Uma vez alvo, sempre alvo
Quando falo com executivos após um ataque cibernético, a primeira reação geralmente é uma busca introspectiva para responder às perguntas do tipo “por quê”. Por que os agentes cibernéticos escolheram me atacar, nossa organização, esta cultura? A verdade é que é difícil entender a razão. Claro, existem as motivações padrão de ganho financeiro, roubo de propriedade intelectual, espionagem corporativa, sabotagem, fama ou ativismo político. Mas por que eu? Por que nós?
A maioria dos ataques cibernéticos não é particularmente sofisticada no uso de ciência da computação avançada ou mecânica quântica. Eles podem ser inteligentes em sua capacidade de parecer autênticos ou atrair emoções. Mas, na realidade, os ataques cibernéticos fazem parte de uma linha de montagem rudimentar e sua organização pode ter sido apenas o último alvo em uma sequência interminável.
Tem sido relatado com frequência que, para 9 em cada 10 ataques cibernéticos, a causa raiz do dano pode estar ligada ao phishing. Simplificando, o phishing é uma tentativa de levar alguém a realizar uma ação que involuntariamente causa danos. Esses ataques são fáceis de configurar, econômicos e eficazes. Para montar campanhas de phishing, os invasores precisam de alvos humanos, representados por endereços de e-mail. Os invasores adquirem esses endereços, armazenam eles em um banco de dados e começam a enviar ataques. O objetivo é conseguir cliques.
O phishing está mais relacionado com volume do que com direcionamento. Estar no banco de dados do ataque faz de você um alvo perpétuo para qualquer campanha de phishing desse agente ou grupo organizado. Minha experiência na Agência de Segurança Nacional, e a pesquisa de minha equipe em outros estados-nação, organizações criminosas e afins, mostrou que os atores cibernéticos transformam suas operações em linhas de montagem. Diferentes equipes são responsáveis pela segmentação, lançamento e execução, métodos de exploração técnica, atividades no alvo, análise e exploração pós-campanha. Há pouco esforço para otimizar essas linhas de montagem ao longo do tempo, especialmente quando os invasores obtêm sucesso.
O problema constante de ser um alvo
A equipe Cloudforce One realizou uma extensa pesquisa sobre como uma campanha de phishing relativamente simples pode causar sérios danos no longo prazo a várias organizações. Investigamos uma campanha de ataque lançada no dia seguinte à eleição presidencial nos EUA em 2016 por um grupo de espionagem russo chamado RUS2, um grupo que visa organizações políticas.
Ao reconstruir o banco de dados de destino, descobrimos que os alvos de phishing incluíam não apenas funcionários do governo atual, mas também ex-funcionários e associados políticos. Os indivíduos visados continuaram a receber e-mails de phishing por meio de seus endereços de e-mail pessoais muito depois de terem mudado de emprego. Alguns indivíduos estavam no banco de dados há quase 10 anos na época do ataque de 2016 e continuam sendo alvos até hoje.
Prevenir danos graves com Zero Trust
Isso sim interessa.
Nomes, números de telefone e endereços de e-mail comprometidos permanecem indefinidamente nos bancos de dados de phishing. Quer os e-mails sejam devolvidos ou os destinatários não mordam a isca, os invasores não se preocupam em limpar suas listas. Depois de se tornar alvo de um ataque de phishing, você pode permanecer como alvo indefinidamente.
Para corporações e agências governamentais, a persistência de informações de contato em bancos de dados de phishing adiciona uma camada extra de perigo. Quando um indivíduo-alvo muda de emprego, essa pessoa coloca em risco sua nova organização, abrindo um novo vetor para a rede desta nova organização.
Dada a simplicidade e a eficácia do phishing, os invasores cibernéticos vão continuar a usar essa tática no futuro previsível porque ela é eficaz. Não há muito que possamos fazer para impedi-los de tentar. Mas, podemos impedi-los de ter sucesso.
Temos que presumir que esse risco está sempre presente e que cada indivíduo é um potencial ponto de entrada.
Nos últimos 20 anos da minha carreira, trabalhando na Agência de Segurança Nacional e no Comando Cibernético dos Estados Unidos e desenvolvendo tecnologia usada para prevenir ataques de phishing, descobri que a melhor maneira de mitigar o impacto dos esquemas de phishing é adotando uma estratégia de segurança Zero Trust. A segurança de rede de TI tradicional confia em qualquer pessoa e qualquer coisa dentro da rede: uma vez que um indivíduo ou dispositivo obtém acesso à rede, esse indivíduo ou dispositivo é confiável por padrão.
Com o Zero Trust, você não confia em ninguém e em nada. Ninguém jamais tem acesso totalmente irrestrito e confiável a todos os aplicativos ou outros recursos em uma rede.
A melhor abordagem Zero Trust é multicamadas. Por exemplo, como primeira linha de defesa, você pode caçar preventivamente a infraestrutura de phishing e bloquear campanhas antes que os usuários possam clicar em links maliciosos em textos ou e-mails. Você também pode usar a autenticação multifator (MFA) com segurança baseada em hardware para proteger as redes, mesmo que os invasores obtenham acesso a nomes de usuário e senhas. Você pode aplicar o princípio do privilégio mínimo para garantir que os hackers que passam pelos controles de MFA possam acessar apenas um conjunto limitado de aplicativos. E você pode particionar a rede com microssegmentação para conter quaisquer violações antecipadamente.
Experimentar a eficácia da segurança em várias camadas em primeira mão
At Cloudflare, we thwarted a phishing attack last year using MFA with hardware security keys as part of our multi-layered zero trust approach. The attack began when a number of employees received a text message that led them to an authentic-looking Okta login page, which was designed for credential harvesting. The attacker attempted to log in to Cloudflare systems using those stolen credentials along with time-based one-time password (TOTP) codes—the attack required that employees participate in the authentication process. Unfortunately for the attacker, Cloudflare had previously transitioned from TOTP to hard keys.
If the hard keys hadn’t been in place, other security measures would have prevented the attack from reaching its objective but, fortunately, the threat didn’t get that far. Our Security Incident Response team quickly blocked access to the domain used for the fake login page and then killed active, compromised sessions using our zero trust network access service. If the attacker had somehow reached the point of installing malicious software, the endpoint security we use would have stopped the installation. A multi-layered strategy like this one helps to ensure that even if one aspect of an attack is successful, the attack itself won’t cause substantial damage.
Obter vantagem
Os ataques cibernéticos chegam até você muito rápido, mas quando você para para olhar em volta, eles não evoluem significativamente.
Como você os impede de ter sucesso?
Primeiro, certifique-se de ter controles anti-phishing sólidos. Nem todos os controles de MFA têm o mesmo nível de eficácia, portanto, adote um MFA resistente a phishing e implemente a aplicação seletiva usando identidade e políticas centradas no contexto. Aplique autenticação forte em todos os lugares para todos os usuários, todos os aplicativos e até para sistemas legados e não web. Por fim, certifique-se de que todos estejam na “equipe cibernética”, estabelecendo uma cultura paranoica e livre de culpa que relata atividades suspeitas com antecedência e frequência.
Há pouco que podemos fazer para evitar phishing, mas há muito que pode ser feito para evitar os danos. Com uma abordagem Zero Trust, você pode ajudar a garantir que, da próxima vez que a linha de montagem de phishing enviar um e-mail para o seu endereço, ele não cause nenhum dano. Saiba mais sobre a plataforma Zero Trust da Cloudflare de várias camadas.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba como avançar em direção à segurança Zero Trust e proteger sua organização das consequências de ataques de phishing no relatório Um roteiro passo a passo para a arquitetura Zero Trust.
Autoria
Oren Falkowitz — @orenfalkowitz
Former Security Officer, Cloudflare
Principais conclusões
Após ler este artigo, você entenderá:
Depois que suas informações pessoais são obtidas, elas permanecem indefinidamente no banco de dados dos invasores
Os ataques de phishing fazem parte de uma linha de montagem rudimentar
Pouco pode ser feito para evitar phishing, mas há muito que pode ser feito para evitar os danos.