Atualmente, as empresas não podem correr riscos com sua segurança cibernética. Um único ponto fraco pode possibilitar atividades maliciosas que podem derrubar uma empresa. Conforme as empresas buscam fortalecer suas proteções contra hackers, parte dos insights mais poderosos vêm das pessoas contra as quais essas medidas de segurança cibernéticas têm a intenção de proteger.
Com isso em mente, a Nuix realizou uma pesquisa no evento DEFCON em Las Vegas em 2016, nomeada de O Relatório Negro. Em vez de entrevistar os tomadores de decisões corporativos, líderes de TI e administradores de segurança, a pesquisa procurou coletar informações diretamente na fonte, por assim dizer.
O acesso sob um novo ponto de vista
Esta pesquisa representa algo totalmente diferente para a área de segurança cibernética, na qual tantos estudos se concentram em profissionais de TI. Embora esses relatórios sejam sem dúvida importantes, obter acesso ao ponto de vista de um hacker também tem seus méritos.
Além de entrevistar os próprios criminosos cibernéticos, o Relatório Negro também inclui insights de testadores de penetração que, de acordo com um testador, executam quase os mesmos processos que os hackers, mas com o benefício de uma declaração de trabalho que torna isso legal. No geral, um total de 70 black hat hackers (hackers criminosos) e pen testers (testadores) – ou white hat hackers (hackers legalizados) – foram incluídos na pesquisa.
Hector Monsegur, ex-black hat hacker e atualmente diretor de avaliações do Rhino Security Labs, disse à TechTarget que este tipo de pesquisa é particularmente fundamental, pois pode realçar detalhes de segurança que capacitam indivíduos e empresas como um todo.
“Normalmente, um hacker leva apenas 24 horas para forçar uma intrusão bem-sucedida”.
“Analisar as ideias e experiências [dos hackers e dos testadores de penetração] com relação à segurança cibernética é um bom primeiro passo”, Monsegur disse TechTarget. “Apesar de conferências como a DEFCON, Black Hat, HackInTheBox, etc., fornecerem uma saída para que esses pesquisadores ´possam divulgar informações, metodologias e técnicas de vulnerabilidade, a verdade é que a maioria das pessoas simplesmente não sabem como acessar este conteúdo ou sequer sabem que ele existe.”
Principais percepções da comunidade criminosa cibernética
Outro benefício deste tipo de pesquisa é a capacidade de ver como as respostas de hackers diferem das respostas dos profissionais de TI e de outros representantes das empresas que os cibercriminosos procuram atacar.
“É importante entender como o adversário pensa e age,” disse Chris Pogue, Nuix CISO. “Quanto mais os defensores sabem, melhor eles podem se preparar.”
Alguns insights se mostraram completamente contrários a certas crenças fundamentais para as estratégias de segurança cibernética no passado. Entre as descobertas surpreendentes estão:
- O tempo para invasão está diminuindo: Uma das estatísticas mais surpreendentes mostrou a velocidade com a qual os hackers atuais são efetivamente capazes de invadir um sistema-alvo. Embora a Nuix tenha informado que pode levar de 250 a 300 dias para que as empresas detectem uma violação de dados, normalmente um hacker leva apenas 24 horas para forçar uma intrusão bem-sucedida e roubar dados do alvo. De fato, o estudo também descobriu que cerca de um terço dos ataques nunca são descobertos pela empresa-alvo. “As organizações precisam melhorar muito a detecção e correção de falhas, usando uma combinação de pessoas e tecnologia,” concluiu Pogue.
- Certas medidas de proteção tradicionais não funcionam: O estudo também constatou que, apesar da fé em garantias de segurança convencionais, como firewalls e soluções de antivírus, os hackers notaram que essas proteções quase nunca são bem-sucedidas em seus esforços de retardar ataques maliciosos. A notícia boa é que foi comprovado que as proteções de segurança para endpoints ajudam a mitigar as atividades de hackers.
- Os hackers não usam sempre a mesma abordagem: Ao contrário da crença de que os hackers se apegam a uma técnica quando descobrem que ela funciona, o estudo descobriu que mais de 50% dos cibercriminosos mudam sua abordagem a cada novo alvo. Isto significa que os criminosos estão criando metodologias potencialmente inéditas contra as quais não é possível proteger a empresa com uma solução baseada em ataques conhecidos. Além disso, isso também aumenta as chances de que a empresa se torne vítima de uma vulnerabilidade zero-day.
- Exploit kits não são tão populares: também foi uma surpresa para os pesquisadores descobrir que exploit kits não estão no topo da lista de ferramentas sendo utilizadas para dar suporte aos ataques. De fato, apesar da maioria dos hackers usar a engenharia social (72%) para coletar informações antes de uma invasão, as ferramentas comerciais e exploit kits são usados apenas em 3% dos ataques. A maioria dos criminosos prefere ferramentas de código aberto (60 por cento) ou ferramentas personalizadas (21 por cento).
“Os exploit kits vendidos na dark web geralmente são defeituosos, muito específicos e frequentemente não tem backdoor”, explicou Monsegur, observando que os hackers de hoje em dia simplesmente não confiam nesses kits.
Entenda um ataque comum
Mesmo com as mudanças nas ferramentas para identificar o ataque e nas abordagens de invasão, os ataques direcionados ainda seguem o mesmo fluxo. De acordo com a Trend Micro, um ataque direcionado começa da seguinte forma:
- Coleta de informações (engenharia social) da empresa-alvo e, potencialmente, de funcionários e líderes da empresa.
- Em seguida, o hacker foca em um dispositivo individual de um funcionário. Podendo ser um endpoint da empresa ou um dispositivo suportado por um programa BYOD da empresa. Ambos os pontos vão fornecer o acesso que o hacker precisa para entrar na rede da empresa.
- Depois do dispositivo ser atacado e invadido, o cibercriminoso estabelece um servidor de Comando e Controle e cria um link na rede da vítima.
- O hacker então se movimenta lateralmente na rede da empresa, procurando por dados valiosos que ele envia através do servidor de C&C.
- Por fim, os dados são extraídos. Isso, no entanto, não significa que o ataque tenha sido concluído – o criminoso cibernético pode permanecer indetectável por dias ou até meses, localizando e extraindo novos dados o tempo todo.
Para melhorar a segurança empresarial, é preciso compreender o ponto de vista do inimigo. Ao coletar informações sobre os processos, metodologias e ferramentas que os hackers usam hoje em dia, as empresas podem proteger melhor suas informações confidenciais e sua reputação.