Especialistas da SANS apresentaram as cinco técnicas de ataque cibernético mais perigosas em sua palestra principal da RSA Conference 2018, em São Francisco, e compartilharam suas visões sobre como elas funcionam, como podem ser interrompidas ou pelo menos reduzidas, e como empresas e consumidores podem se preparar.

As cinco ameaças descritas nesse debate foram:

1. Repositórios e vazamento de dados de armazenamento em nuvem
2. Análise de Big Data, anonimização e correlação
3. Invasores monetizam sistemas comprometidos, usando mineradores de moeda criptografada
4. Reconhecimento de falhas de hardware
5. Mais malware e ataques interrompendo o ICS e utilitários em vez de buscar lucro .

Repositórios e vazamento de dados de armazenamento em nuvem

Ed Skoudis, responsável pelo Currículo de Testes de Penetração da SANS, falou sobre as ameaças de vazamento de dados que enfrentamos no aumento do uso de repositórios e armazenamento em nuvem:

“O software hoje é construído de uma maneira muito diferente do que era 10 ou até 5 anos atrás, com vastos repositórios de código on-line para colaboração e armazenamento de dados em nuvem hospedando aplicativos de missão crítica. No entanto, os invasores estão direcionando cada vez mais esses tipos de repositórios e infraestruturas de armazenamento em nuvem, procurando senhas, chaves criptográficas, tokens de acesso e terabytes de dados confidenciais.”

Ele continuou: “Os defensores precisam se concentrar em inventários de dados, nomear um curador de dados para sua organização e educar arquitetos e desenvolvedores de sistemas sobre como proteger ativos de dados na nuvem. Além disso, as grandes empresas de nuvem lançaram um serviço de AI para ajudar a classificar e defender dados em suas infraestruturas. E, finalmente, uma variedade de ferramentas gratuitas estão disponíveis para ajudar a prevenir e detectar o vazamento de segredos através de repositórios de código ”.

Análise de Big Data, desanunização e correlação

Skoudis continuou falando sobre a ameaça do Big Data Analytics e como os invasores estão usando dados de várias fontes para desanunizar os usuários:

“No passado, lutamos contra invasores que tentavam acessar nossas máquinas para roubar dados para uso criminoso. Agora, a batalha está mudando de máquinas de hackers para dados de hackers – coletando dados de fontes diferentes e unindo-os para desanimar usuários, encontrar pontos fracos e oportunidades de negócios ou minar a missão de uma organização. Ainda precisamos impedir que invasores obtenham shell em destinos para roubar dados. No entanto, os defensores também precisam começar a analisar os riscos associados a como seus dados aparentemente inócuos podem ser combinados com dados de outras fontes para apresentar riscos aos negócios, considerando cuidadosamente as implicações de privacidade de seus dados e seu potencial para manchar uma marca ou convidar a análise regulatória. .

Invasores monetizam sistemas comprometidos usando mineiros de moeda criptografada

Johannes Ullrich, é reitor de pesquisa, Instituto SANS e diretor do SANS Internet Storm Center. Ele tem observado o uso crescente de mineradores de moedas criptografadas por criminosos cibernéticos:

“No ano passado, falamos sobre como o ransomware era usado para vender dados de volta ao seu dono e as criptomoedas eram a ferramenta preferida para pagar o resgate. Mais recentemente, descobrimos que os invasores não estão mais incomodando com os dados. Devido à inundação de dados roubados oferecidos para venda, o valor dos dados mais comumente roubados, como números de cartão de crédito de PII, caiu significativamente. Em vez disso, os atacantes instalam mineiros de moeda criptografada. Esses ataques são mais furtivos e menos propensos a serem descobertos, e os atacantes podem ganhar dezenas de milhares de dólares por mês com mineiros de moeda criptografada. Os defensores, portanto, precisam aprender a detectar esses mineiros e identificar as vulnerabilidades que foram exploradas para instalá-los. ”

Reconhecimento de falhas de hardware

Ullrich, em seguida, passou a dizer que os desenvolvedores de software, muitas vezes assumem que o hardware é impecável e que esta é uma suposição perigosa. Ele explica o por quê e o que precisa ser feito:

“O hardware não é menos complexo do que o software e erros foram cometidos no desenvolvimento de hardware, assim como são feitos pelos desenvolvedores de software. O patch de hardware é muito mais difícil e muitas vezes não é possível sem substituir sistemas inteiros ou sofrer penalidades de desempenho significativas. Os desenvolvedores, portanto, precisam aprender a criar software sem depender de hardware para mitigar quaisquer problemas de segurança. Da mesma forma que o software usa criptografia em redes não confiáveis, o software precisa autenticar e criptografar dados no sistema. Alguns algoritmos emergentes de criptografia homomórfica podem permitir que os desenvolvedores operem em dados criptografados sem precisar descriptografá-los primeiro. ”

Mais malware e ataques interrompendo ICS e utilitários em vez de buscar lucro

Por fim, James Lyne, chefe de pesquisa e desenvolvimento do SANS Institute, discutiu a tendência crescente de malware e ataques que não são centrados no lucro, como vimos em grande parte no passado, mas focados na interrupção dos Sistemas de Controle Industrial (ICS) e utilitários:

“Dia a dia, a grande maioria dos códigos maliciosos tem incontestavelmente focado em fraude e lucro. No entanto, com a implantação implacável da tecnologia em nossas sociedades, a oportunidade de influência política ou mesmo militar só cresce. E raros ataques publicamente visíveis, como o Triton / TriSYS, mostram a capacidade e a intenção daqueles que procuram comprometer alguns dos componentes de maior risco dos ambientes industriais, ou seja, os sistemas de segurança que historicamente impediram quebras críticas de segurança e segurança. ”

Ele continuou: “Os sistemas ICS são relativamente imaturos e fáceis de explorar em comparação com o mundo da computação convencional. Muitos sistemas ICS não possuem as mitigações de sistemas operacionais e aplicativos modernos. A confiança na obscuridade ou no isolamento (ambos cada vez mais falsos) não os posicionam bem para resistir a um maior foco neles, e precisamos abordar isso como uma indústria. Mais preocupante é que os atacantes demonstraram que têm a inclinação e os recursos para diversificar seus ataques, visando os sensores que são usados ​​para fornecer dados aos próprios controladores industriais. Os próximos anos provavelmente verão algumas lições dolorosas sendo aprendidas à medida que esse domínio de ataque cresce, já que as mitigações são inconsistentes e bastante embrionárias ”.

Fonte: Help Net security

%d blogueiros gostam disto: