Mesmo possuindo muitas soluções de segurança da informação disponíveis no mercado não significa que sua empresa está imune a invasão, as recentes manchetes indicam isso. Devemos reconhecer que mesmo os melhores produtos não podem oferecer 100% de proteção aos agentes de ameaças maliciosas que querem ter acesso aos nossos sistemas.
Além disso, existem centenas de produtos de segurança no mercado que bombardeiam os profissionais de TI com milhares de alertas por semana, a maioria dos quais são indicação de algo, não necessariamente ruim. Estes realmente permitir ameaças reais a esgueirar-se os profissionais de segurança passados, fazendo tentativas para encontrar uma agulha num palheiro quase impossível.
Aqui estão quatro maneiras que um hacker pode invadir uma empresa, desviando das soluções de segurança mais comuns:
Infectar um dispositivo de terceiros
Neste cenário, o hacker infecta um componente com sistemas operacionais fornecido por terceiros. Esses componentes são geralmente pré-instalados em softwares que são fornecidos por um fabricante de OEM para promover determinados serviços e produtos, tais como as capacidades anti-roubo.
O problema é que a maioria destes “extra-pacotes” são persistentes, projetado para permanecer no sistema, mesmo após a limpeza do sistema profissional ou uma substituição total da unidade de disco. O risco? Estes pacotes de software recebem o mais alto nível de privilégios de sistema, permitindo-lhes realizar qualquer atividade.
Na verdade, alguns desses pacotes são conhecidos por agirem como backdoors. Recentemente, uma campanha de spyware massa foi exposta, revelando que nas duas últimas décadas, inúmeros pacotes de firmware comum eram, na verdade, ferramentas de spyware. No início deste ano, o Superfish, programa de anúncios adware pré-instalado em alguns computadores portáteis foi encontrado permitindo que os hackers lançassem ataques Man-in-the-Middle contra a vítima.
Infectando um serviço de nuvem usado pela organização
Neste cenário, o hacker infecta um serviço de compartilhamento de arquivos comum com malware. Uma vez que os funcionários da organização sincronizam seus arquivos com esse serviço, resultará numa infecção em massa. O Dropbox, por exemplo, adverte precisamente contra esta ameaça, incentivando os usuários a considerar medidas adicionais de segurança para o sincronismo de arquivos.
Aproveitando vulnerabilidades de design
Atacantes sofisticados encontrarão e explorarão falhas de design que são imprevistos pelos autores do sistema operacional e aplicativos, bem como aqueles que criam soluções que tentam impedir a infiltração de código malicioso. Por exemplo, Sandworm, uma falha de design que aparece em um componente do Windows. Ele pode permitir a execução remota de código. Foi usado em uma campanha de ciber-espionagem atribuída à Rússia, onde alvos eram: OTAN, Ucrânia, Polônia, União Européia, Empresas Européias de Telecomunicações e do Setor de Energia. Os atacantes foram capazes de ignorar facilmente as defesas até que os exploits foram descobertos e assinaturas ou novas técnicas de detecção foram atualizados.
Ataques hacker focados nos dados
Neste cenário, um exploit baseado em vulnerabilidades de corrupção de memória comum como estouro de buffer e permite execução remota de código arbitrário. O que faz com que este cenário de modo exclusivo, e, portanto, extremamente difícil para detectar, é que o ataque altera o comportamento de aplicação através da manipulação apenas os dados de endereço no âmbito de aplicação. Tal ataque foi apresentado na Black Hat Europa por Francisco Falcon: “”Exploiting Adobe Flash Player in the era of Control Flow Guard”.
É importante reconhecer que os atacantes criarão códigos maliciosos que realizarão os objetivos de encontrar e comprometere sistemas de dados valiosos enquanto simultaneamente permanecem abaixo do radar das defesas normais dos usuários do sistema.
Considerando que o comprometimento de nossos sistemas é inevitável, precisamos abordar os ataques tal como doenças crônicas, ou seja, controlar a doença em vez de curá-la. Como mencionado acima, no caso de cibersegurança, que significa prevenir as consequências da invasão, ou seja, o roubo de dados valiosos. Assim como o tratamento adequado pode aliviar o sofrimento e aumentar a longevidade, as organizações devem aprender a trabalhar com segurança em face de uma rede persistentemente comprometida.
Fonte (em inglês): Helpnetsecurity