Download AnyDesk

Blog

deteção sophos
Atualidade Cibersegurança Sophos Tecnologia

Sophos: tempo entre o início de um ataque e a sua deteção diminuiu para 8 dias no primeiro semestre de 2023

Por Setembro 13, 2023

Os atacantes levam menos de um dia a chegar ao Active Directory – o ativo mais crítico das empresas.
A vasta maioria dos ataques de ransomware ocorre fora do horário de trabalho.

A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, lançou o seu Active Adversary Report for Tech Leaders 2023, um olhar aprofundado sobre os comportamentos e ferramentas dos atacantes durante o primeiro semestre de 2023. Depois de analisar os seus próprios casos de Resposta a Incidentes (IR) entre janeiro e julho, a equipa Sophos X-Ops descobriu que o tempo médio de permanência dos invasores – o tempo entre o início de um ataque e sua deteção – diminuiu de 10 para oito dias em todos os ataques, e para cinco dias nos ataques de ransomware. Em 2022, o tempo médio de permanência diminuíra de 15 para 10 dias.

Para além disso, a Sophos X-Ops descobriu que, em média, os atacantes levaram menos de um dia – cerca de 16 horas – a chegar ao Active Directory (AD), um dos ativos mais críticos de uma empresa. Geralmente o AD gere a identidade e o acesso aos recursos dentro de uma organização, o que significa que os atacantes o podem utilizar para aumentar facilmente os seus privilégios num sistema, simplesmente iniciando sessão e levando a cabo uma diversidade de atividades maliciosas.

“Atacar a infraestrutura do Active Directory de uma organização faz sentido do ponto de vista ofensivo. O AD é normalmente o sistema mais poderoso e privilegiado da rede, proporcionando um amplo acesso aos sistemas, aplicações, recursos e dados que os atacantes podem explorar nos seus ataques. Quando um atacante controla o AD, é capaz de controlar a organização. O Active Directory é um alvo pelo seu impacto, agravamento e sobrecarga na recuperação de um ataque,” afirmou John Shier, Field CTO da Sophos. “Alcançar e controlar o servidor do Active Directory na cadeia de ataque oferece aos adversários várias vantagens. Podem permanecer na rede sem serem detetados, definir o seu próximo passo e, assim que estiverem prontos, invadir a rede das vítimas sem obstruções. A recuperação total de um domínio comprometido pode ser um esforço longo e árduo, pois um ataque deste tipo prejudica a base de segurança em que assenta a infraestrutura de uma organização. Muitas vezes, um ataque bem-sucedido ao AD significa que uma equipa de segurança tem de começar o seu trabalho do zero.”

Outras conclusões:

  • O tempo de permanência nos ataques de ransomware também diminuiu. Foram o tipo de ataque mais prevalente nos casos de IR analisados, representando 69% dos casos investigados, e o tempo médio de permanência dos cibercriminosos nestes ataques foi de apenas cinco dias.
  • Em 81% dos ataques de ransomware, o payload final do ataque foi lançado fora do horário de trabalho tradicional. Entre os ataques lançados durante o horário de trabalho, apenas cinco ocorreram num dia útil.
  • O número de ataques detetados foi aumentando à medida que a semana avançava, sobretudo no caso dos ataques de ransomware. Quase metade (43%) dos ataques de ransomware foi detetada numa sexta-feira ou sábado.

“Temos sido, de certa forma, vítimas do nosso próprio sucesso. À medida que a adoção de tecnologias como o XDR e de serviços como o MDR aumenta, também aumenta a nossa capacidade de detetar ataques mais cedo. A redução dos tempos de deteção leva a uma resposta mais rápida, o que se traduz numa janela de operação mais curta para os atacantes. Ao mesmo tempo, estes têm estado a aperfeiçoar os seus manuais, especialmente no caso dos afiliados de ransomware experientes e com bons recursos, que continuam a acelerar os seus ataques aparatosos face a defesas melhoradas,” prosseguiu Shier. “Contudo, isto não significa que estejamos coletivamente mais seguros. Este facto é evidenciado pela uniformização dos tempos de permanência em ataques sem ransomware. Os atacantes continuam a entrar nas nossas redes e, quando não estão pressionados pelo tempo, tendem a ficar mais tempo. Todas as ferramentas do mundo não serão suficientes para nos salvar se não estivermos atentos. Para além das ferramentas certas, necessitamos de monitorização contínua e proativa para garantir que os criminosos têm um dia pior do que nós. É aqui que o MDR pode realmente colmatar a lacuna entre atacantes e equipas de defesa – porque mesmo quando os clientes não estão a ver o que se passa, nós estamos.”

O Sophos Active Adversary Report for Tech Leaders baseia-se em investigações de Resposta a Incidentes (IR) da Sophos em todo mundo e em 25 setores, entre janeiro e julho de 2023. Foram inquiridas organizações em 33 países diferentes em seis continentes, e 88% dos casos de IR foram registados em organizações com menos de 1.000 colaboradores.

Este relatório oferece aos profissionais de segurança informações acionáveis sobre ameaças, bem como conhecimentos para operacionalizarem melhor a sua estratégia de segurança e deteção. A Sophos Iberia explorará este tema em mais detalho no seu próximo evento em Portugal – o Cybersecurity as a Service Tour, que decorre no próximo dia 21 de setembro, em Lisboa.

Visualizações do artigo: 283
Tags:
×