top of page
Buscar

Contra-Medidas em Face a um Ataque Cibernético

Atualizado: 20 de jun. de 2024


Contra-Medidas em Face a um Ataque Cibernético

Entendendo para Contra-Atacar

No nosso Post “Ataques Cibernéticos - Entenda como são Feitos”, falamos sobre vetores de ataque e a sequência de ações tomadas pelos criminosos cibernéticos.


Sabendo como os malfeitores geralmente agem também nos dá dicas e insights sobre como podemos tentar mitigar esses riscos.


Quanto mais cedo um incidente for detectado, mais rapidamente a causa poderá ser descoberta, e maiores as chances de conter os riscos.


A seguir as contra-medidas que podem ajudar você ou sua empresa a tentar deter ataques - de acordo com cada etapa, e evitar que o criminoso consiga completá-las e alcançar seu objetivo.

 

Etapa 1: Reconhecimento

Conseguir quebrar um ataque nesta primeira etapa começa com ações proativas e medidas de conscientização. Confira as orientações:


Contra-Medidas:

  • Prover treinamentos de conscientização com usuários finais sobre segurança da informação e na web

  • Focar em temas como as técnicas de Engenharia Social - Phishing, Spoofing, Shoulder Surfing, etc

  • Abordar os assuntos relacionados à segurança e privacidade nas redes e mídias sociais

  • Esclarecer e elucidar as equipes sobre as Políticas de Segurança da empresa - focando nas regras sobre senhas, acesso remoto, restrição de acesso e privilégios e segurança física

  • Fazer o monitoramento contínuo do tráfego e das atividades nas redes, a fim de detectar e evitar atividades suspeitas e/ou não-autorizadas

  • Acompanhar e inspecionar continuamente as atividades através dos logs

  • Implementar processos de gerenciamento de configurações - assegurando que novas aplicações, serviços e endpoints estejam apropriadamente configurados

 

Etapa 2: Escolha das Armas (Weaponization)

Nesta fase, quebrar o ataque torna-se muito desafiador e difícil. Isto porquê, nesta etapa, o criminoso age dentro de sua própria rede.


Porém, tendo conhecimentos acerca das armas disponíveis e das suas formas de atuação ajuda a área de Inteligência de Ameaças (Threat Intelligence) a implementar proteção adicional através de patches, quando o malfeitor tentar prosseguir o ataque (etapa 3).

 

Etapa 3: Envio / Distribuição


Contra-Medidas:

  • Visualizar e acompanhar todo o tráfego nas redes

  • Monitorar atividades nos dispositivos móveis e remotos

  • Bloquear IPs de aplicações e de sites duvidosos, maliciosos e suspeitos

  • Tomar medidas preventivas contra malwares conhecidos e avançados (do tipo “stealth”)

 

Etapa 4: Exploração

Impedir o prosseguimento do ataque nesta etapa também exige ações proativas e ações de conscientização.


Contra-Medidas:

  • Realizar treinamentos de conscientização com usuários finais sobre medidas preventivas contra malwares e fatores relacionados à segurança usando e-mails

  • Gerenciar os patches de segurança e contra vulnerabilidades

  • Estabelecer ações/medidas de prevenção e detecção de malwares

  • Trabalhar em conjunto com a equipe de Inteligência de Ameaças

  • Bloquear aplicações e serviços que não estão mais em uso, bem como aquelas que são desnecessárias, não-autorizadas ou que oferecem riscos

  • Gerenciar as permissões de acesso de arquivos e diretórios

  • Revisar e gerenciar os privilégios de administradores e do “root”

  • Monitorar e fazer os logs das atividades na rede

 

Etapa 5: Instalação


Contra-Medidas:

  • O ponto-chave para conter o ataque nesta fase é tentar impedir/limitar a movimentação do atacante ao longo da rede / sistema

  • Uma das formas é adotar a segmentação da rede (ambiente computacional)

  • Outra é usar um modelo de segurança do tipo Zero Trust, que monitora e inspeciona todo tráfego existente entre as zonas e segmentos

  • Implementar um sistema de controle granular de aplicações permitidas na rede

 

Etapa 6: Comando e Controle

As atividades de comando e controle feitas pelos hackers usando sistemas e servidores da internet é conhecida como “comunicação C2”.


Contra-Medidas:

  • Fazer a inspeção de todo tráfego na rede (inclusive comunicações criptografadas)

  • Bloquear comunicações C2 do tipo “outbound” (que saem da rede) usando aplicações anti-C2

  • Bloquear todas as comunicações outbound para URLs e endereços IP maliciosos

  • Bloquear todas as novas técnicas de ataque que usam métodos de evasão de ports

  • Prevenir o uso de proxies e anonimizadores na rede

  • Monitorar o DNS para domínios maliciosos

  • Redirecionar comunicações outbound maliciosas para “honeypots”, a fim de identificar ou bloquear pontos comprometidos e analisar o tráfego do ataque

 

Etapa 7: Agir conforme Objetivo

Nesta etapa, o ataque está praticamente feito. Manter o monitoramento constante e as ações de conscientização devem sempre fazer parte das atividades.


No entanto, segundo um relatório sobre vazamento de dados feito pela Verizon, esta etapa é usada pelos malfeitores para pular as etapas precedentes.


O intuito é comprometer aplicações web a fim de ajudar e facilitar o ataque à outra vítima/alvo.


Algumas vezes, criminosos podem obter acesso à extranet de uma empresa, com o objetivo de conseguir dados de um parceiro de negócios - que é o alvo principal.


O que pode infelizmente acontecer, tratando-se da situação acima, é que a empresa - que teve sua extranet invadida pelo hacker, torna-se involuntariamente um “cúmplice” do ataque.


NOS VEMOS NOS PRÓXIMOS POSTS!

2023 - Criado e Desenvolvido por TheWebGuardian - Blog Informativo sem fins lucrativos.

bottom of page