Fonte: Panda Security

O PandaLabs, o laboratório de segurança da Panda Security, detalha e analisa as questões básicas que afetam a segurança cibernética no Relatório de Insights sobre ameaças de 2020

Os ataques cibernéticos estão em constante evolução e, ao mesmo tempo, estão se tornando mais frequentes. Por esse motivo, os profissionais de segurança cibernética devem olhar além das ideias tradicionais e deixar para trás estratégias puramente reativas e adotar uma abordagem mais proativa e progressiva. Proteger o endpoint da mesma maneira que sempre foi protegido não é mais suficiente. Atualmente, as ameaças se multiplicam e mudam tão rapidamente que as empresas não podem mais depender de ferramentas de defesa manual para garantir a segurança cibernética.

Além disso, em 2020, toda infraestrutura ou ambiente de TI precisa considerar o que pode vir no futuro. Portanto, é vital empregar soluções de segurança cibernética com várias camadas que podem monitorar malware em tempo real para descobrir padrões de comportamento e eliminar todos os tipos de ameaças persistentes avançadas, ataques sem arquivos e outras atividades maliciosas que podem pôr em risco a organização. Os endpoints devem ser protegidos usando uma abordagem que combine a proteção avançada de endpoint (EPP) e a detecção e resposta de endpoint (EDR), com uma postura de segurança de confiança zero apoiada por inteligência artificial.

O PandaLabs, laboratório de segurança da Panda Security, multinacional espanhola líder em soluções e serviços avançados de segurança cibernética e ferramentas de gerenciamento e controle, escreveu o Relatório de Insights sobre Ameaças de 2020 que ressalta a importância da proteção avançada. Para isso, analisou e detalhou vários aspectos-chave no campo da segurança cibernética:

  1. Insights com base em dados, não em intuição. A segurança do endpoint requer uma enorme quantidade de dados a serem coletados e analisados. Esses dados abastecem tudo, da inteligência artificial que analisa os comportamentos e cria padrões até os serviços de caça de ameaças, responsáveis por interceptar as ameaças antes que elas possam atacar. Na defesa cibernética, os dados dos endpoints fornecem um nível de visibilidade essencial que pode oferecer proteção de primeira linha e ver o que está acontecendo em todos os dispositivos, redes e conexões. Dessa forma, é possível detectar qualquer mudança, tendência ou anomalia no cenário global de ameaças. Sem esse alto nível de visibilidade, agora e no futuro, os criminosos cibernéticos poderão percorrer as redes com facilidade.
  2. Hotspots globais: os atacantes ou atacados? De acordo com os dados coletados pelo PandaLabs, a Tailândia é o país com mais detecções por endpoint (40,88), enquanto os EUA são o 14º na lista (0,12). O Oriente Médio e a América do Sul são as regiões com maior concentração de alvos. Estes números levam a uma conclusão surpreendente: estes países são alvos atraentes para os ataques cibernéticos porque existem muitos sistemas expostos e mal protegidos, o que significa que os hackers tiveram um impacto maior e mais sucesso neles. Além disso, é razoável supor que esses não são os alvos finais, mas que esses sistemas comprometidos são a fonte de outros ataques contra alvos em todo o mundo.
  3. A comprovação está no PDF: os ataques com base em arquivos persistem. Agentes ruins usam extensões de arquivo para realizar suas atividades. Por trás de cada extensão, há uma vulnerabilidade na maneira como o arquivo é projetado, que pode ser explorada em todos os tipos de atividades de crimes cibernéticos (phishing, por exemplo). No topo da classificação das extensões de arquivo mais acessadas em 2019 estão .pdf, .odf, .job, .pem e .mdb. Outras extensões, como .xls, .doc ou .ppt, também fazem parte da lista.
  4. Os limites da lista de permissões. Hoje, com o aumento da segurança baseada em políticas de confiança zero, muitos profissionais de segurança cibernética negligenciam a proteção de aplicativos na lista de permissões, acreditando que eles são confiáveis. Entretanto, as listas de permissões, assim como as listas negras, têm seus limites: não apenas as ameaças são capazes de contornar os aplicativos de segurança usados nesses espaços, mas também podem explorar especificamente o software nessas listas. Felizmente, o monitoramento ativo de todos os softwares e processos ultrapassa os limites da lista de permissões. Se absolutamente todas as atividades dos endpoints forem monitoradas, o malware será identificado e não poderá ser executado, e o goodware não poderá ser usado para fins maliciosos.
  5. A nova ameaça: ataques sem arquivo. Existem ferramentas de produtividade, navegadores e componentes de sistema operacional que são onipresentes na grande maioria dos endpoints que geralmente são incluídos na lista de permissões. Nenhum aplicativo ou executável nesta lista seria classificado como suspeito, muito menos malware. Isto os torna vetores ideais para ataques sem arquivos, atividade hacker ao vivo, ataques living-off-the-land (LotL) e muitos outros. Para manter os sistemas seguros, é necessário ter uma tecnologia antiexploit. Como mostram os dados coletados pelo PandaLabs, os três principais aplicativos mais comumente explorados são Firefox, Microsoft Outlook e Internet Explorer.
  6. Uma solução, múltiplas camadas. Nem todas as ameaças cibernéticas são iguais e, quando os sistemas interrompem uma ameaça, podem deixar que outras passem despercebidas. É por isso que as organizações precisam de uma combinação de tecnologias locais baseadas em assinaturas, tecnologias baseadas em nuvem e análise comportamental baseada no contexto para detectar e responder a ameaças cibernéticas de forma adequada.

“As ameaças cibernéticas nunca foram tão variadas quanto são agora. Em um determinado dia, um endpoint pode encontrar um golpe de phishing com link para um arquivo malicioso, adquirir ransomware de um site falsificado, ser vítima de um ataque insidioso sem arquivo que se mantém oculto na memória por semanas, meses ou mais. Em um momento em que o número de ameaças cresce e evolui constantemente, os profissionais de TI devem implantar todas as ferramentas disponíveis com o objetivo de manter a segurança das redes”, explica a equipe do PandaLabs.