Sempre que as pessoas pensam em APTs e ataques direcionados, elas perguntam: quem fez isso? O que eles queriam? Embora essas perguntas tenham algum interesse, pensamos que é muito mais importante perguntar: quais informações sobre o agressor podem ajudar as empresas a se protegerem melhor?
Vamos olhar para as coisas da perspectiva de um administrador de rede tentando defender sua empresa. Se alguém quer determinar quem está por trás de um ataque contra sua empresa, talvez a primeira coisa que eles procurarão são os locais do endereço IP para tentar determinar o local de um agressor. Porém, digamos que um ataque foi rastreado a um servidor na Coreia. Não quer dizer que quem quer que seja o responsável pelo ataque também comprometeu esse servidor? O que o faz pensar que o proprietário do site irá cooperar com suas investigações?
No caso de agressores sofisticados, é bastante comum que um agressor salte de uma máquina comprometida para outra. Você pode tentar rastrear o máximo possível, mas isso raramente lhe dirá alguma coisa sobre o agressor. Você realmente não tem acesso a muitas informações sobre o agressor que, digamos, as agências de inteligência podem ter. Temos as bases de dados de código aberto, mas elas só vão até um certo ponto. Às vezes, os agressores cometem erros – é quando conseguimos dizer quem eles são, quem são seus alvos, etc. Mas se você está defendendo uma empresa, não pode contar com isso.
Sabendo que tipo de ataque você está combatendo
Isso não quer dizer que você deva ignorar completamente quem o está atacando. Em vez de quem são eles, o que importa mais é saber o que eles são capazes de fazer. Por exemplo, se alguém está o atacando com ferramentas com um script comum que qualquer um possa pegar na Internet, provavelmente não é uma ameaça séria. Se alguém o está atacando com vulnerabilidades novas e um malware bem elaborado, preste atenção.
Seus recursos também podem refletir suas intenções. Por exemplo, é mais provável que vandalismo (como a desfiguração de um site) seja o objetivo de um hacktivista, não de um estado nação. Entender que tipo de adversário você enfrenta dá a você uma melhor compreensão de seus motivos. Mas, o objetivo mais frequente de muitos ataques é o roubo de dados. Às vezes, podem ser dados financeiros que podem ser transformados em dinheiro na hora, como informações de pagamento. Às vezes, podem ser informações mais sensíveis, como segredos da empresa.
Não precisa acontecer uma violação de dados que cause um grande vazamento e termine nas principais páginas de todos os sites de notícias técnicas. Pode ser mais gradual: pode ser um backdoor dentro de sua rede que está lá há meses, vazando informações devagar sem que ninguém saiba. Quando muito, é o que muitos agressores querem: um vazamento constante de informações de seu alvo. O acesso, por si só, pode também se tornar uma mercadoria: imagine um anúncio no submundo do cibercrime que diz: “Por $10.000 dólares eu lhe dou acesso a Empresa A”. Imagine que você seja um administrador de rede da Empresa A e veja isso.
Defesa contra más intenções
Então, como você se defende contra tudo isso? Detecção de violação agora é de suma importância. Entender o que é normal e o que não é dentro de sua rede para que você possa rapidamente descobrir o que não é normal e, portanto, possivelmente malicioso. Você não pode mais supor que defesas de perímetro serão capazes de impedir que todos os ataques cheguem a sua empresa. Em vez disso, você tem que supor que algum tipo de comprometimento irá eventualmente acontecer e trabalhar na detecção de tal violação o mais rápido possível.
Congruente com isso, deve haver um plano de resposta a incidentes estabelecido. Especialmente para violações graves, em grande escala, é extremamente importante saber o que fazer, adquirir as ferramentas necessárias, ter as pessoas certas e fornecer o treinamento adequado para que, quando um grave incidente ocorrer, as pessoas possam responder de acordo com um plano cuidadosamente pensado, ao invés de reagir de uma maneira apressada e em pânico. Uma resposta mal preparada pode causar um dano significativo a uma empresa, tanto em termos materiais quanto em relação a sua reputação.
Isso está acontecendo em um época em que as empresas sabem a importância da ciberssegurança. Anos atrás quando acontecia um incidente de segurança, um infeliz administrador de sistema – ou talvez um gerente de nível médio – seria considerado responsável e seria despedido. Agora? Agora CIOs e CISOs são despedidos devido a violações de segurança. É bom que agora as empresas levem isso a sério, mas se você é um dos CIOs ou CISOs, pode não ser bom para você.
Então, resumindo: atribuições e motivos são importantes? Atribuição é importante, mas do ponto de vista da defesa, os motivos são mais importantes. Eles mostram como os atores de ameaças se comportam depois de entrarem em sua rede e isso, por sua vez, influencia como você deve configurar suas próprias defesas.
Para melhorar seu conhecimento sobre ataques direcionados e o que pode ser feito para se defender contra eles, lançamos a campanha Entendendo os Ataques Direcionados em nosso Hub de Ataques Direcionados, onde retomamos a definição de ataques direcionados e o o que você pode aprender com nossas análises sobre esses ataques. Você pode ver nossa parte introdutória, Entendendo os ataques direcionados: O que é um ataque direcionado?
