Empresas devem se armar com proteção que forneça sensores onde é necessário, além de ter equipe de TI capacitada para reconhecer anomalias e agir em conformidade.
Os ataques direcionados são desenvolvidos para ludibriar políticas e soluções existentes dentro da rede alvejada, tornando sua detecção um grande desafio. E não há uma solução “tamanho único” contra ela. O ideal é que as empresas se armem com um tipo de proteção que possa fornecer sensores onde é necessário, além de uma equipe de TI capacitada para reconhecer anomalias na rede e agir em conformidade.
A Trend Micro divulgou recentemente, em um estudo sobre o cenário de cibersegurança no segundo trimestre de 2014, que o Brasil está entre os países mais afetados por ataques direcionados. Para ajudar empresas e usuários a identificarem possíveis problemas, a empresa dá algumas dicas de como identificar sinais de violação na rede.
1- Auditoria de contas para falhas ou irregularidades de logins
Uma vez que os responsáveis pelo ataque forem capazes de estabelecer sua presença em uma rede, eles passam a tentar se movimentar dentro dela. Os responsáveis pelo ataque podem procurar o diretório ativo, e-mail ou servidor de arquivos e acessá-los por meio de explorações, usando vulnerabilidades do servidor.
No entanto, como os administradores aplicam os patches de segurança e protegem os servidores importantes contra vulnerabilidades, essas são as contas que os responsáveis pelos ataques vão tentar tomar.
Para administradores de TI, o registro de login é a melhor referência para qualquer ameaça deste tipo. Verificar tentativas de falhas de login, assim como as bem-sucedidas, feitas em períodos de tempo fora do normal, podem revelar as ações dos responsáveis pelo ataque de se moverem dentro da rede.
2- Estudar os avisos dados por soluções de segurança
Às vezes, as soluções de segurança detectam ferramentas aparentemente não maliciosas como suspeitas, levando usuários a ignorarem tais avisos, seja porque o arquivo é familiar ou porque não parece prejudicial.
No entanto, mais de uma vez, já nos deparamos com situações como esta em que o aviso significava que existia um intruso na rede.
Os invasores podem estar usando ferramentas hackers mal intencionadas ou mesmo ferramentas administrativas legítimas para realizar diagnósticos sobre o sistema ou rede.
Algumas soluções de segurança irão sinalizar estas ferramentas não maliciosas se elas não estavam previamente instaladas no computador do usuário. O administrador de TI deve perguntar por que o usuário está usando esta ferramenta e, se não houver nenhuma boa razão, ele pode ter “tropeçado” sobre o movimento lateral do responsável pelo ataque
3- Verifique se existem arquivos grandes desconhecidos
Arquivos desconhecidos e grandes encontrados em um sistema precisam ser verificados, pois podem conter dados roubados de dentro da rede.
Os responsáveis pelos ataques costumam armazenar estes arquivos nos sistemas alvejados antes de realizar a extração, muitas vezes escondendo-os por meio de nomes e extensões de arquivos que parecem normais. É preciso checar este tipo de arquivo por meio de softwares de gerenciamento de arquivos
4- Aumento de atividade de e-mail
Os administradores de TI podem verificar os logs de e-mail para ver se há picos estranhos de usuários individuais. Picos anormais de atividade de e-mail devem ser investigados, pois este usuário pode estar em meio a um ataque alvejado de spear-phishing.
Às vezes, o responsável pelo ataque pesquisa com antecedência e acaba descobrindo, por exemplo, que um funcionário estará em uma reunião importante, podendo enviar os e-mails de spear phishing com antecedência de 3 meses à reunião.
Proteger uma rede contra ataques direcionados é uma tarefa difícil, e a equipe de TI precisa estar apta a fazê-lo. O custo de se preparar para um possível ataque pode ser facilmente ofuscado pelo custo de mitigação de um, por isso é fundamental que os administradores de TI – a primeira linha de defesa da empresa – estejam totalmente equipados.
Fonte: ComputerWorld