Atores de ameaças precisam cada vez menos tempo para aquisições de rede
A empresa de segurança CrowdStrike publicou recentemente um novo relatório interessante de "caça a ameaças", que lança luz sobre uma tendência preocupante entre os agentes de ameaças. O relatório mostra que os hackers precisam cada vez menos tempo para ir da violação inicial e cracking de um sistema em uma rede aberta para obter acesso total e mover-se lateralmente por toda a rede.
CrowdStrike usou dados coletados de quase 250 mil endpoints usados pelos clientes da empresa e os usou em seu relatório. Os dados mostram que, em média, os agentes de ameaças precisaram de cerca de uma hora e meia para ir da infiltração inicial ao movimento lateral na rede da vítima.
O movimento lateral, por definição, é o ponto em que o agente da ameaça conseguiu implantar contramedidas para interromper a detecção e é capaz de se mover entre diferentes máquinas host em uma rede, tendo acesso aos seus sistemas de arquivos e sendo capaz de implantar malware adicional neles , bem como exfiltrar dados deles.
Apenas essa definição simplificada torna bastante claro que a equipe de segurança de TI da vítima terá muito mais problemas ao lidar com um ator de ameaça que conseguiu proteger o movimento lateral pela rede.
Os hackers que passaram da violação inicial ao movimento lateral são capazes de implantar ransomware na rede da vítima, bem como usar ferramentas maliciosas adicionais para impedir a detecção. Tudo isso mostra como é vital ser capaz de conter a violação inicial e agir o mais rápido possível para evitar que os hackers assumam o controle de uma parte maior da rede.
O relatório do CrowdStrike também mostra que mais de um terço dos ataques que rastreou viram hackers indo da violação inicial ao movimento lateral em menos de meia hora. Isso significa uma pressão imensa sobre as equipes de segurança para conter as violações e impedir que os invasores obtenham mais acesso.
Embora seja verdade que os agentes de ameaças geralmente precisam realizar algum reconhecimento precoce em uma rede e farejar por pontos fracos adicionais, o simples fato de que um grupo de hackers pode ir do acesso inicial à rede para acesso total e implantação de virtualmente qualquer malware extra que eles querer é mais do que um pouco preocupante.
