A FireEye divulgou o seu relatório Mandiant M-Trends 2019 no qual revela estatísticas, insights e percepções coletadas a partir das investigações realizadas. As principais descobertas incluem:
Tempo de exposição global decrescente
Em 2017, a duração média entre o início de uma invasão e a identificação por uma equipe interna foi de 57,5 dias. Em 2018, este período foi reduzido para 38 dias. Embora as organizações estejam melhorando e acelerando a descoberta de violações internamente, em vez de serem notificadas por uma fonte externa, como a aplicação da lei, há também um aumento nos ataques disruptivos, de resgate (como ransomware) ou outros tipos de ataques imediatamente visíveis. O tempo médio de exposição global antes de qualquer detecção – externa ou interna – também diminuiu cerca de um mês, passando de 101 dias, em 2017, para 78 dias, no ano passado. Apenas para efeitos de comparação, em 2011, os ciberatacantes permaneciam, em média, 416 dias dentro dos sistemas de organizações em todo o mundo.
Agentes de ameaças com ligação com seus respectivos países continuarão evoluindo e mudando
Por meio do rastreamento contínuo de agentes de ameaças da Coréia do Norte, Rússia, China, Irã e outros países, a FireEye observou esses atores aprimorando suas capacidades continuamente e mudando suas metas em alinhamento com suas agendas políticas e econômicas. Investimentos significativos forneceram a esses atores táticas, ferramentas e procedimentos mais sofisticados. Alguns se transformaram em atacantes ainda mais agressivos, enquanto outros melhoraram sua capacidade de se esconder e de permanecer persistentes por longos períodos.
Invasores estão se tornando cada vez mais persistentes
Os dados da FireEye fornecem evidências de que as organizações vítimas de um ataque direcionado provavelmente serão alvo dos mesmos grupos novamente. Dados globais de 2018 apontaram que 64% de todos os clientes em que a FireEye gerenciou a detecção e resposta aos incidentes, os quais eram anteriormente atendidos pela Mandiant, foram alvo novamente, nos últimos 19 meses, do mesmo grupo ou sofreram algum tipo de ataque por motivação similar, acima dos 56% registrados em 2017.
Vetores de ataque usados para atingir alvos
A atividade dos ciberatacantes atinge países em todo o mundo. Dentre esses ataques, a FireEye observou um aumento nos comprometimentos por meio de ataques de phishing durante a atividade de fusões e aquisições. Os atacantes também têm como alvo dados na nuvem, incluindo provedores de nuvem, empresas da área de telecomunicação e outros fornecedores de serviços, além de executar retargeting a organizações que foram vítimas no passado.
“Em 2018, a FireEye observou as organizações responderem mais rapidamente às violações do que nunca, mas também vimos os invasores cada vez mais sofisticados, à medida que adotam novos métodos”, afirma Jurgen Kutscher, vice-presidente executivo de Fornecimento de Serviços da FireEye.
O 10º relatório anual Mandiant M-Trends, da FireEye, está disponível para download aqui.