theNet by CLOUDFLARE

O risco cresce à medida que os ataques multivetor se tornam a norma

Como uma plataforma consolidada resolve esses desafios


Mais vetores aumentam as chances

Quando os invasores visam mais de um vetor ou de uma superfície de ataque por vez, suas chances de entrada com sucesso aumentam drasticamente.

Historicamente, esses ataques "multivetor", tentativas de infiltração de rede por meio de vários pontos de comprometimento, eram usados apenas pelos invasores mais sofisticados e com recursos financeiros. Mas isso está começando a mudar.Hoje, é cada vez mais comum que os invasores empreguem várias táticas em conjunto, às vezes para testar várias defesas sob pressão, outras para explorar brechas de segurança sutis e, outras ainda, apenas para sobrecarregar a capacidade de resposta de uma organização.

O aumento da frequência desses ataques multivetor está gerando a necessidade de uma abordagem de segurança mais integrada e simplificada, que envolve a redução do número de serviços de segurança de nicho.



Por que os invasores visam vários vetores dessa maneira?

Explorar dois (ou mais) vetores de ataque aumenta a taxa de sucesso do ataque. Se o ataque envolve visar vários pontos de entrada em uma rede, por exemplo usar phishing por e-mail, phishing por voz e explorar uma vulnerabilidade de VPN, apenas uma dessas tentativas precisa funcionar para que o ataque geral seja bem-sucedido. O phishing é um componente comum de ataques multivetor por esse motivo, geralmente explora erros humanos em vez de falhas de software, dificultando sua interrupção.

Infelizmente, o aumento do trabalho híbrido torna essas consequências mais prováveis. Um aumento bem documentado em ambientes BYOD (traga seu próprio dispositivo), junto com o aumento da dependência de nuvem pública, aplicativos SaaS e redes sem fio não confiáveis, corroeu os perímetros de rede antigos. Uma variedade maior de identidades e dispositivos menos confiáveis que acessam dados confidenciais armazenados e compartilhados na internet apresenta muito mais vulnerabilidades e, ao mesmo tempo, reduz a visibilidade e o controle da segurança.

Não é de admirar, então, que o ransomware tenha estabelecido recordes em 2021. Houve 338,4 milhões de tentativas de ransomware nos primeiros três trimestres de 2022.



Sofisticação não necessária

Organizações de tamanho e complexidade suficientes têm vários vetores de ataque e caminhos possíveis, ou meios pelos quais os invasores podem acessar uma rede ou dispositivo.A matriz MITRE ATT&CK de código aberto fornece uma lista detalhada dos vários vetores que os invasores visam e as táticas e técnicas usadas para explorá-los.

Exemplos recentes mostram que os invasores estão combinando vetores durante uma única campanha. Em 2022, um grupo conhecido como 0ktapus usou uma combinação de phishing por SMS e download em segundo plano de malware de acesso remoto para atingir mais de 160 organizações, muitas das quais foram comprometidas em diferentes graus. Essencialmente, uma análise independente do ataque indicou que os invasores eram surpreendentemente inexperientes, muito longe da sofisticação frequentemente esperada com ataques multivetor.

Da mesma forma, uma onda recente de ataques baseados em ransomware Royal usou uma combinação de phishing, comprometimento do Protocolo de Área de Trabalho Remota e downloads de malware para atingir organizações de infraestrutura crítica.E a amplamente disseminada vulnerabilidade Log4j ofereceu aos invasores a oportunidade de combinar comprometimento da cadeia de suprimentos com diversos outros vetores.



Os desafios para mitigação de ataques multivetor

Ataques multivetor em redes corporativas podem ser difíceis de interromper por vários motivos. Um deles é a prevalência contínua de políticas de segurança baseadas em perímetro. Se um invasor explorar um vetor para acessar a VPN de uma organização, por exemplo, ele poderá ter acesso irrestrito a toda a rede.

Funcionários e recursos limitados surgiram como outro problema comum. Muitas organizações estão lutando para formar sua equipe de segurança e podem não ter o orçamento necessário para terceirizar trabalhos não atendidos para provedores de serviços gerenciados. A maioria emprega defesas tradicionais há décadas, mas hoje as defesas tradicionais estão sobrecarregadas pelo aumento do trabalho híbrido e da nuvem híbrida, dois fenômenos para os quais firewalls, gateways e até mesmo soluções de segurança de nuvem pontuais no local não se destinavam a proteger.

Os firewalls e gateways que protegem o perímetro de rede são insuficientes quando os invasores têm como alvo dispositivos pessoais ou implantações em nuvem e, principalmente, quando já estão dentro da rede, o que ocorre com muita frequência. Uma pilha de segurança complexa e fragmentada construída com produtos pontuais não interoperáveis, mesmo os melhores da categoria, pode ter lacunas que a segurança não conhece. Além disso, se um produto pontual detectar atividade maliciosa, ele será incapaz de alertar outras soluções automaticamente, mas, em vez disso, resultará em um aumento nos alertas de segurança, e a consequente fadiga de alerta.



O aprimoramento da defesa contra ameaças baseada em plataforma e nativa de nuvem

Historicamente, as organizações têm razões válida para defender suas redes usando produtos pontuais individuais para cada vetor.Mas essa abordagem não é adequada para ataques multivetor modernos. Em vez disso, as organizações precisam de uma abordagem integrada nativamente, uma que seja:

  1. Nativa de nuvem e distribuída para que todo o tráfego passe pela plataforma de segurança, independentemente de seu protocolo, origem ou destino. Não é mais seguro presumir que recursos e dados corporativos serão acessados por meio de conexões de rede controladas pela empresa.

  2. Totalmente integrada ao controle de acesso via autenticação, autorização e auditoria.O movimento lateral é mais fácil para os invasores quando as contas têm muito acesso. Verificar a identidade e o contexto é fundamental. Por exemplo, nenhuma função de usuário ou tipo de dispositivo deve ser confiável automaticamente.

  3. Resistente a phishing.Phishing e engenharia social são técnicas amplamente utilizadas por invasores que buscam obter acesso inicial. Com tantos ataques que começam com um e-mail de phishing, é fundamental implantar uma proteção abrangente contra campanhas direcionadas e evasivas que procuram criar confiança e explorar os usuários, envolvendo-os em várias formas de comunicação (por exemplo, e-mail, web, social, mensagens instantâneas e SMS).

  4. Sem interrupções para o usuário final.A exposição a ameaças baseadas em navegadores, como scripts maliciosos, downloads diretos e coletores de credenciais, tornou-se inevitável. O Isolamento do navegador remoto pode fornecer uma rede de segurança que isola os usuários de conteúdo da web desconhecido e não confiável, mas só é eficaz se a experiência for indistinguível do uso de um navegador local.

  5. Econômica. As organizações precisam mitigar ameaças com recursos limitados. Otimizar os custos de segurança pagando menos fornecedores que priorizam a consolidação de segurança baseada em plataforma é um caminho claro a seguir.

Produtos pontuais e caixas de hardware no local não ajudam na implementação dos princípios acima. As organizações de hoje precisam de uma ampla defesa contra ameaças em vetores de ataque e dentro e fora da rede.

O Cloudflare One consolida a defesa contra ameaças e as vias de acesso necessárias para cobrir o trabalho híbrido. O Cloudflare One protege contra ameaças integrando nativamente um gateway seguro da web e serviços de segurança de e-mail em nuvem, com Isolamento do navegador remoto e Data Loss Prevention. A plataforma vai além da defesa contra ameaças ao integrar esses serviços com o acesso à rede Zero Trust (ZTNA) e o agente de segurança de acesso à nuvem (CASB), serviços que protegem o acesso.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.



Principais conclusões

Após ler este artigo, você entenderá:

  • A diversidade de vetores de ataque usados hoje

  • A matriz MITRE ATT&CK

  • Os desafios de mitigação de ataques multivetoriais

  • Como uma plataforma consolidada resolve esses desafios



Recursos relacionados


Saiba mais sobre esse assunto

Saiba mais sobre como interromper ameaças multivetor no artigo técnico Reference Architecture for Internet-Native Transformation.

Receba um resumo mensal das informações mais populares da internet.