5 fases de um ataque cibernético: a visão do hacker
A segurança cibernética não é algo que você faz uma vez e pronto. É um processo contínuo que deve ser parte de tudo o que você faz.
No entanto, ninguém tem recursos para fazer tudo perfeitamente. Assim, seu objetivo deve ser uma melhoria constante. A melhoria começa com a compreensão dos riscos e do cenário da ameaça. Isso significa entender seus adversários, seus objetivos e como eles realizam seus ataques. Imagine um caso em que uma empresa tenha sido atingida por um ransomware. A empresa está lidando com um ataque direcionado com motivação financeira, mas o ransomware está sendo usado como uma capa para esconder as atividades mais direcionadas. O alvo real são os dados do cliente. Então, o que acontece em cada fase do ataque?
Fase 1: reconhecimento
O primeiro objetivo do invasor é identificar alvos em potencial para sua missão. O hacker é, quase sempre, motivado por ganhos financeiros, acesso a informações sensíveis ou danos à marca. O invasor pode coletar informações sobre a empresa pelo LinkedIn e/ou site corporativo, mapear a cadeia de suprimentos, obter planos de construção, informações sobre sistemas de segurança e pontos de entrada disponíveis. Ele pode até visitar o edifício da empresa, um evento ou falar com a secretária.
Ele ainda pode criar uma empresa falsa, registrar domínios e criar perfis falsos para fins de engenharia social. Uma vez que o hacker determina quais defesas estão vulneráveis, ele escolhe sua arma. O vetor selecionado é, muitas vezes, impossível de prevenir ou detectar. Pode ser um exploit de dia zero, um spear phishing ou ele pode subornar um empregado. Normalmente, há um impacto comercial mínimo. Após toda essa análise, o hacker está pronto para planejar um ataque.
Fase 2: intrusão e presença
Na segunda fase de um ataque cibernético, o hacker procura quebrar o perímetro corporativo e ganhar uma posição persistente no ambiente. Ele pode utilizar as técnicas de spear phishing para ganhar acesso à infraestrutura corporativa e baixar mais ferramentas para acessar o meio ambiente. Isso é praticamente intratável. É muito típico que a organizaçãovisada não consiga detectar ou responder ao ataque. Mesmo que seja detectado, é impossível deduzir que a própria empresa seja o objetivo final. Na prática, o hacker sempre é bem-sucedido. A intrusão inicial é expandida para um acesso remoto persistente, no ambiente da empresa, a longo prazo.
Fase 3: movimento lateral
Uma vez que o invasor estabeleceu uma conexão com a rede interna, ele procura comprometer sistemas e contas de usuários adicionais. Seu objetivo é expandir o ponto de apoio e identificar os sistemas que hospedam os dados de destino. O hacker procura servidores para localizar arquivos de senha e outros dados confidenciais e mapeia a rede para identificar o ambiente de destino. O invasor, muitas vezes, representa um usuário autorizado. Portanto, é muito difícil detectar o intruso nessa fase.
Fase 4: escalação de privilégio
O hacker procura identificar e obter o nível de privilégio necessário para alcançar seus objetivos. Ele tem controle sobre os canais de acesso e credenciais que obteve nas fases anteriores. Finalmente, o invasor ganha acesso aos dados de destino. Servidores de e-mails, sistemas de gerenciamento de documentos e dados do cliente estão comprometidos.
Fase 5: missão completa
O hacker chega ao estágio final de sua missão. Ele filtra os dados do cliente que estava buscando, sistemas corrompem sistemas críticos e interrompem as operações comerciais. Em seguida, ele destrói todas as provas com o ransomware. O custo para a empresa aumenta exponencialmente se o ataque não for derrotado. Normalmente, o alvo é atingido antes da detecção. As violações de dados são extremamente difíceis de detectar, porque o invasor usa ferramentas comuns e credenciais legítimas.
É por isso que você precisa ficar alerta o tempo todo. Você nunca irá parar de se preocupar com a segurança cibernética.
Nenhum comentário:
Postar um comentário