O cenário de ameaças cibernéticas está em constante evolução. À medida que os ciberataques se tornam mais qualificados e organizados, os seus ataques também se tornam mais sofisticados.
Hoje, as organizações enfrentam ameaças cibernéticas das gerações V e VI. Esses invasores estão cientes das melhorias feitas na segurança cibernética empresarial nos últimos anos e adaptaram seus ataques para contornar e superar as defesas tradicionais. O ciberataque moderno é multivetorial e usa código polimórfico para evitar a detecção. Como resultado, a detecção e resposta a ameaças são mais difíceis do que nunca.
Para aumentar o desafio, muitas organizações estão enfrentando uma mudança repentina e dramática na forma como realizam “business as usual”. A pandemia da COVID-19 levou muitas organizações a adotar uma força de trabalho maioritariamente ou totalmente remota, muitas vezes sem preparação adequada. Para as organizações cuja estratégia de segurança dependia de funcionários trabalhando no escritório, a adaptação a este novo modo de vida é um desafio.
No mundo do trabalho remoto, o endpoint é o principal alvo dos cibercriminosos e a primeira linha de defesa de uma organização. Proteger a força de trabalho remota exige que as organizações compreendam as principais ameaças cibernéticas que seus funcionários enfrentam e tenham soluções de segurança de endpoint capazes de detectar, prevenir e remediar esses ataques.
Os cibercriminosos estão constantemente inovando e as principais ameaças cibernéticas que as organizações enfrentam mudam regularmente à medida que os invasores se adaptam às novas circunstâncias. A Check Point Research monitora continuamente as tendências e mudanças no cenário de ameaças cibernéticas, e a seguir estão as ameaças com as quais as organizações devem estar mais preocupadas atualmente.
ransomware é um malware projetado para usar criptografia para forçar o alvo do ataque a pagar um pedido de resgate. Uma vez presente no sistema, o malware criptografa os arquivos do usuário e exige pagamento em troca da chave de descriptografia. Como os algoritmos de criptografia modernos são inquebráveis com a tecnologia disponível, a única maneira de recuperar os arquivos criptografados é restaurar os dados de um backup (se disponível) ou pagar a demanda aleatória.
O ransomware tornou-se um dos tipos de malware mais visíveis e prolíficos, e a pandemia da COVID-19 proporcionou um ambiente no qual este tipo de malware prosperou. Nos últimos anos, algumas variantes de ransomware também evoluíram para realizar ataques de “dupla extorsão”. Maze, Sodinokibi/REvil, DopplelPaymer, Nemty e outras variantes de ransomware roubam cópias de arquivos antes da criptografia, ameaçando violá-los se o usuário se recusar a pagar o pedido de resgate. Embora esta tendência tenha começado no final de 2019 com o Maze, continuou a crescer à medida que mais grupos o adoptaram ao longo de 2020.
ransomware é um tipo de malware , mas está longe de ser o único. O malware vem em uma variedade de formas diferentes e pode ser usado para atingir diversos objetivos diferentes. As variantes de malware podem ser projetadas para fazer qualquer coisa, desde coletar e roubar informações confidenciais até apresentar anúncios indesejados e causar danos permanentes a uma máquina infectada.
Os tipos mais comuns de malware variam de um ano para outro, à medida que diferentes tipos de ataques se tornam mais ou menos lucrativos para os invasores. Em 2020, as formas mais comuns de malware incluíam:
Embora a lista dos “seis principais” tipos de malware permaneça constante em todo o mundo, a percentagem de malware de cada tipo varia de uma região geográfica para outra.
Por exemplo, conforme descrito no relatório Ciberataque Trends: 2020 Mid-Year Report da Check Point, a região EMEA é a única onde o malware de botnet é mais comum do que o malware direcionado a dispositivos móveis. Nas outras regiões, as classificações permanecem constantes, mas as percentagens relativas podem variar.
As soluções antivírus geralmente tentam detectar malware em um dispositivo inspecionando cada arquivo no dispositivo em busca de sinais de conteúdo malicioso. O malware sem arquivo tenta contornar essa abordagem de detecção de ameaças ao não usar um arquivo. Em vez disso, o malware é implementado como um conjunto de comandos para funções incorporadas ao computador infectado. Isso permite que o malware atinja os mesmos objetivos, mas pode dificultar a detecção de algumas soluções defensivas.
O principal diferencial do malware sem arquivo é a falta de arquivos; ele executa muitas das mesmas funções do malware tradicional. Por exemplo, FritzFrog – um malware de botnet peer-to-peer (P2P) sem arquivo detectado em agosto de 2020 – foi projetado para infectar sistemas e minerar criptomoedas.
phishing é um dos métodos mais comuns que os invasores usam para obter acesso a um sistema alvo. Freqüentemente, é mais fácil induzir um usuário a clicar em um link malicioso ou abrir um anexo do que localizar e explorar com êxito uma vulnerabilidade na rede de uma organização. Os ataques de phishing podem atingir diversos objetivos, incluindo roubo de credenciais, entrega de malware, fraude financeira e roubo de dados confidenciais.
Historicamente, o phishing tem sido o método mais comum para os ciberataques lançarem uma campanha devido à sua facilidade de uso e alta taxa de sucesso. Durante a pandemia da COVID-19, esta tendência só se acelerou à medida que os cibercriminosos aproveitaram o facto de os funcionários trabalharem fora do escritório e o clima de incerteza em relação ao vírus.
A pandemia da COVID-19 também ampliou o efeito das iscas comuns de phishing. Por exemplo, a Black Friday e a Cyber Monday são pretextos comummente explorados por phishers, e o aumento das compras online devido à COVID-19 tornou-as especialmente eficazes em 2020. Como resultado, o volume de e-mails de phishing dobrou nas semanas que antecederam a Black Friday e a Cyber Monday em comparação com o início do mês anterior.
Muitos protocolos de rede são protegidos contra bisbilhoteiros por criptografia, o que impossibilita a leitura do tráfego. Um ataque Man-in-the-Middle (MitM) contorna essas proteções quebrando uma conexão em duas partes. Ao criar uma conexão criptografada separada com o cliente e o servidor, um invasor pode ler os dados enviados pela conexão e modificá-los conforme desejado antes de encaminhá-los ao seu destino.
Os ataques MitM podem ser derrotados usando protocolos como HTTPS. No entanto, a ascensão dos dispositivos móveis torna este um vetor de ataque mais perigoso. Os aplicativos móveis fornecem pouca ou nenhuma visibilidade aos seus usuários em relação às suas conexões de rede e podem usar protocolos inseguros para comunicação que são vulneráveis a ataques MitM.
Muitas organizações concentram seus esforços de segurança cibernética em computadores, mas os dispositivos móveis são uma ameaça crescente à segurança cibernética de uma organização. À medida que os funcionários usam cada vez mais dispositivos móveis para realizar seu trabalho e acessar dados confidenciais da empresa, os aplicativos móveis maliciosos se tornam cada vez mais perigosos. Esses aplicativos podem fazer tudo o que o malware de desktop pode fazer, incluindo roubar dados confidenciais, criptografar arquivos com ransomware e muito mais.
Em 2020, o malware móvel foi o segundo tipo de malware mais comum em todo o mundo. As variantes de malware móvel mais comuns – incluindo xHelper, PreAMo e Necro – são cavalos de Tróia com funcionalidades adicionais, incluindo fraude publicitária e fraude de cliques. O malware móvel geralmente tira vantagem de vulnerabilidades em sistemas operacionais móveis, como a vulnerabilidade de execução remota de código (RCE) corrigida em um lote de 43 patches de segurança do Android em janeiro de 2021.
A infraestrutura de TI e os serviços das organizações – como aplicativos da web, e-mail, etc. – são essenciais para sua capacidade de fazer negócios. Os ataques de negação de serviço (DoS) são projetados para negar acesso a serviços críticos. Isso pode ser conseguido explorando uma vulnerabilidade em um aplicativo (causando seu travamento) ou inundando um sistema com mais dados ou solicitações do que ele é capaz de gerenciar (tornando-o incapaz de lidar com solicitações legítimas). Em alguns casos, os invasores realizarão um ataque Ransom DoS , onde um pagamento de resgate é exigido para interromper um ataque em andamento ou impedir um ataque ameaçado.
Durante o trabalho e a aprendizagem remotos impulsionados pela pandemia da COVID-19, as soluções de acesso remoto foram um dos principais alvos dos ataques DoS. E durante o ano letivo de 2020-2021, os ataques DoS Distribuídos (DDoS) contra o setor da educação aumentaram dramaticamente. Esses ataques tentaram inutilizar serviços de aprendizagem remota ou solicitaram resgates para prevenir ou impedir os ataques.
O software contém fraquezas e vulnerabilidades, e muitas dessas vulnerabilidades atingem a produção, onde são potencialmente exploráveis por invasores. Essas vulnerabilidades de produção são descobertas internamente na empresa, por pesquisadores de segurança externos ou por ciberataques.
No terceiro caso, os ciberataques podem explorar esta vulnerabilidade de “dia zero” no sistema. Até que a organização consiga corrigir a vulnerabilidade – tornando-a segura – todos os usuários do sistema estarão potencialmente vulneráveis a ataques.
Em 2020, uma das vulnerabilidades de dia zero mais famosas foi o Zerologon, que afetou os controladores de domínio (DCs) do Windows. Os invasores que explorarem essa vulnerabilidade poderão obter controle total sobre a rede gerenciada pelo controlador de domínio vulnerável. Os cibercriminosos exploravam ativamente esta vulnerabilidade antes de muitas organizações a corrigirem, o que levou a diretivas de segurança de emergência do governo dos EUA para que as agências governamentais aplicassem a correção imediatamente.
Esta lista das principais ameaças não é exaustiva e não abrange todas as ameaças ativas à segurança cibernética empresarial. Exemplos de outras ameaças comuns à segurança cibernética incluem:
Embora estes ataques potenciais não estejam na lista das ameaças cibernéticas mais comuns e perigosas, ainda representam um risco significativo. As soluções de segurança empresarial também devem incluir a capacidade de detectar, prevenir e remediar ataques usando esses vetores.
A segurança cibernética empresarial tornou-se mais difícil com o aumento do trabalho remoto impulsionado pela COVID-19. Em vez de uma força de trabalho maioritariamente presencial, as equipas de segurança precisam agora de proteger os funcionários que trabalham a partir de casa (potencialmente em dispositivos de propriedade pessoal).
Esses sistemas conectados diretamente à rede pessoal e à Internet pública são mais vulneráveis a ataques. Como resultado, a Segurança do endpoint – tanto em computadores quanto em dispositivos móveis – é uma prioridade ainda maior para a segurança cibernética corporativa do que antes.
Com a ampla gama de ameaças potenciais à segurança cibernética, as organizações exigem uma solução de detecção e respostaendpoint capaz de detectar e proteger todos os dispositivos de seus funcionários contra as principais ameaças cibernéticas. Para saber mais sobre os recursos que você deve procurar em uma plataforma de Segurança de endpoint, confira estes guias do comprador para proteção de endpoint e segurança de dispositivos móveis.
Check Point Harmony Endpoint e Harmony Mobile oferecem proteção abrangente de endpoint e dispositivos móveis para toda a força de trabalho remota de uma organização. Isso inclui proteção contra malware, ataques baseados na Web e outros riscos importantes de segurança cibernética. Para ver por si mesmo como o Check Point Harmony Endpoint e o Harmony Mobile podem proteger a sua organização contra ameaças cibernéticas, solicite uma demogratuita.