Orientando sua organização com o Relatório Global de Ameaças de 2024 da Elastic

158175_-_Blog_header_image_Prancheta_1-03_(2).jpg

Mitigar riscos com base no cenário de ameaças é uma parte complicada, mas essencial, de ser um CISO, e é por isso que relatórios de ameaças como o Relatório Global de Ameaças da Elastic de 2024 são uma grande ajuda para mim. Além de fornecer uma compreensão profunda do que está acontecendo, os relatórios de ameaças também oferecem uma visão geral rápida do que precisa ser explicado ou comunicado ao restante da organização. 

Como CISO da Elastic, tenho muita experiência na tradução de ameaças para as partes interessadas em segurança, outros membros da diretoria e até mesmo o conselho de administração. Usando as descobertas do Elastic Security Labs, este blog irá apurar alguns dos principais insights do novo relatório e discutir algumas preocupações que podem surgir em sua organização a partir desses novos dados.

Principais insights do Relatório Global de Ameaças de 2024 da Elastic

Ferramentas de segurança ofensivas

O relatório de 2024 mostrou que 54% dos malwares estavam vinculados a ferramentas ofensivas de segurança (OSTs), ferramentas usadas para testar e identificar falhas em ambientes. Essas ferramentas são criadas por indivíduos e grupos voltados para a defesa, alguns dos quais têm orçamentos para pesquisa e desenvolvimento. Os agentes de ameaças são atraídos por essas ferramentas pela facilidade e eficiência que elas fornecem ao executar seus objetivos.  

Minha opinião: o Cobalt Strike tem sido o malware mais comum nos últimos anos, e os agentes de ameaças continuam com ele. Se estiver preparado para isso, você não terá problemas. 

Como posso abordar isso com minha organização?
Preocupação: não deveríamos usar OSTs porque eles estão sendo abusados por agentes de ameaças. 

Solução: o uso de uma OST em seu ambiente não aumentará o risco desse tipo de ataque. As OSTs fornecem detalhes importantes do ambiente de segurança e podem ser ferramentas poderosas para simulações como red teaming ou pen testing. Podemos nos preparar para essas possíveis ameaças mantendo nossas defesas atualizadas.

Configurações incorretas de segurança da nuvem

Nossos pesquisadores descobriram que muitos ambientes de nuvem estão mal configurados. O relatório apresenta uma análise clara dos problemas por provedor de serviços de nuvem (CSP) e revelou algumas configurações incorretas bastante angustiantes, incluindo contas de armazenamento e autenticação multifator (MFA).

Minha opinião: os provedores de nuvem precisam encontrar um equilíbrio entre usabilidade e segurança ao considerar as políticas padrão e, ao mesmo tempo, garantir que o ambiente de nuvem ofereça o custo e o desempenho ideais. Tente identificar o meio termo entre o que sua equipe pode gerenciar e o que você deve priorizar por benchmarking e relatórios do setor.

Como resolver isso com minha organização?
Preocupação: como podemos garantir que estamos usando as melhores práticas de segurança e minimizando os riscos em nosso ambiente de nuvem?

Solução: embora possamos incentivar os CSPs a fornecerem padrões mais seguros, o benchmarking de CSP foi projetado para ajudar com a complexidade da segurança na nuvem. Identifique qual é o seu benchmark do CIS e descreva seu plano para aumentá-lo.

Evasão de defesa

Dentro dos endpoints, a evasão de defesa foi responsável por quase 38% de todas as táticas. A distribuição geral dos alertas destacou o crescimento das técnicas de injeção de processos, que representaram 53% de todos os alertas de evasão do Windows Defense. 

Minha opinião: a ênfase crescente na injeção de processos faz sentido porque as tecnologias defensivas foram aprimoradas para combater a técnica que dominava a maioria no passado, então os atacantes são forçados a adotar uma bordagem diferente.

Como posso abordar isso com minha organização?
Preocupação: precisamos nos concentrar em ajustar nosso ambiente para ataques de injeção de processo. 

Solução: embora seja mais comum, o aumento dessas técnicas não significa que os atacantes não usarão outros tipos de ataques. As equipes de segurança devem ser cautelosas e continuar ajustando o ambiente para ameaças de todos os tipos.

Vazamento de credenciais

O acesso a credenciais é a principal tática de adversários usada em ambientes de nuvem, representando 23% de todos os alertas, e é reforçado pelo aumento de ladrões de informações. 

Minha opinião: o vazamento de credenciais e a manipulação de contas ainda são as principais técnicas na nuvem, o que significa que o básico ainda é fundamental. Implementar o princípio do menor privilégio e da autenticação forte fará uma grande diferença. A melhor maneira de reduzir o risco de exposição de credenciais é uma combinação de prevenção e monitoramento: as equipes de segurança devem entender seu inventário de segredos e credenciais e onde eles são usados.

Como posso resolver isso com minha organização?
Preocupação: as credenciais são vazadas principalmente pelos usuários. 

Solução: as credenciais são um ativo crítico e devem ser tratadas como tal: o treinamento de segurança não resolverá muito. A implementação de MFA com privilégios mínimos e resistente a phishing junto com provedores de identidade (IdPs) pode reduzir a exposição. As organizações podem reforçar ainda mais seu ambiente com análise de comportamento de usuário e entidade (UEBA) e análise focada em autenticação para monitorar discrepâncias.

IA generativa

É um assunto importante, mas o Elastic Security Labs não viu um grande aumento nos ataques impulsionados por IA este ano, apenas um pequeno aumento no volume de ataques. 

Minhas impressões: minha equipe se beneficiou dos recursos inovadores de IA generativa (GenAI) da Elastic. Frequentemente, utilizamos as regras de detecção baseadas em machine learning e descoberta de ataques , que aumentaram nossa capacidade de automatizar fluxos de trabalho de segurança, proporcionando tranquilidade para mim e minha equipe. 

Como posso abordar isso com minha organização?
Preocupação: GenAI beneficia invasores. 

Solução: a GenAI teve um impacto positivo amplamente observado nos defensores , abordando ameaças com análises avançadas e fornecendo orientação de IA rápida e confiável.

Mantenha-se à frente das ameaças

Como profissionais de segurança, temos que nos manter atualizados sobre o cenário de ameaças. A leitura do Relatório Global de Ameaças da Elastic de 2024 fornecerá muitas informações importantes para você e suas equipes de InfoSec. 

A leitura deste relatório não apenas lança luz sobre as tendências emergentes, mas também nos equipa com o conhecimento necessário para tomar decisões informadas sobre nossas estratégias de segurança. Junte-se aos nossos pesquisadores para uma discussão mais profunda sobre esses insights no próximo webinar, Revelando o cenário de ameaças.

O lançamento e o tempo de amadurecimento de todos os recursos ou funcionalidades descritos neste artigo permanecem a exclusivo critério da Elastic. Os recursos ou funcionalidades não disponíveis no momento poderão não ser entregues ou não chegarem no prazo previsto.

Neste post do blog, podemos ter usado ou nos referido a ferramentas de IA generativa de terceiros, que pertencem a seus respectivos proprietários e são operadas por eles. A Elastic não tem nenhum controle sobre as ferramentas de terceiros e não temos nenhuma responsabilidade por seu conteúdo, operação ou uso, nem por qualquer perda ou dano que possa surgir do uso de tais ferramentas. Tenha cuidado ao usar ferramentas de IA com informações pessoais, sensíveis ou confidenciais. Os dados que você enviar poderão ser usados para treinamento de IA ou outros fins. Não há garantia de que as informações fornecidas serão mantidas em segurança ou em confidencialidade. Você deve se familiarizar com as práticas de privacidade e os termos de uso de qualquer ferramenta de IA generativa antes de usá-la. 

Elastic, Elasticsearch, ESRE, Elasticsearch Relevance Engine e marcas associadas são marcas comerciais, logotipos ou marcas registradas da Elasticsearch N.V. nos Estados Unidos e em outros países. Todos os outros nomes de empresas e produtos são marcas comerciais, logotipos ou marcas registradas de seus respectivos proprietários.