A Elastic lança hoje o Relatório Global de Ameaças da Elastic de 2022, que detalha a natureza evolutiva das ameaças de segurança cibernética, bem como a maior sofisticação dos ataques relacionados a endpoint e nuvem.
As tendências identificadas fornecem às organizações a inteligência operacional que precisam para fortalecer sua tecnologia de segurança e as estratégias necessárias para observar e proteger sistemas de negócios de missão crítica contra ameaças cibernéticas. Esse relatório é produzido pelo Elastic Security Labs, equipe de pesquisa de ameaças, análise de malware e engenharia de detecção da empresa, e compilado usando telemetria de implantações mundiais do Elastic Security de agosto de 2021 a agosto de 2022.
Algumas das principais tendências abordadas no relatório:
Erro humano representa o maior risco para a segurança na nuvem, pois os usuários superestimam a segurança de suas implantações na nuvem
Cerca de 1 em cada 3 (33%) dos ataques na nuvem utilizam o acesso a credenciais, indicando que os usuários frequentemente superestimam a segurança de seus ambientes de nuvem e, consequentemente, não os configuram e protegem adequadamente. Além disso, os agentes maliciosos estão se concentrando cada vez mais em explorar os pontos onde a tecnologia e as pessoas se cruzam, especialmente quando se trata de acesso a credenciais. A Elastic Security Labs descobriu que isso responde por 1 de cada 3 (33%) alertas de nuvem em todos os provedores de serviços de nuvem.
Outras descobertas importantes sobre segurança na nuvem:
• Quase 57% da telemetria de segurança na nuvem veio da AWS, seguida por 22% do Google Cloud e 21% do Azure.
• AWS: mais de 74% dos alertas foram relacionados a acesso de credenciais, acesso inicial e táticas de persistência, com quase 57% das técnicas relacionadas à tentativa de roubo de token de acesso à aplicação, uma das formas mais comuns de roubo de credenciais na nuvem.
• Google Cloud: quase 54% dos alertas foram relacionados ao uso inadequado de contas de serviço, com 52% das técnicas utilizando manipulação de contas, e indicando que o comprometimento da conta de serviço continua alto quando as credenciais padrão da conta não são alteradas.
• Microsoft Azure: mais de 96% dos alertas foram relacionados a eventos de autenticação, com 57% das técnicas direcionadas a contas válidas na tentativa de recuperar tokens OAUTH2.
• 58% das tentativas iniciais de acesso usaram uma combinação de tentativas tradicionais de força bruta e password spraying de contas anteriormente comprometidas.
Software comercial projetado para ajudar as equipes de segurança está sendo usado pelos agentes de ameaças para fugir dessas mesmas equipes
Embora o software comercial de simulação de adversário, como o CobaltStrike, seja útil para a defesa de ambientes de muitas equipes, ele também está sendo usado como uma ferramenta maliciosa para implantar malware em massa. O Elastic Security Labs descobriu que o CobaltStrike foi o binário ou carga malicioso mais disseminado para endpoints do Windows, representando quase 35% de todas as detecções, seguido pelo AgentTesla com 25% e pelo RedLineStealer com 10%.
Outras descobertas importantes sobre malware:
• Mais de 54% de todas as infecções globais por malware foram detectadas em endpoints do Windows, enquanto mais de 39% foram detectadas em endpoints do Linux.
• Quase 81% do malware observado globalmente é de trojans, seguido por criptomineradores com 11%.
• O MacKeeper classificou-se como a maior ameaça para MacOS em quase 48% de todas as detecções, com XCSSet na segunda posição com quase 17%.
Ataques a endpoints estão se tornando mais diversificados nos esforços para contornar as defesas
Mais de 50 técnicas de infiltração de endpoint estão sendo utilizadas por agentes de ameaças, sugerindo que a segurança de endpoint está funcionando bem, pois sua sofisticação exige que os agentes de ameaças busquem continuamente métodos de ataque novos ou inovadores para serem bem-sucedidos.
Três táticas do MITRE ATT&CK® representaram 66% de todas as técnicas de infiltração de endpoint:
• Uma combinação de 74% de todas as técnicas de evasão de defesa consistiu em mascaramento (44%) e execução de proxy binário do sistema (30%). Isso indica que, além de contornar a instrumentação de segurança, as técnicas de evasão de defesas também afetam a visibilidade, resultando em tempo de permanência mais longo para as ameaças;
• 59% das técnicas de execução eram relacionadas a interpretadores de scripts nativos e de comando, seguidas por uma porcentagem de 40% atribuída a uso inadequado da Instrumentação de Gerenciamento do Windows, indicando que os adversários usam o PowerShell, o Windows Script Host e os arquivos de atalho do Windows para executar comandos, scripts ou binários;
• Quase 77% de todas as técnicas de acesso a credenciais são atribuídas ao despejo de credenciais do sistema operacional com utilitários comumente conhecidos. Isso segue a tendência de os adversários confiarem em contas válidas para atrair menos suspeitas dos administradores em ambientes de implantação híbrida, com hospedagem local e provedores de serviços em nuvem.
Embora as técnicas de acesso a credenciais tenham sido uma prioridade para os invasores, o investimento do adversário em técnicas de evasão de defesas indica uma reação às melhorias nas tecnologias de segurança que têm afetado seu sucesso. Em combinação com técnicas de execução, os invasores conseguem contornar controles avançados de endpoint sem serem detectados nos ambientes das organizações.
“Para evitar ameaças de segurança cibernética com eficácia, as organizações precisam de mais do que apenas um ótimo software de segurança — elas precisam de um programa que inclua insights compartilhados e práticas recomendadas, além de uma comunidade com foco na inteligência de dados de segurança para estender o valor desse produto para os clientes”, disse Ken Exner, Diretor de Produto da Elastic.
