Ameaças sofisticadas são mais facilmente encontradas por defesas sofisticadas.
Negócios de todos os tipos estão evoluindo, melhorando e inovando com o intuito de atrair e manter clientes. Isso se aplica às maiores empresas em todos os setores da indústria, bem como àquelas ligadas ao crime cibernético.
Assim como as empresas legítimas em todo o mundo buscam melhorar a segurança das informações e proteger a infraestrutura de rede, as empresas cibercriminosas devem tomar precauções semelhantes.
A Trend Micro Research divulgou o relatório final de uma série focada nesta parte dos negócios criminosos – provedores de hospedagem clandestina. Com base no relatório, fica claro que, compreender tanto o negócio criminoso que te visa quanto o próprio ataque, prepara melhor os defensores e investigadores para identificar e eliminar as ameaças.
Esse entendimento é ainda mais crítico para equipes de segurança agora em centros de operações de segurança (security operations centers ou SOCs), já que os analistas de SOC estão mais para investigadores do que para defensores. Ter uma visão completa das ameaças em um ambiente corporativo leva as equipes de segurança a ter um raciocínio parecido com o desses criminosos que estão tentando impedir.
Esses agentes maliciosos operam em um mercado especializado em todo o submundo do crime cibernético, com foco na infraestrutura por trás desse tipo de transgressão. A Trend Micro Research investigou os aspectos técnicos desse mercado, como os criminosos compram e vendem serviços de hospedagem e com quais proteções eles contam para proteger seus negócios.
Compreendendo as operações cibercriminosas
Os negócios cibercriminosos de hoje são construídos em hosters clandestinos, com um grande foco em evitar paralisações ou interrupções. Os provedores de hospedagem clandestina fazem de tudo para permanecer ativos em um cenário de negócios competitivo, atraindo e retendo o máximo possível de clientes (criminosos).
Como os hosters clandestinos são a raiz da infraestrutura cibercriminosa, esta pesquisa também compartilha vários métodos que podem ser usados pelos investigadores para identificá-los. Seja um investigador interno em uma empresa ou um investigador da lei, essas percepções sobre as operações cibercriminosas devem ser acionáveis – especialmente quando combinadas com a funcionalidade técnica de XDR.
Visibilidade holística de ataques corporativos
Muitas das grandes empresas estão adicionando os SOCs para monitorar a postura de proteção completa de sua organização. Esses SOCs de alto funcionamento exigem ferramentas como o XDR, que conectam todos os seus dados e correlacionam inteligência de ameaças entre endpoints, infraestrutura de nuvem híbrida e e-mail para ter alertas claros e acionáveis.
Isso fornece a visibilidade e a compreensão dos ataques cibernéticos necessários não apenas para impedir que um malware seja executado de modo descontrolado, como também a corrigir o local por onde ele entrou, verificar se nada mais foi infectado e garantir que o invasor que colocou o malware em seu sistema ainda não está à espreita em algum lugar.
Desse modo, os defensores hoje passaram a ser também investigadores. Nesse nível de sofisticação de segurança, você também precisa entender como os criminosos operam para se defender estrategicamente contra eles e detê-los em seus rastros.
Conhecimento Técnico + Conhecimento de Pessoas = Impedindo Atacantes
Os métodos descritos no relatório para identificar bulletproof hosters (BPH) incluem:
- Identifique certos intervalos de IP em listas públicas de negação e um grande número de solicitações públicas de abuso para um segmento de IP específico.
- Análise do comportamento do sistema autônomo e informações de peering. Muitos provedores upstream legítimos que fazem parceria com bulletproof hosters (BPHs) usam sistemas autônomos para que possam lidar com solicitações de abuso sem desconectar o BPH da Internet.
- Assim que um host BPH for detectado, use a impressão digital da máquina para detectar outros que podem estar vinculados ao mesmo provedor.
As táticas acima reforçam a razão de uma única visão das detecções de ameaças correlacionadas em um ambiente corporativo ser crítica para uma defesa eficaz.
Por exemplo, um analista SOC pode saber que há algum malware em sua rede que está conectado a um IP registrado no País A. Isso é um bom começo, mas uma análise eficaz poderia deixar você saber que se trata de uma empresa de fachada, enquanto os servidores reais estão no país B. Também seria essencial ver que o bloqueio desse IP simplesmente resulta na saída dos invasores de um novo IP no dia seguinte.
Ter todas essas informações conectadas ajuda você a tomar melhores decisões sobre como lidar com a ameaça do quadro geral. E saber os principais motivos pelos quais os criminosos hospedam servidores em um determinado país pode explicar quais são as motivações que eles têm para direcionar seus negócios.
Em última análise, esse entendimento, correlação avançada e investigações aprimoradas levam à perda de lucros das empresas cibercriminosas. Se eles não podem ganhar dinheiro, eles não podem manter suas operações atuais.
A missão da Trend Micro é tornar o mundo digital mais seguro para a troca de informações. Interromper o crime cibernético por meio da Trend Micro Research e do XDR é uma das maneiras pelas quais trabalhamos para cumprir essa missão todos os dias.