Orientando sua organização com o Relatório Global de Ameaças de 2024 da Elastic

O relatório de 2024 mostrou que 54% dos malwares estavam vinculados a ferramentas ofensivas de segurança (OSTs), ferramentas usadas para testar e identificar falhas em ambientes. Essas ferramentas são criadas por indivíduos e grupos voltados para a defesa, alguns dos quais têm orçamentos para pesquisa e desenvolvimento. Os agentes de ameaças são atraídos por essas ferramentas pela facilidade e eficiência que elas fornecem ao executar seus objetivos.  

Minha opinião: o Cobalt Strike tem sido o malware mais comum nos últimos anos, e os agentes de ameaças continuam com ele. Se estiver preparado para isso, você não terá problemas. 

Como posso abordar isso com minha organização?
Preocupação: não deveríamos usar OSTs porque eles estão sendo abusados por agentes de ameaças. 

Solução: o uso de uma OST em seu ambiente não aumentará o risco desse tipo de ataque. As OSTs fornecem detalhes importantes do ambiente de segurança e podem ser ferramentas poderosas para simulações como red teaming ou pen testing. Podemos nos preparar para essas possíveis ameaças mantendo nossas defesas atualizadas.

Nossos pesquisadores descobriram que muitos ambientes de nuvem estão mal configurados. O relatório apresenta uma análise clara dos problemas por provedor de serviços de nuvem (CSP) e revelou algumas configurações incorretas bastante angustiantes, incluindo contas de armazenamento e autenticação multifator (MFA).

Minha opinião: os provedores de nuvem precisam encontrar um equilíbrio entre usabilidade e segurança ao considerar as políticas padrão e, ao mesmo tempo, garantir que o ambiente de nuvem ofereça o custo e o desempenho ideais. Tente identificar o meio termo entre o que sua equipe pode gerenciar e o que você deve priorizar por benchmarking e relatórios do setor.

Como resolver isso com minha organização?
Preocupação: como podemos garantir que estamos usando as melhores práticas de segurança e minimizando os riscos em nosso ambiente de nuvem?

Solução: embora possamos incentivar os CSPs a fornecerem padrões mais seguros, o benchmarking de CSP foi projetado para ajudar com a complexidade da segurança na nuvem. Identifique qual é o seu benchmark do CIS e descreva seu plano para aumentá-lo.

Dentro dos endpoints, a evasão de defesa foi responsável por quase 38% de todas as táticas. A distribuição geral dos alertas destacou o crescimento das técnicas de injeção de processos, que representaram 53% de todos os alertas de evasão do Windows Defense. 

Minha opinião: a ênfase crescente na injeção de processos faz sentido porque as tecnologias defensivas foram aprimoradas para combater a técnica que dominava a maioria no passado, então os atacantes são forçados a adotar uma bordagem diferente.

Como posso abordar isso com minha organização?
Preocupação: precisamos nos concentrar em ajustar nosso ambiente para ataques de injeção de processo. 

Solução: embora seja mais comum, o aumento dessas técnicas não significa que os atacantes não usarão outros tipos de ataques. As equipes de segurança devem ser cautelosas e continuar ajustando o ambiente para ameaças de todos os tipos.

O acesso a credenciais é a principal tática de adversários usada em ambientes de nuvem, representando 23% de todos os alertas, e é reforçado pelo aumento de ladrões de informações. 

Minha opinião: o vazamento de credenciais e a manipulação de contas ainda são as principais técnicas na nuvem, o que significa que o básico ainda é fundamental. Implementar o princípio do menor privilégio e da autenticação forte fará uma grande diferença. A melhor maneira de reduzir o risco de exposição de credenciais é uma combinação de prevenção e monitoramento: as equipes de segurança devem entender seu inventário de segredos e credenciais e onde eles são usados.

Como posso resolver isso com minha organização?
Preocupação: as credenciais são vazadas principalmente pelos usuários. 

Solução: as credenciais são um ativo crítico e devem ser tratadas como tal: o treinamento de segurança não resolverá muito. A implementação de MFA com privilégios mínimos e resistente a phishing junto com provedores de identidade (IdPs) pode reduzir a exposição. As organizações podem reforçar ainda mais seu ambiente com análise de comportamento de usuário e entidade (UEBA) e análise focada em autenticação para monitorar discrepâncias.

É um assunto importante, mas o Elastic Security Labs não viu um grande aumento nos ataques impulsionados por IA este ano, apenas um pequeno aumento no volume de ataques. 

Minhas impressões: minha equipe se beneficiou dos recursos inovadores de IA generativa (GenAI) da Elastic. Frequentemente, utilizamos as regras de detecção baseadas em machine learning e descoberta de ataques , que aumentaram nossa capacidade de automatizar fluxos de trabalho de segurança, proporcionando tranquilidade para mim e minha equipe. 

Como posso abordar isso com minha organização?
Preocupação: GenAI beneficia invasores. 

Solução: a GenAI teve um impacto positivo amplamente observado nos defensores , abordando ameaças com análises avançadas e fornecendo orientação de IA rápida e confiável.

Como profissionais de segurança, temos que nos manter atualizados sobre o cenário de ameaças. A leitura do Relatório Global de Ameaças da Elastic de 2024 fornecerá muitas informações importantes para você e suas equipes de InfoSec. 

A leitura deste relatório não apenas lança luz sobre as tendências emergentes, mas também nos equipa com o conhecimento necessário para tomar decisões informadas sobre nossas estratégias de segurança. Junte-se aos nossos pesquisadores para uma discussão mais profunda sobre esses insights no próximo webinar, Revelando o cenário de ameaças.