Nossa Equipe Global de Resposta a Emergências (GERT, sigla em inglês) da Kaspersky analisou os incidentes investigados por nossos especialistas em 2021 para elaborar um relatório detalhado. Você pode acessar ao relatório completo preenchendo o formulário no blog Securelist. Enquanto isso, gostaríamos de compartilhar as principais descobertas e as principais recomendações dos especialistas em resposta.
Vetores iniciais de ataque
Na maioria das vezes, em 2021, os invasores tentaram atacar a infraestrutura das empresas explorando vulnerabilidades em aplicativos amplamente disponíveis (em 53,6% dos casos). Em 17,9% dos casos, eles usaram credenciais anteriormente comprometidas, e em 14,3% — e-mails maliciosos. Diante disso, nossos especialistas recomendam:
- implementação de uma forte política de senha e autenticação multifatorial;
- exclusão da possibilidade de acesso direto aos mecanismos de gestão dos sistemas de informação;
- instalação de atualizações para serviços e sistemas disponíveis ao público o mais rápido possível ou o desenvolvimentode medidas proativas adequadas para protegê-los;
- promoção periódica de iniciativas para aumentar a conscientização de cibersegurança dos funcionários.
Ferramentas usadas em ataques
Em quase 40% dos incidentes, os atacantes usaram ferramentas típicas: ou eram componentes legítimos do sistema operacional ou software de teste de penetração. Nossos especialistas explicam que é possível ser precavido quanto a estes tipos de ataque por meio das seguintes medidas:
- se possível, pare de usar softwares comumente explorados por atacantes;
- use soluções da classe de EDR;
- crie regras para detectar as ferramentas mais utilizadas pelos cibercriminosos;
- realize regularmente testes de penetração e exercícios cibernéticos usando técnicas e táticas comuns dos golpistas.
Impactos incidentes
Cibercriminosos tentaram criptografar dados corporativos em 51% dos incidentes. O que é pior, 16% dos ataques resultaram em vazamentos de dados. Em 11,1%, o Active Directory foi comprometido. Para minimizar os danos ao seu negócio, recomendamos:
- faça regularmente backup de seus dados;
- preste atenção especial à proteção de sistemas que contenham informações pessoais;
- trabalhe com um provedor de serviços confiável de resposta a incidentes com SLAs rápidos;
- realize testes de penetração regulares e exercícios de computador usando as técnicas e táticas usuais dos invasores.
Para desenvolver as habilidades das equipes internas de resposta a incidentes e prepará-las para combater ciberataques complexos, recomendamos o curso Kaspersky Expert Training Windows Incident Response. Este curso é baseado na experiência e conhecimento de especialistas da própria Equipe Global de Resposta a Emergências da Kaspersky e, entre outras coisas, ensinará seus especialistas a identificar corretamente incidentes, obter evidências, analisar logs e redes e criar indicadores. Você pode ler mais sobre o curso na página de treinamento especializado online.