O PandaLabs, o laboratório de segurança da Panda Security, pormenoriza e analisa os fundamentos que afetam a segurança cibernética no Threat Insihts Report 2020.
Os ataques cibernéticos estão em constante evolução e, ao mesmo tempo, estão a tornar-se mais frequentes. Por esse motivo, os profissionais de segurança cibernética “devem olhar além das ideias tradicionais e deixar para trás estratégias puramente reactivas e adoptar uma abordagem mais pro-cativa e progressiva”, diz a Panda Security. “Proteger o endpoint da mesma maneira que sempre foi protegido já não é suficiente”, refere.
É “vital empregar soluções de segurança cibernética de várias camadas que podem monitorizar malware em tempo real para descobrir padrões de comportamento e eliminar todos os tipos de ameaças persistentes avançadas, ataques fileless e outras actividades maliciosas que podem colocar em risco a organização”. Os endpoints devem ser protegidos “utilizando uma abordagem que combine protecção endpoint avançada (EPP) e detecção e resposta de endpoint (EDR), em conjunto com uma postura de segurança de confiança zero apoiada em inteligência artificial”.
O PandaLabs, o laboratório de segurança da Panda Security, elaborou o Threat Insights Report 2020 para esclarecer sobre a importância da protecção avançada. Para isso, analisou e explicou pormenorizadamente vários aspectos-chave no campo da segurança cibernética:
Insights baseados em dados, não intuição. A segurança do endpoint requer que a recolha e análise de uma enorme quantidade de dados que alimenta tudo, desde a inteligência artificial que analisa comportamentos e cria padrões até os serviços de threat hunting, responsáveis por interceptar as ameaças antes que elas possam atacar.
Na defesa cibernética, os dados dos endpoints fornecem um nível de visibilidade essencial para poder oferecer protecção de primeiro nível e ver o que está a acontecer em todos os dispositivos, redes e conexões. Deste modo, é possível detectar qualquer mudança, tendência ou anomalia no cenário global de ameaças. Sem este alto nível de visibilidade, agora e no futuro, os cibercriminosos poderão mover-se através de redes com facilidade.
Hotspots globais: atacantes ou atacados? De acordo com os dados recolhidos pelo PandaLabs, a Tailândia encabeça a lista dos 20 países com mais detecções por endpoint (40,88. O Médio Oriente e a América do Sul são as regiões com maior concentração de alvos.
Estes números levam a uma conclusão; estes países são alvos atraentes para os ciberataques porque existem muitos sistemas expostos e mal protegidos, “o que significa que os hackers têm mais impacto e obtém maior sucesso”. Além disso, é razoável supor que estes não são os alvos finais, e sim que estes sistemas comprometidos são a fonte de outros ataques contra alvos em todo o mundo.
Persistência dos ataques baseados em ficheiros. Os criminosos usam extensões de ficheiros para realizar as suas actividades. Por trás de cada extensão, há uma vulnerabilidade no design do ficheiro, que pode ser explorado para todos os tipos de actividades cibercriminosas (phishing, por exemplo).
No topo da classificação das extensões de ficheiros mais acedidas em 2019, estão .pdf, .odf, .job, .pem e .mdb. Outras, como .xls, .doc ou. ppt também fazem parte da lista.
pubOs limites da lista de permissões. Com o aumento da segurança baseada em políticas de confiança zero, muitos profissionais de segurança cibernética negligenciam a protecção das aplicações em whitelisting, acreditando que são confiáveis. Mas as whitelists, tal como as blasklists, têm seus limites: não só as ameaças são capazes de contornar as aplicações de segurança usadas nestes espaços, mas também podem explorar o software que existe nestas listas.
Se todas as actividades dos endpoints forem monitorizadas, o malware será identificado e não poderá ser executado, e o goodware não poderá ser utilizado para fins maliciosos.
A nova ameaça: ataques fileless. Existem ferramentas de produtividade, browsers e componentes de sistema operativo presentes na grande maioria dos endpoints e que geralmente são incluídos na lista de permissões, de modo que nenhuma aplicação ou executável nestas listas é classificado como suspeito e, muito menos como malware. Isso torna-os vetores ideais para ataques fileless, hacking ao vivo, ataques Living-off-the-Land (LotL) e muitos outros. Para manter os sistemas seguros, é necessário ter uma tecnologia anti-exploit.
Como mostram os dados recolhidos pelo PandaLabs, as três principais aplicações comumente explorados são Firefox, Microsoft Outlook e Internet Explorer.
Uma solução, várias camadas. A ameaças cibernéticas não são todas iguais e, quando o sistema bloqueia uma ameaça, pode deixar passar outras que não são detectadas. É por isso que as organizações precisam de uma combinação de ferramentas locais baseadas em assinaturas, tecnologias baseadas na cloud e análise comportamental baseada em contexto para detectar e responder adequadamente às ameaças cibernéticas.
