Os ciberataques operam escaneando as redes e aplicativos de suas organizações-alvo — sua superfície de ataque digital — para criar ataques em várias etapas usando diversas técnicas e procedimentos que exploram vulnerabilidades descobertas e de dia zero. Neste artigo, consideramos diversas classes de ameaças contra as quais as empresas devem se defender e destacamos o uso de princípios de confiança zero para aumentar as chances de conter danos causados pelas atividades dos adversários. Em seguida, daremos uma breve olhada nas táticas, técnicas e procedimentos dos invasores, que são codificados na estrutura MITRE ATT&CK. Por fim, discutimos a estrutura MITRE D3FEND e a mapeamos para os princípios de confiança zero. 

No glossário do Centro de Recursos de Segurança Computacional (CSRC), o Instituto Nacional de Padrões e Tecnologia (NIST) oferece uma definição abstrata de “superfície de ataque” como “o conjunto de pontos no limite de um sistema, um elemento do sistema ou um ambiente onde um invasor pode tentar entrar, causar um efeito ou extrair dados desse sistema, elemento do sistema ou ambiente”.

Outra maneira de pensar em “superfície de ataque” é considerar todas as vulnerabilidades conhecidas e desconhecidas que espreitam em vários componentes do ambiente digital. Uma lista não exaustiva de tais componentes incluiria: 

• Ativos de rede físicos e virtuais, computação e armazenamento
  
• Hipervisores, máquinas virtuais, sistemas de orquestração de contêineres, malhas de serviços
  
• Software executado nesses ativos, como firmware, sistemas operacionais, software de gerenciamento de banco de dados, software de aplicação
  
• Repositórios de imagens de contêiner, repositórios de imagens de VM, repositórios de códigos
  
• APIs internas e externas, pontos de extremidade de microsserviços, portais de aplicações
  
• Serviços externos ao ambiente local, mas consumidos localmente, como serviços de validação de identidade, servidores de horários e armazenamento remoto de dados
  
• Armazenamentos de identidades, bancos de dados de contas de usuários, armazenamentos de dados corporativos

Para minimizar os riscos aos negócios, as organizações devem defender seus próprios ativos digitais e propriedade intelectual, bem como a privacidade de seus clientes e funcionários, além de cumprir todos os requisitos de conformidade regulatória. Eles devem fazer isso e, ao mesmo tempo, garantir que os fluxos de trabalho empresariais e as experiências digitais continuem disponíveis e confiáveis. A solução para esse desafio é aderir aos princípios de confiança zero: usar o menor privilégio, verificar explicitamente, avaliar continuamente e assumir violação.¹ Ao fazer isso, as organizações podem abordar diversas classes de ameaças diferentes, conforme discutido nas seções a seguir.

Os dados são a força vital das empresas digitais modernas; portanto, os invasores têm fortes motivações financeiras para ir atrás dos dados de uma organização. Uma vez roubados, os dados podem ser vendidos na dark web e usados por terceiros para causar ainda mais danos ao proprietário dos dados. Uma organização também pode ser vítima de ransomware, onde os invasores tornam os dados da organização indisponíveis, seja criptografando os dados no local ou removendo-os completamente da infraestrutura da organização. Os invasores podem então exigir um pagamento — um “resgate” — da vítima em troca da restauração dos dados. Uma terceira classe de ataque de dados, usada por atores que simplesmente desejam causar danos, é corromper sutilmente os dados, interrompendo assim os processos de negócios e as experiências digitais que dependem deles. 

Vazamento de dados, ou violação de dados, ocorre quando um adversário obtém acesso a informações confidenciais sem o consentimento do proprietário. Além do impacto na propriedade intelectual, esses ataques geralmente causam danos à marca e perda de confiança. A lei exige que organizações violadas relatem qualquer perda de dados que contenha informações de identificação pessoal. Técnicas de phishing, exploração de vulnerabilidades em aplicativos públicos e uso de comprometimento da cadeia de suprimentos são métodos populares para infiltrar o ambiente digital onde os dados são armazenados.

Um exemplo recente notável é o ataque à cadeia de suprimentos da SolarWinds,² que os adversários usaram para penetrar em milhares de corporações e organizações governamentais. Esse acesso inicial forneceu um trampolim para etapas subsequentes de exploração de ataques, estabelecendo uma presença persistente na infraestrutura digital, permitindo assim o movimento lateral entre vários aplicativos e redes de vítimas. No final das contas, essas táticas levaram aos objetivos finais do invasor: comprometer credenciais/senhas e exfiltrar os dados da vítima. 

Outra forma de ataque contra dados são os ataques de “ransomware”, nos quais hackers implantam malware para interromper ou bloquear completamente os principais processos de negócios. Mais comumente, dados empresariais cruciais são criptografados ou removidos, interrompendo fluxos de trabalho críticos. Em alguns casos, os dados no armazenamento de dados de autenticação de identidade também são criptografados ou removidos, bloqueando completamente o acesso de usuários legítimos ao sistema. Somente após o recebimento do “resgate” os invasores restauram o acesso ao sistema ou descriptografam os dados. Em maio de 2021, um ataque de ransomware paralisou a Colonial Pipeline,³ que transporta gasolina e combustível de aviação para o sudeste dos Estados Unidos.

Alguns adversários usam uma abordagem mais sutil em seus ataques de dados. Em vez de exfiltrar os dados ou torná-los indisponíveis, esses invasores sofisticados fazem um pequeno número de alterações cuidadosamente direcionadas aos dados in situ da organização vítima, com o retorno sendo entregue por meio dos fluxos de trabalho externos normais do aplicativo. Exemplos incluem aumentar a fração de assentos de avião que serão vendidos com desconto, manipular um banco de dados de estoque para fazer parecer que mais ou menos itens estão à venda ou adicionar um código de desconto especial em um site de varejo eletrônico. Essas mudanças “furtivas”, que geralmente são difíceis de detectar até que o dano seja feito, aproveitam os fluxos de trabalho de negócios da própria vítima para extrair valor para o invasor. 

Hackers lançam ataques que consomem recursos na rede e na infraestrutura de computação, fazendo com que os processos de negócios fiquem paralisados ou funcionem de forma ineficiente. Os objetivos de tais ataques variam desde prejudicar a marca da organização alvo até extorquir pagamento para atingir um resultado comercial específico, como tornar a venda de ingressos online indisponível. Além disso, invasores avançados geralmente usam esse tipo de ataque como uma cortina de fumaça enquanto realizam outras etapas de um ataque simultâneo e mais sofisticado. 

Os invasores usam botnets para direcionar o tráfego de ataque aos recursos do alvo para lançar ataques de negação de serviço distribuído (DDoS). Ataques DDoS volumétricos inundam a rede do alvo com tráfego, consumindo toda a largura de banda disponível. Ataques de protocolo DDoS enviam tráfego especializado para preencher tabelas de conexão em dispositivos de rede com estado, como firewalls, para que conexões legítimas sejam interrompidas. Ataques DDoS de aplicativos consomem recursos nos servidores com solicitações ilegítimas. 

Os invasores podem obter acesso não autorizado a recursos de computação para executar cálculos em nome do invasor, cujos resultados são reportados a um servidor de comando e controle. Isso geralmente é feito para executar código de criptomineração em segundo plano, sem o conhecimento do proprietário do computador. Phishing e downloads drive-by são métodos típicos usados para implantar código de criptomineração em computadores. Os hackers usam a tática de movimento lateral MITRE ATT&CK para aumentar a capacidade da CPU roubada e a tática de persistência para sustentar sua capacidade de executar cálculos não autorizados.

Atores com intenções maliciosas causam danos às organizações ao abusar de um fluxo de trabalho ou experiência do usuário desejado. Essas ameaças podem levar à perda de receita, uma marca manchada e maiores custos operacionais para lidar com fraudes.

Hackers, motivados por lucro pessoal, usam processos comerciais legítimos para prejudicar organizações. Por exemplo, eles podem usar a automação para comprar um número substancial de ingressos para um evento popular, tornando impossível para outros comprarem, e então vendê-los a um preço mais alto. 

Informações comerciais podem ser extraídas do site público de uma organização ou roubadas de sistemas internos e, então, usadas de maneiras prejudiciais à organização. Por exemplo, um concorrente pode roubar informações de preços e reduzir seus próprios preços para atrair clientes. 

Hackers podem modificar o conteúdo de um site público e desfigurá-lo para constranger uma organização. Eles também podem alterar o conteúdo para fornecer informações incorretas aos usuários do site. 

Os fraudadores encontram maneiras de realizar transações financeiras em nome de outros usuários para se beneficiarem das transações. Eles usam credenciais roubadas para assumir o controle de uma conta ou enganar usuários desavisados para que acessem um site que parece um que eles normalmente usam e forneçam suas credenciais de conta. Esse tipo de fraude geralmente é feito em sites de comércio eletrônico ou portais de instituições financeiras. Durante a era da COVID, muitos fraudadores se envolveram em fraudes de desemprego, nas quais entraram com pedidos fraudulentos de seguro-desemprego usando identidades roubadas e direcionaram os benefícios para si mesmos.⁴

Um adversário persistente que lança uma ameaça contra uma organização é paciente, organizado e altamente qualificado. Para causar danos, o invasor deve atingir vários objetivos táticos, como coletar informações, obter acesso inicial, estabelecer uma posição de destaque, roubar informações, exfiltrar dados e muito mais. A estrutura MITRE ATT&CK⁵ lista objetivos táticos, técnicas para atingir os objetivos táticos e procedimentos para implementar essas técnicas. Os defensores podem usar essa estrutura para dissecar qualquer ataque em seu conjunto de táticas, técnicas e procedimentos (TTPs), que podem ser encontrados no site da estrutura MITRE ATT&CK . Observamos que, para cada tática e suas técnicas associadas, a adesão aos princípios de confiança zero em todo o ambiente digital reduz a probabilidade de sucesso do invasor e aumenta a probabilidade de detecção precoce de sua atividade, conforme representado na Figura 1. 

A estrutura D3FEND oferece uma base de conhecimento de contramedidas e um gráfico de conhecimento que “contém tipos e relações semanticamente rigorosos que definem tanto os conceitos-chave no domínio de contramedidas de segurança cibernética quanto as relações necessárias para vincular esses conceitos entre si”.⁷ Esta estrutura ajuda os profissionais de segurança a considerar quais recursos são necessários para se defender contra ameaças relevantes ao seu ambiente digital.

Além disso, é possível pensar no risco de segurança em termos de preparação contra os vários TTPs enumerados na estrutura MITRE ATT&CK, avaliando a capacidade de executar contramedidas relevantes listadas na estrutura D3FEND. O tecido conjuntivo entre as duas estruturas é a abstração do “artefato digital”. Quando os invasores empregam um conjunto de TTPs para conduzir seu ataque, sua atividade produz artefatos digitais observáveis. A estrutura D3FEND ajuda os profissionais a observar especificamente como procurar artefatos digitais produzidos pela atividade do adversário e ajuda a construir um plano defensivo acionável.

Observamos que as categorias de contramedidas MITRE D3FEND mapeiam perfeitamente as técnicas de segurança de zero trust baseadas nos princípios de zero trust, conforme visto na Figura 2.

Os aplicativos e experiências digitais de hoje estão sendo impulsionados pelo desejo empresarial por um envolvimento mais rico entre uma variedade maior de clientes-alvo, incluindo dispositivos humanos e inteligentes, no contexto mais amplo de um ecossistema de empresas digitais interconectadas que atendem a uma força de trabalho móvel e base de clientes cada vez maiores. Simultaneamente, a exigência por agilidade e eficiência empresarial cada vez maiores fez com que as arquiteturas de aplicativos aproveitassem componentes de código aberto e SaaS em um grau muito maior. Consequentemente, a aplicação principal hoje depende de uma infraestrutura mais profunda e menos controlada do que nunca. Os requisitos empresariais modernos aumentaram a complexidade da arquitetura de aplicativos, resultando na exposição de uma superfície de ameaça mais ampla e dinâmica, que está sendo explorada por adversários sofisticados, mais bem financiados e mais motivados do que nunca.

A estrutura MITRE ATT&CK oferece uma nomenclatura organizada para táticas, técnicas e procedimentos que os criminosos usam para compor ataques complexos. A estrutura MITRE D3FEND especifica um gráfico de conhecimento de contramedidas que as organizações podem usar para detectar artefatos digitais observáveis produzidos pelos TTPs usados em um ataque. As contramedidas do MITRE D3FEND podem ser associadas a vários princípios de confiança zero, e a adesão a esses princípios torna o mecanismo específico de implementação da contramedida mais eficaz. 

Baixe o relatório