56% dos incidentes de SI exploram serviços remotos externos

Entre os serviços relatados pela pesquisa estão equipamentos de borda, como firewalls e VPNs. Credenciais comprometidas foram a principal origem desses acessos maliciosos

Compartilhar:

A Sophos anunciou o lançamento de um relatório que detalha a principal maneira que ocorrem os incidentes de cibersegurança. Segundo o Sophos Active Adversary Report, a maioria (56%) dos atacantes tiveram acesso inicial às redes explorando serviços remotos externos, o que inclui dispositivos de borda, como firewalls e VPNs, utilizando contas válidas.

 

A pesquisa descobriu o comportamento e as técnicas dos invasores em mais de 400 casos de Detecção e Resposta Gerenciada (MDR) e Resposta a Incidentes (IR) em 2024. A combinação de serviços remotos externos e contas válidas está alinhada com as causas primordiais dos ataques.

 

No relatório, as credenciais comprometidas foram a principal origem das invasões (41% dos casos), seguido por exploração de vulnerabilidades (21,79%) e ameaças de força bruta (21,07%).

 

E ao estudar as investigações de MDR e IR, a equipe do Sophos X-Ops analisou os casos de ransomware, extração e extorsão de dados para identificar a rapidez com que os invasores progrediram pelos estágios de um ataque dentro de uma organização.

 

 

Nesses três tipos de casos, o tempo médio entre o início e a extração foi de apenas 72,98 horas, equivalente a 3,04 dias. Além disso, os dados apontaram uma média de apenas 2,7 horas entre a obtenção do arquivo e a detecção da ameaça.

 

Outro fator importante, levantado na pesquisa, foi que os invasores podem assumir o controle de um sistema em apenas 11 horas. Esse é o tempo médio entre a ação inicial dos atacantes e sua primeira tentativa, muitas vezes bem-sucedida, de violar o Active Directory (AD) . Se concluídos com êxito, os invasores poderiam assumir o controle da organização com mais facilidade. 

 

A Sophos, responsável pela produção do relatório, recomendou que algumas medidas fossem implantadas como bloquear portas RDP expostas, usar autenticação multifatorial (MFA) resistente a phishing e fazer o patch dos sistemas vulneráveis em tempo hábil, com foco especial nos dispositivos e serviços voltados para a Internet.

 

Além disso, reforçou como importante a implantação de EDR ou MDR, garantindo também sua monitoração 24 horas por dia, sete dias por semana. A organização afirmou que é preciso estabelecer um plano abrangente de resposta a incidentes e testá-lo regularmente por meio de simulações ou tabletops.

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA