Detetar quando e por onde entram cibercriminosos continua um mistério

A Sophos anunciou os resultados do seu estudo global, “7 Uncomfortable Truths of Endpoint Security”, onde revela que os gestores de IT têm muito mais probabilidade de conseguir capturar cibercriminosos nos servidores das organizações e nas redes, do que em qualquer outro lugar.

Os gestores de IT descobriram 37% dos ciberataques mais significantes nos servidores das organizações e 37% nas suas redes. Apenas 17% foram descobertos no endpoint e 10% foram encontrados em dispositivos móveis. O estudo inquiriu mais de 3.100 decisores de TI desde empresas médias em 12 países, incluindo os Estados Unidos, Canadá, México, Colômbia, Brasil, Reino Unido, França, Alemanha, Austrália, Japão, Índia e África do Sul.

“Os servidores guardam dados financeiros, dos colaboradores, confidenciais e outros sensíveis, e com leis mais rigorosas como RGPD que exigem que as organizações reportem violações de dados, as ameaças de segurança ao servidor são uma constante. Faz sentido que os gestores de TI estejam focados na proteção dos servidores cruciais para o negócio e em impedirem em primeiro lugar a entrada na rede pelos atacantes, o que conduz a mais deteções de cibercriminos nestas duas áreas”, refere Chester Wisniewski, Principal Research Scientist da Sophos. “No entanto, os gestores de TI não podem ignorar os endpoints porque a maioria dos ciberataques começam por aí, contudo uma quantidade superior ao previsto de gestores TI continua sem conseguir identificar a forma como as ameaças estão a alcançar o sistema e quando”.

De acordo com o estudo, 20% dos gestores de TI que foram vítimas de um ou mais ciberataques no ano passado não conseguem identificar como os atacantes conseguiram entrar, e 17% não sabem por quanto tempo esteve a ameaça presente antes de ser detetada. Para melhorar esta falta de visibilidade, os gestores TI precisam de uma tecnologia de deteção e resposta endpoint (EDR) que revela os pontos de inicias da ameaça e o rastro digital dos atacantes que se movem lateralmente pela rede.

“Se os gestores de TI não conhecem a origem ou movimento de um ataque, não conseguem então minimizar o risco e interromper a corrente do ataque, de forma a evitar ainda mais infiltrações”, declara Wisniewski. “A EDR ajuda os gestores de TI a identificar o risco e a estabelecerem um processo para as organizações nos dois extremos do modelo de maturidade da segurança. Se o TI está mais focado na deteção, a EDR pode descobrir, bloquear e remediar mais rapidamente; se o TI continua a desenvolver uma base de segurança, a EDR é uma parte integrante que proporciona a inteligência de ameaças necessária”.

De acordo com a pesquisa, em média, as organizações que investigam um ou mais potenciais incidentes de segurança todos os meses, despendem 48 dias por ano (quatro dias por mês) a investigá-los.

Não é por isso surpreendente que os gestores de IT tenham indicado “identificação de eventos suspeitos” (27%), “gestão de alerta” (18%) e “priorização de eventos suspeitos” (13%) como os três elementos principais que as soluções EDR devem responder para reduzir o tempo gasto na identificação e resposta aos alertas de segurança.

“A maioria dos ciberataques spray and pray podem ser interrompidos em segundos no endpoint sem causar alarme. Os atacantes mais persistentes, incluindo os que executam ransomware direcionado como o SamSam, levam o tempo necessário para entrar no sistema, ao descobrir palavras-chave fáceis de adivinhar e mal escolhidas em sistemas remotamente acessíveis (RDP, VNC, VPN, etc.), estabelecem uma base e movimentam-se silenciosamente até causar prejuízo”, diz Wisniewski. “Se os gestores de TI têm defesa em profundidade com a EDR, podem também investigar um incidente mais rapidamente e utilizar a inteligência da ameaça que daí resulta para os ajudar a encontrar a mesma infeção ao longo do sistema. Uma vez que os cibercriminosos conheçam a forma como certo tipo de ataques funciona, reproduzem-nos normalmente dentro das organizações. Descobrir e bloquear ataques padrão irá ajudá-lo a reduzir o número de dias que os gestores de TI despendem na investigação de potenciais incidentes”.