinal de contas, os atacantes preferem o phishing e a engenharia social como formas de entrar nos ambientes das vítimas.

Mas os agentes de ameaças são muito criativos. À medida que mais organizações empregam a MFA ou se recusam a pagar resgates, os atacantes estão a desenvolver novas formas de contornar as defesas e causar estragos através de ataques baseados na identidade.

Por exemplo, o grupo BlackCat apresentou recentemente uma queixa sobre uma das suas alegadas vítimas junto da Securities and Exchange Commission (SEC), alegando que a empresa tinha sido violada - e utilizando depois a queixa para exercer pressão adicional para pagamento ou como um aviso para futuros alvos.

O que está a impulsionar esta tendência?

Esse comportamento "não é surpreendente na economia de ransomware em constante evolução", diz o tecnólogo principal da Semperis e apresentador do podcast Hybrid Identity Protection (HIP), Sean Deuby. Os ataques de fadiga de MFA, por exemplo, dispararam à medida que mais organizações implantam MFA. Deuby espera ver um comportamento mais "criativo" dos invasores em 2024.

Mesmo os utilizadores com um elevado nível de consciência de segurança podem agora ser apanhados por estas tentativas de phishing incrivelmente bem concebidas.

Guido Grillenmeier, Tecnólogo Principal, Semperis

"Para prever o que os cibercriminosos vão inventar a seguir, basta seguir esta receita simples", aconselha Deuby. "Maximizar o lucro, minimizando o tempo e o esforço, remover toda a moralidade e adicionar uma pitada de evasão do controlo governamental."

As novas tecnologias também influenciaram a evolução dos métodos de entrada inicial dos atacantes, afirma Guido Grillenmeier, Tecnólogo Principal da Semperis.

"A inteligência artificial está a permitir que os cibercriminosos criem campanhas de phishing cada vez mais sofisticadas e convincentes, que brincam com as emoções dos utilizadores. Mesmo os utilizadores com um elevado nível de sensibilização para a segurança podem agora ser apanhados por estas tentativas de phishing incrivelmente bem concebidas."

O que pode fazer

Para combater a evolução das TTP, os nossos especialistas têm um conselho simples: Volte ao básico.

"Os principais pontos fracos que os atacantes utilizam não mudaram ao longo dos anos e continuam a ser explorados com êxito", observa Grillenmeier. "Por exemplo, o Active Directory, o principal serviço de identidade da Microsoft. Os atacantes utilizam o Active Directory para obter privilégios de utilizador e penetrar mais profundamente na rede da vítima."

Grillenmeier aguarda com expetativa a próxima versão do Windows Server 2025, que promete introduzir funcionalidades de segurança adicionais no Active Directory. "É bom ver que está a ser dado um maior enfoque à proteção de identidade", afirma.

Os atacantes utilizam o Active Directory para obter privilégios de utilizador e penetrar mais profundamente na rede da sua vítima.

Guido Grillenmeier, Tecnólogo Principal, Semperis

Entretanto, a segurança com prioridade à identidade não precisa de ser onerosa. As organizações podem começar por descarregar uma ferramenta de auditoria gratuita do Active Directory, como o Purple Knightque examina rapidamente o ambiente híbrido do Active Directory (incluindo Entra ID e Okta) e fornece uma lista fácil de entender de possíveis vulnerabilidades e indicadores de comprometimento (IOCs).

Tendência 3: Resiliência operacional e segurança com prioridade à identidade

A nossa terceira tendência decorre das duas primeiras. Com a crescente sofisticação dos ciberataques e um desejo cada vez maior de visar as infra-estruturas, os agentes de ameaças que antes se limitavam às ameaças informáticas estão a voltar a sua atenção para a tecnologia operacional (TO) e as cadeias de abastecimento. O objetivo: passar despercebido o tempo suficiente para perturbar as operações.

O que está a impulsionar esta tendência?

Tradicionalmente, as equipas de TI e OT têm tido objectivos e áreas de concentração separados.

"Os profissionais de segurança cibernética de TI concentram-se primeiro na segurança de TI", disse recentemente Hodgkinson à Cyber Magazine. "Querem proteger a informação contra roubo, impedir o acesso não autorizado aos sistemas de TI e impedir ataques de phishing aos seus utilizadores. Os engenheiros OT, no entanto, estão menos preocupados com estas coisas. Em vez disso, concentram-se nos controladores e sensores que afectam os processos e sistemas físicos.

"Como tal, estão preocupados com o tempo de atividade operacional, a segurança física e a segurança. [Um obstáculo para os profissionais de segurança é colmatar o fosso cultural com os engenheiros OT."

O infame ataque ao Colonial Pipeline de 2021 é um dos primeiros exemplos do tipo de ataque cruzado que os especialistas esperam ver aumentar em 2024. (Foi também um indicador precoce da mudança dos atacantes para infra-estruturas críticas).

O que pode fazer

"É vital que os operadores de infra-estruturas nacionais críticas tomem medidas para evitar que os atacantes se escondam nos seus sistemas", observou o diretor do NCSC, Paul Chichester, no ano passado.

O primeiro passo, diz Deuby, é "identificar os seus sistemas críticos - incluindo infra-estruturas como o Active Directory - antes que os ataques ocorram, e criar resiliência nesses sistemas".

Identifique os seus sistemas críticos - incluindo infra-estruturas como o Active Directory - antes que os ataques ocorram.

Sean Deuby, Tecnólogo Principal, Semperis

A segmentação da rede e o escalonamento administrativo também são passos importantes. Deuby recomenda o isolamento dos sistemas de TI e de autenticação dos sistemas de controlo de processos, bem como a garantia de que estes dois grupos de sistemas utilizam credenciais únicas.

O CEO da Semperis, Mickey Bresman, salienta que a resiliência da infraestrutura de identidade é a chave para a resiliência operacional global. Afinal de contas, os atacantes tentam quase sempre invadir a infraestrutura de identidade num esforço para aumentar os privilégios e obter acesso elevado.

"Qual é a diferença entre uma empresa que recupera num período de tempo relativamente curto após um ataque relacionado com a identidade e uma empresa cuja recuperação se arrasta durante dias ou semanas, incorrendo em enormes custos para a organização? Com base na minha experiência em primeira mão, concluí que a maior diferença é a capacidade da organização para orquestrar, automatizar e testar o processo de recuperação."

Conhecimento é poder

O conhecimento das tendências de cibersegurança, do comportamento e da motivação dos atacantes pode ajudá-lo a desenvolver uma estratégia de defesa cibernética e operacional sólida para evitar ataques baseados na identidade. Planear o pior não é paranoia; é uma atitude inteligente e necessária.

Precisa de ajuda para criar a sua estratégia? A nossa equipa de serviços de preparação e resposta a violações pode ajudar.