Somente no ano passado, a equipe de resposta a incidentes da Varonis investigou mais de 250 mil alertas. Não, não é um erro de digitação, nossa equipe de RI revisou um quarto de milhão de alertas. Com o aumento do ransomware e a quantidade de dados crescendo em ritmo exponencial, ter uma equipe proativa de resposta a incidentes na linha de frente é mais importante do que nunca.
Em nossa última “masterclass”, Mike Thompson, Raphael Kelly e Chris Kisselburgh, da equipe de resposta a incidentes da Varonis, discutiram as atuais tendências globais de ameaças, incluindo os picos de ameaças internas e a importância de focar nos primeiros indicadores de comprometimento.
Assista à gravação completa para saber por que a resposta a incidentes proativa é o futuro da segurança de dados, os ataques cibernéticos que a equipe Varonis RI frustrou no ano passado e o que torna a detecção e resposta de dados da Varonis diferentes.
Nossa equipe de resposta a incidentes aborda esses tipos de incidentes quase todas as semanas, e algumas das coisas que eles notaram sobre o aumento de ataques é uma mudança na abordagem.
Desde que as organizações melhoraram a recuperação de ataques de ransomware, os agentes de ameaças passaram da criptografia apenas para a criptografia e exfiltração de dados para alavancagem adicional sobre as vítimas. Embora essa tendência tenha surgido apenas alguns anos atrás, agora é uma prática padrão na maioria dos ataques.
“O evento de ransomware é quase mais uma notificação de que o invasor está lá – a parte mais perigosa é que os dados deixaram seu ambiente”, disse Mike Thompson, gerente de arquitetura de segurança da Varonis. “Você pode recuperar dados criptografados; você não pode recuperar dados que foram exfiltrados.”
Security Architect Manager. “You can recover encrypted data; you can’t recover data that’s been exfiltrated.”
Você pode recuperar dados criptografados; você não pode recuperar dados que foram exfiltrados.
Até o momento, mais de 150 mil funcionários de big techs foram demitidos apenas em 2023, no que é amplamente considerado um setor “à prova de recessão”.
Testemunhar seus amigos e colegas de trabalho perderem seus empregos, e se preocupar com sua própria segurança no trabalho, pode aumentar a probabilidade de que “alguém tente cobrir suas bases e ganhar um pouco de dinheiro extra ao sair”, afirma o arquiteto de segurança da Varonis, Chris Kisselburgh.
Preocupações com uma crise econômica e recessão podem afetar as pessoas em sua essência. "Quando temos eventos mundiais críticos como os de impacto global, devemos observar como isso afeta o comportamento humano no final do dia. O comportamento humano é o que realmente estamos estudando”, continua Chris.
A guerra entre Rússia e Ucrânia interrompeu muitas organizações de ransomware. Especialistas pensaram que agentes de ameaças como Emotet, uma variedade de malware e um grupo de cibercriminosos que se acredita estar baseado na Ucrânia, foram desmantelados, mas nossa equipe de resposta a incidentes os viu ressurgir de forma muito agressiva, e é por isso que “olhar mais cedo na cadeia de supostas mortes é absolutamente uma prioridade”, acredita Chris.
Ele acrescenta que não pode enfatizar o suficiente a importância de investigar esses indicadores iniciais. “As empresas verão alertas na sexta-feira que talvez não sejam tão levados a sério quanto deveriam e, na segunda-feira de manhã, todo o domínio está criptografado. É fundamental que levemos os primeiros indicadores o mais a sério possível”, afirma.
Mike acrescenta que “o que vimos ocasionalmente é que as pessoas detectam um possível usuário comprometido e realmente concentram seus esforços em remediar esse usuário ou dispositivo comprometido para, em seguida, considerarem o caso encerrado. Então, uma semana depois, bam. O ransomware aparece.”
“Vimos muitas mudanças na TI nos últimos dois ou três anos. Temos essa mudança global para uma força de trabalho remota durante a Covid; uma mudança enorme na TI, além da segurança ao mesmo tempo”, explica Chris. “Porque uma das coisas que devemos considerar é: ‘para onde vão os dados agora que tenho mais de 10 mil usuários remotos em todo o mundo?’”
Ele acrescentou que a situação atual da força de trabalho remota não voltará às formas de trabalho pré-pandêmicas. “Os dados não estão mais limitados aos seus servidores. Os dados, na verdade, estão em toda parte.”
E a mudança para uma tendência de força de trabalho remota foi rápida. Isso significa que provavelmente há uma grande lacuna de segurança na postura adotada entre o que as organizações tinham em um ambiente local e o que têm agora em um ambiente de nuvem. A mesma diligência deve ser executada agora, o que pode ser complicado quando o espaço de segurança na nuvem é relativamente novo em comparação com as táticas de segurança no local.
Os dados não estão mais limitados aos seus servidores. Os dados, na verdade, estão em toda parte.
Historicamente, as equipes de resposta a incidentes têm sido reativas, esperando para atender chamadas depois que um cliente relata um incidente. Mas o futuro da resposta a incidentes deve ser proativo para acompanhar a evolução das ameaças.
Com o lançamento de nossa plataforma de segurança de dados SaaS, a Varonis pode fornecer serviços proativos de resposta a incidentes, com analistas revisando regularmente os ambientes dos clientes, caçando ameaças e investigando, tudo sem ocupar o tempo valioso dos nossos clientes.
Com décadas de experiência coletiva de nossos analistas, podemos detectar indicadores de que um ataque de ransomware é iminente e, se encontrarmos algo digno de nota, escalamos esses incidentes apenas para evitar a fadiga do alerta.
Assista a discussão completa sobre as tendências globais de segurança cibernética e o futuro da resposta a incidentes aqui.
Agende uma sessão de demonstração para respondermos às suas questões e ajudá-lo a ver como a Varonis é adequada para sua empresa. Depois, baixe nosso relatório gratuito e conheça os riscos associados à exposição de dados SaaS e como combatê-los para reduzir a possibilidade de vazamento de dados.