Relatório Global de Ameaças de 2024 da Elastic: previsões e recomendações

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

Ontem, o Elastic Security Labs divulgou o Relatório Global de Ameaças da Elastic de 2024, uma análise abrangente de mais de 1 bilhão de pontos de dados da telemetria exclusiva da Elastic. O relatório fornece insights sobre os métodos, técnicas e tendências dos agentes de ameaças da perspectiva dos defensores, fornecendo insights cruciais para as equipes de segurança priorizarem e melhorarem sua postura de segurança. 

As observações neste relatório são baseadas em telemetria anônima e higienizada da Elastic, bem como em dados públicos e de terceiros que foram enviados voluntariamente. A telemetria foi amplamente revisada por nossos especialistas no Elastic Security Labs e transformada em insights acionáveis para nossos clientes, parceiros e comunidade de segurança em geral.

Destaques das previsões e recomendações

Este ano, o Elastic Security Labs observou a evolução dos agentes de ameaças, incluindo um aumento nos ataques de acesso a credenciais e a manipulação contínua de ferramentas ofensivas de segurança. Aqui estão algumas das principais previsões e recomendações do relatório.  

Os corretores de acesso e o ecossistema de ladrões de informações aumentarão o impacto das credenciais expostas

Durante vários incidentes de alto perfil neste ano, pesquisadores observaram que os adversários usaram credenciais roubadas provenientes do ambiente da vítima. Na maioria desses casos, o ambiente também continha evidências de ladrões de informações ou artefatos de porta dos fundos anteriores. Pode ser muito difícil determinar quais credenciais foram comprometidas após o passar do tempo.

Recomendação: alterne as credenciais de conta expostas e invista em fluxos de trabalho de resposta para redefinir contas. A análise de comportamento de usuários e entidades (UEBA) é uma classe de tecnologias que pode ajudar a identificar contas comprometidas, e monitorar as contas usadas em ataques de força bruta (significativamente comuns em ambientes baseados em nuvem) pode ajudar nos casos em que as evidências foram realocadas ou excluídas.

A telemetria descobriu que as equipes de segurança são muito permissivas com os recursos do provedor de serviços em nuvem (CSP), o que aumenta o risco de exposição futura de dados

Observamos que as configurações de postura de segurança na nuvem estavam consistentemente mal configuradas em todos os hiperescaladores. De uma forma ou de outra, os usuários configuraram incorretamente os mesmos recursos de todos os CSPs:

  • Políticas de acesso permissivas permitiram logins de qualquer lugar

  • Políticas de armazenamento permissivas permitiram operações de arquivos de contas de todos os tipos

  • Políticas de tratamento de dados descuidadas ou criptografia fraca

As empresas que equilibram a usabilidade e a sobrecarga de garantir recursos essenciais podem ter dificuldade em priorizar uma postura agressiva ou priorizá-la de forma consistente. Em muitos casos, as auditorias e orientações são bem compreendidas e estão amplamente disponíveis sem nenhum custo.

Recomendação: as equipes de segurança devem considerar o uso do processo de benchmark do Center for Internet Security (CIS) para identificar quais configurações em seu ambiente precisam de mais atenção. Quando as pontuações de postura do CIS atingirem 100, certifique-se de que a equipe de InfoSec seja bem versada nas técnicas de intrusão baseadas em nuvem mais comuns. O monitoramento desse estado de linha de base deve ajudar a melhorar a velocidade da detecção de ameaças e, ao mesmo tempo, proteger o ambiente contra ameaças futuras.

Os adversários vão se empenhar ainda mais na evasão de defesa, especialmente em técnicas que impedem a visibilidade do sensor

Os sinais de evasão de defesa mais comuns foram vistos em sistemas Windows e geralmente envolviam um trio de técnicas: injeção de processo, execução de proxy binário do sistema e defesas prejudicadas. Coletivamente, essas três técnicas podem ser usadas para obter uma posição inicial com privilégios suficientes para adulterar ou ocultar a instrumentação antes que os dados possam ser enviados para um repositório de dados.

Recomendação: não existe uma solução para essa metodologia complexa, mas as equipes de segurança devem monitorar as alterações na visibilidade do endpoint, proxies binários integrados e indicadores de injeção de processo. No entanto, o monitoramento eficiente não pode ser alcançado sem agentes de endpoint interativos implantados antes da descoberta da atividade de ameaça, que não serão eficazes se estiverem configurados incorretamente. Os pesquisadores frequentemente observaram empresas em que os administradores não conseguiram habilitar mitigações licenciadas, resultando em resultados indesejáveis.

Antecipe-se aos invasores com o Relatório Global de Ameaças de 2024 da Elastic

Essas previsões fornecem apenas um breve resumo das ameaças, invasores e defesas que esperamos que estejam em jogo no próximo ano. Para ver as outras previsões e uma visão geral detalhada do cenário de segurança, você pode acessar o Relatório de Ameaças Globais da Elastic de 2024completo.

O lançamento e o tempo de amadurecimento de todos os recursos ou funcionalidades descritos neste artigo permanecem a exclusivo critério da Elastic. Os recursos ou funcionalidades não disponíveis no momento poderão não ser entregues ou não chegarem no prazo previsto.