Nos últimos anos, presenciamos uma grande transição de empresas de todos os portes para a nuvem. Por sua vez, a implementação massiva do trabalho remoto e outras mudanças trazidas pela pandemia de COVID-19 aceleraram a tendência da cloud, forçando as lideranças a implementarem medidas mais assertivas de proteção contra ciberameaças.
Nesse cenário, enquanto as empresas trabalham para se adaptar aos ambientes baseados em nuvem, os ataques contra tais sistemas aumentaram 250% em 2020.
Vale destacar, no entanto, que se o aumento de ativos na nuvem criou novos desafios para os negócios, isso não necessariamente “facilitou a vida” dos hackers. Assim como há obstáculos diários para as equipes de segurança, os cibercriminosos também lidam com seus limites – o seu tempo tem um custo, há a necessidade de operar com orçamentos enxutos e também um limite na sua capacidade técnica.
A partir daí, conhecer o inimigo – ou seja, entender a lógica dos hackers – é um primeiro passo importante para decodificar os sinais e fechar possíveis brechas e portas de entrada para ataques.
A seguir, confira perguntas feitas pelos hackers antes de escolher um ativo para explorar!
Antes da exploração: 6 perguntas feitas pelos hackers para escolher um alvo
1. Quais informações úteis posso ter sobre o alvo “do lado de fora”?
Na superfície, todo potencial alvo de um ciberataque tem uma história para contar, com mais ou menos detalhes. Em última análise, quanto mais informações o hacker conseguir obter sobre uma determinada tecnologia utilizada (ou sobre um funcionário de uma empresa), mais confiança ele terá para avançar para a próxima etapa do ataque- a invasão da rede corporativa.
A descoberta de detalhes sobre um alvo reflete a chamada “enumerabilidade”, ou seja, a precisão com que um cibercriminoso pode detalhar um alvo do lado de fora.
Por exemplo: se os atacantes conseguem visualizar a versão exata e as configurações de um serviço em uso, eles se tornam aptos a fazer explorações e ataques precisos, maximizando as chances de sucesso e reduzindo as chances de detecção.
2. Quão valioso esse ativo é para a vítima?
Não se engane: cada passo dos hackers envolve esforço, tempo, dinheiro e risco. Por isso, é muito melhor atacar quando há maiores chances de sucesso e não “agir no escuro”. De fato, determinados alvos têm maior probabilidade de render bons ganhos porque são altamente valiosos para a exploração.
Diante desse cenário, aplicações de segurança como VPNs e firewalls, ou ainda soluções de suporte remoto, são grandes chaves de acesso para prosseguir o ataque – comprometer um desses ativos pode abrir um caminho direto para a rede e para credenciais que permitam um acesso ainda mais amplo.
Simples assim: os hackers procuram ferramentas que permitam os melhores posicionamento e acesso. Ativos que são vulneráveis mas que não protegem – ou não levam – a dados críticos e valiosos não são vantajosos do ponto de vista da exploração.
3. O ativo em questão é conhecido por ser “explorável”?
Ao contrário do que se pode pensar, não é porque um ativo está vulnerável ou conta com sérias falhas de segurança que ele será de interesse para os hackers. Isso porque nem todas as brechas são de fato “exploráveis”. Algumas podem ser, mas somente em circunstâncias específicas. Outras são perfeitamente exploráveis na teoria, mas nenhum cibercriminoso já investiu no “trabalho” na prática.
Nesse sentido, é importante ter em mente que os atacantes consideram os custos e as probabilidades de realmente conseguir invadir um ativo. Afinal, tempo é dinheiro e explorações levam tempo: os hackers analisam quais ferramentas estão disponíveis publicamente, as ferramentas que podem comprar ou mesmo construir e até os “kits de exploração” que podem adquirir para efetivar um ataque (isso é mais comum do que se pode imaginar!).
4. Quão receptivo esse ativo será se eu atacá-lo? (“potencial pós-exploração”)
Na ótica dos hackers, a definição de um “ambiente receptivo” é aquele que torna possível a exploração sem detecção do cibercrime. Em outras palavras, trata-se de um ativo no qual malwares e recursos de ataque funcionam e há poucas defesas. Dessa forma, as chances de identificação da ação hacker também são baixas.
Assim, qualquer tecnologia que é suficientemente protegida e monitorada – a exemplo dos endpoints – não é considerada receptiva ou hospitaleira para o cibercrime.
Por outro lado, dispositivos móveis e aplicações de VPN, assim como outros dispositivos hardware desprotegidos que são ligados à rede, são excelentes “hospedeiros”. Esse nível de receptividade define o chamado “potencial pós-exploração”.
5. Quanto tempo vai levar para desenvolver e explorar?
Quando analisam um alvo em potencial, os hackers estudam quais são as probabilidades de sucesso ao desenvolver uma nova exploração – e a que custo.
De fato, os custos das pesquisas de vulnerabilidades, juntamente com os gastos para testar e incrementar quaisquer ferramentas de exploração, são parte da avaliação do custo-benefício de se explorar ou não um ativo.
A partir daí, quaisquer barreiras que limitam o acesso ao alvo diminuem as chances de atacar determinadas plataformas, recursos ou serviços.
Confira também: Ataque de engenharia social: o que é, principais tipos e casos
6. As ferramentas de exploração criadas vão gerar um bom ROI?
Mais uma vez, vale repetir: os atacantes investem tempo, pesquisa e capital humano para criar e desenvolver ferramentas de exploração. Assim, eles desejam o maior ROI (retorno sobre o investimento) possível. Não por acaso, frequentemente eles miram uma maior quantidade de alvos e empresas em um único ataque, visando otimizar os custos e maximizar os ganhos.
Com recursos limitados, o ideal para os hackers é disseminar suas estratégias de ataque e aumentar o lucro com múltiplos alvos.
Conclusão
Por fim, vale a pena reforçar: os hackers não observam somente a severidade de uma vulnerabilidade para atacar, mas todo um espectro de componentes que envolvem o planejamento e todas as demais etapas da exploração. De fato, há todo um gerenciamento de recursos para se atingir o objetivo, ou seja, para operar seus negócios maliciosos.
Nesse cenário, “entrar na mente” dos cibercriminosos, investigando suas motivações e métodos comuns de ataque, é importante para que as organizações repensem suas prioridades e elenquem os ativos mais valiosos e também mais atraentes do ponto de vista dos hackers, fortalecendo a segurança em termos de ferramentas e também estratégia.
E então, gostou do conteúdo? Para prosseguir no assunto e ampliar a proteção do seu negócio e dos seus clientes, não deixe de conferir também os principais riscos de segurança da informação e como combatê-los!
FONTE: Threat Post
