Relatório Global de Ameaças de 2023 da Elastic: principais previsões e recomendações de segurança cibernética

Por

Santosh Krishnan

gtr-forecast-blog.jpg

Temos a satisfação de anunciar o lançamento do Relatório Global de Ameaças da Elastic de 2023, uma análise abrangente de mais de um bilhão de pontos de dados. O relatório fornece insights sobre métodos, técnicas e tendências dos agentes de ameaças da perspectiva dos defensores, ajudando clientes, parceiros e equipes de segurança a priorizar e melhorar sua postura de segurança.

As observações do relatório são baseadas na telemetria anonimizada da Elastic e em dados públicos e de terceiros enviados voluntariamente. Nosso objetivo é demonstrar como nossa perspectiva única capacita desenvolvedores e profissionais de tecnologia de segurança.

Destaques das previsões e recomendações do Elastic Security

O Relatório Global de Ameaças fornece insights valiosos sobre as ameaças cibernéticas que você poderá enfrentar em 2024. Ele mostra como os agentes de ameaças estão se tornando mais sofisticados e furtivos e como utilizam ferramentas e recursos públicos para conduzir seus ataques. Oferece também orientações e práticas recomendadas para proteger você e seus dados desses ataques. Aqui estão algumas das principais previsões e recomendações do relatório:

icon-quote

Os criminosos usarão mais as comunidades open source em busca de implantes, ferramentas e infraestruturas.

Os ataques cibernéticos estão utilizando cada vez mais ferramentas comerciais e open source para comprometer sistemas em diferentes plataformas. Ferramentas como Metasploit, Cobalt Strike e o framework Sliver são comumente usadas por grupos de ameaças para atingir dispositivos com Windows, Linux e macOS. Há também uma tendência crescente de campanhas de malware como serviço e ransomware que usam essas ferramentas para lançar ataques. Os invasores podem estar usando ferramentas open source para reduzir seus custos operacionais.

Previsão 1Recomendação
Os criminosos usarão mais as comunidades open source em busca de implantes, ferramentas e infraestruturas.
  • Os agentes de ameaças estão usando código open source em seus ataques.
  • Isso inclui bibliotecas legítimas como a OneDriveAPI, ferramentas como o SharpShares e implantes como o Sliver.
  • Os criminosos continuarão a tirar vantagem de projetos expostos publicamente.
As organizações devem examinar minuciosamente os downloads diretos de sites de compartilhamento de código e considerar a possibilidade de limitar o acesso. Embora isso não tenha impacto sobre o código reutilizado pelos agentes de ameaças, poderia impedir que binários pré-compilados ou scripts portáteis facilitem um comprometimento. As empresas devem avaliar sua visibilidade dos frameworks adversários emergentes.

icon-quote

A exposição de credenciais na nuvem será a principal fonte de incidentes de exposição de dados.

Os invasores costumam usar técnicas de acesso a credenciais para obter acesso a dados ou sistemas. Acesso a credenciais é um termo amplo que inclui senhas, tokens e outros métodos de autenticação. Observamos que cerca de 7% de todos os sinais de comportamento de endpoint estavam relacionados a essa tática, e 79% deles envolviam o despejo de credenciais do sistema operacional usando ferramentas ou recursos integrados.

Para os provedores de serviços em nuvem (CSPs), o acesso a credenciais foi responsável por cerca de 45% de todos os sinais de detecção. Para a AWS, esses sinais envolveram principalmente tentativas incomuns de acessar segredos do Secrets Manager, variáveis de ambiente de hosts do EC2 locais e arquivos de credenciais. As credenciais também podem vazar por meio de repositórios de código, como o GitHub, se o código não é revisado ou limpo adequadamente.

Previsão 2Recomendação
A exposição de credenciais na nuvem será a principal fonte de incidentes de exposição de dados.
  • Os criminosos estão visando credenciais na nuvem para roubar dados e preparar malware.
  • O armazenamento na nuvem geralmente não é segmentado nas grandes organizações, facilitando o acesso de criminosos com credenciais roubadas.
  • Credenciais de computação na nuvem expostas podem aumentar a prevalência de mineradores de moedas e outros malwares.
Contas com o menor privilégio e mecanismos de autenticação robustos podem ser reforçados com o monitoramento de comportamentos de entidades de usuários, soluções que podem depender de uma segmentação razoável dos dados.

icon-quote

A evasão de defesas continuará a ser o principal investimento, e a adulteração substituirá o mascaramento.

A alta prevalência de técnicas de evasão de defesas sugere que os invasores estão bem cientes das ferramentas de monitoramento e das soluções de segurança existentes e estão desenvolvendo estratégias para contorná-las. Esse é um sinal claro de que os criminosos estão se adaptando a ambientes hostis e que estão investindo tempo e recursos para garantir que suas atividades maliciosas permaneçam fora do radar.

Previsão 3Recomendação
A evasão de defesas continuará a ser o principal investimento, e a adulteração substituirá o mascaramento.
  • A dinâmica do setor de segurança levou ao desenvolvimento de recursos robustos de prevenção para endpoints, mas os criminosos estão cientes de que ignorar esses recursos é crucial para atingir seus objetivos.
  • Espera-se que essa tendência leve a um declínio nos ataques de mascaramento.
  • Evidências do mundo real respaldam essa mudança, exemplificadas por táticas como Bring Your Own Vulnerable Driver (traga seu próprio driver vulnerável).
As empresas devem avaliar a natureza resistente à violação de seus sensores de segurança de endpoint e levar em consideração projetos de monitoramento como os drivers “living off the land”, que rastreiam os muitos drivers de dispositivos vulneráveis usados para desabilitar tecnologias de segurança.

Antecipe-se aos invasores com o Elastic Security

Essas previsões fornecem apenas um breve panorama das ameaças, dos invasores e das defesas que possivelmente estarão atuando no próximo ano. Elas também mostram como usamos esse conhecimento para melhorar o Elastic Security e informar nossos planos futuros. Para ter uma visão mais detalhada do cenário de segurança e para onde ele caminha, você pode acessar o Relatório Global de Ameaças de 2023 da Elastic na íntegra.

O lançamento e o tempo de amadurecimento de todos os recursos ou funcionalidades descritos neste post permanecem a exclusivo critério da Elastic. Os recursos ou funcionalidades não disponíveis atualmente poderão não ser entregues dentro do prazo previsto ou nem chegar a ser entregues.

Inscreva-se para fazer uma avaliação gratuita do Elastic Cloud

Inicie uma implantação totalmente carregada no provedor de serviços em nuvem de sua escolha. Somos a empresa por trás do Elasticsearch e oferecemos nossos recursos e suporte aos seus clusters da Elastic na nuvem.

Iniciar avaliação gratuita