As 5 fases de um ataque cibernético

Resultado de imagem para phases of a cyber attacs

Segurança cibernética é um processo continuo que deve fazer parte do seu dia a dia. Entretanto ninguém tem os recursos suficientes para realizar tudo com perfeição. Então, vamos aos estudos.

Primeiro de tudo você deve compreender dos riscos e do cenário de ameaças. Isso significa entender como o inimigo age.

Alvo


Vamos simular que uma empresa foi atingida por um surto de ransonware. A empresa está enfrentando um ataque direcionado por motivos financeiros, mas o ransonware está sendo usado como distração. O alvo real são dados confidenciais dos clientes.

Imagem relacionada

Fase 1: Recon

Resultado de imagem para Recon hacker

Cronologia: meses antes da detecção


O primeiro passo do atacante é identificar alvos em potencial. Geralmente os invasores são motivados por ganhos financeiros, acesso a informações confidenciais, danos ao patrimônio privado ou governamentais.

O invasor pode coletar informações a partir do Linkedin, Facebook, site corporativo, mapear a cadeia de suprimentos, obter projetos, informações sobre sistema de segurança e pontos de entrada disponíveis. Eles podem até visitar o prédio da empresa, um evento ou ligar para algum funcionário. Um invasor ainda pode criar empresas, e-mails, domínios, perfis falsos para fins de engenharia social.

Uma vez que o atacante define quais defesas estão no lugar, ele escolhe suas armas. O vetor selecionado é muitas vezes impossível de prevenir ou detectar. Pode se tratar de um Zero-day, uma campanha de spear-phishing ou até mesmo subornar um funcionário. Geralmente tem um impacto minimo.

Fase 2: Intrusion and Presence (Intrusão e presença)

Resultado de imagem para Intrusion and Presence hacker

Cronologia: meses antes da detecção


Na segunda fase de um ataque cibernético, o atacante procura violar o perímetro corporativo e ganhar acesso persistente ao ambiente.

Eles podem usar spear-phishing para obter as credenciais, usar credenciais válidas para acessar a infraestrutura corporativa e baixar mais ferramentas para acessar o ambiente. Isso é quase impossível de rastrear.

É muito comum que a organização visada não consiga detectar o ataque. Mesmo se detectado, é quase impossível deduzir qual era o alvo final. Na prática, o invasor geralmente é bem sucedido.

A invasão inicial é expandida para acesso remoto persistente e de longo prazo ao ambiente da empresa.

Fase 3: Lateral Movement (Movimento Lateral)

Imagem relacionada

Cronograma: meses ou semanas antes da detecção


Após o invasor estabelecer uma conexão com a rede interna, ele procura comprometer sistemas e contas de usuários adicionais. Seu objetivo é expandir a posição é identificar os sistemas que abrigam os dados de destino.

O invasor procura servidores para localizar arquivos de senhas e outros dados confidenciais e mapeia a rede para identificar o ambiente de destino.

Geralmente o invasor se passa por um usuário autorizado. Portanto, é muito difícil identificar o intruso nesta fase.

INSERÇÃO DE MALWARE 

Os invasores começarão a abrir canais adicionais para acessar a rede comprometida, implantando softwares, como Trojans de acesso remoto, ou RATs, também conhecidos como backdoors.

Fase 4: Privilege Escalation (Escalação de Privilégios)

Resultado de imagem para privilege escalation hacking

Cronograma: semanas ou dias antes da detecção


O atacante tenta obter os níveis de privilegio necessário aos dados de destino. Ele possui controle sobre os canais de acesso e credenciais adquiridos nas fases anteriores.

Finalmente o invasor obtém acesso aos dados de destino. Servidores de e-mail, sistema de gerenciamento de documentos e dados do cliente estão comprometidos.

Fase 5: Complete Mission (Missão Completa)

O invasor alcança o estágio final da sua missão. Eles exfiltram os dados dos clientes que procuravam, corrompem sistemas críticos e interrompem as operações comerciais. Então eles destroem as evidencias com um ransonware.

 Exfiltração de Dados

 A Marinha observa que a maioria das informações é criptografada, mas pode ser descriptografada. Quebrar a criptografia geralmente é uma tarefa demorada e desafiadora, mas os hackers que chegaram até aqui provavelmente estão à altura da tarefa.

Resultado de imagem para hacked

LIMPEZA

Por fim, os adversários vão embora, às vezes limpando-se antes de partirem. Se eles não estiverem preocupados com a invasão ser detectada, eles poderão simplesmente se desconectar da rede. Blackhats mais sofisticados, no entanto, podem apagar sua presença na rede, deixando para trás portas que poderiam ser usadas mais tarde. Ou, eles podem excluir ou manipular dados – algo que o diretor de inteligência nacional alertou que poderia ser o próximo grande incidente cibernético.

O custo para a empresa aumenta exponencialmente caso o ataque não seja parado.

Neste exemplo, o alvo foi alcançado antes da detecção. Porem isso é típico. As violações de dados são extremamente difíceis de detectar, porque os invasores usam ferramentas especializadas e credenciais legitimas.

Que a segurança esteja com você!

Imagem relacionada

O post A Visão de um Invasor Cibernético apareceu primeiro em NSW.

Source: NSWorld

Categorias: Sem categoria

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *