VPN, phishing, ataque ao Azure e as ameaças modernas ao trabalho remoto

Vulnerabilidade de dia zero
Emilia Bertolli
3 minuto de leitura
Ultima atualização 22 de Junho de 2021

De repente, as equipes de segurança da informação precisam se ajustar à realidade de uma força de trabalho quase 100% remota. As práticas recomendadas de segurança geralmente ficam em segundo plano em relação à continuidade dos negócios em tempos estranhos como estes. As equipes que antes gerenciavam uma força de trabalho principalmente interna podem não estar preparadas para combater novas ameaças de um local de trabalho sem fronteiras definidas. 

Nossa equipe de resposta a incidentes ajuda os clientes a responder a incidentes de segurança todos os dias. Conheça as cinco principais ameaças que têm assombrado o trabalho remoto: 

Ataque de força bruta à VPN 

Com tantas pessoas trabalhando em casa, os invasores agora têm uma área de superfície maior para realizar um ataque de força bruta por meio da VPN. De acordo com a ZDNET, o número de conexões corporativas em julho de 2020 chegou a ter um aumento de 33%, o que significa que os invasores agora têm mais de um milhão de novos alvos para explorar que vieram online desde o início de 2020. 

Ataques de força bruta representam cerca de 45% e, de acordo com os times de pesquisa da Varonis, a maioria deles são ataques de autenticação de VPN ou Active Directory. Vimos organizações desabilitarem os bloqueios integrados e outras restrições à conectividade VPN para manter a continuidade dos negócios ou reduzir a sobrecarga de TI, o que significa que esse ataque é uma opção mais viável para infiltrações. 

Os invasores realizam um ataque de força bruta de VPN, visando um portal VPN e explodindo-o com muitas tentativas de autenticação usando listas pré-reunidas de credenciais. Esse ataque é comumente chamado de “enchimento de credenciais” [ou ‘credential stuffing’, na sigla em inglês. Se qualquer uma dessas combinações de nome de usuário / senha funcionar, o invasor ganha uma posição segura. 

Além disso, se o alvo usar Single Sign-On (SSO), o invasor também terá um login de domínio válido. Muito rapidamente, o invasor se infiltrou na rede, pode iniciar o reconhecimento usando o login de domínio e tentar aumentar os privilégios. 

Como a Varonis pode ajudar 

A Varonis tem uma variedade de modelos de ameaças integrados para detectar comportamento de autenticação anormal (preenchimento de credenciais, difusão de senha, força bruta) em sua VPN ou Active Directory. Você notará que nossos modelos de ameaça consideram mais de uma fonte – a atividade VPN é enriquecida e analisada com informações que coletamos do Active Directory, proxies da web e armazenamentos de dados como o SharePoint ou OneDrive. 

Phishing 

Outra ameaça que vimos adaptada para a pandemia é o phishing. Os criminosos construíram mapas COVID-19 e criaram sites que “vendem” equipamentos médicos ou discutem curas milagrosas que, em vez disso, implantam cargas de malware em seu computador.  

Alguns desses golpes são flagrantes – como cobrar US $ 500 por uma máscara N-95, mas outros são projetados para atacar seu computador e todos os dados que você pode acessar.  

Conforme você clica nesses links maliciosos, a carga útil do invasor é baixada e o invasor estabelece uma conexão com seu servidor de comando e controle. Em seguida, eles começam o reconhecimento e a escalada de privilégios para encontrar e roubar seus dados confidenciais. 

Como a Varonis pode ajudar nesse caso 

A Varonis pode detectar o comportamento da rede que se assemelha ao comando e controle – não apenas procurando conexões com endereços IP ou domínios mal-intencionados conhecidos – realizando uma inspeção profunda do DNS e do tráfego de proxy da web para detectar malware que disfarça a comunicação no tráfego HTTP ou DNS. 

Além de detectar a presença de malware e sua comunicação com um servidor C2, os modelos de ameaças centrados em dados da Varonis geralmente detectam um usuário comprometido com base em desvios no acesso a arquivos ou e-mail. A Varonis faz isso monitorando a atividade de arquivo e a telemetria de perímetro, enriquecendo todos os dados monitorados para criar linhas de base específicas do usuário e, em seguida, comparando a atividade atual com essas linhas de base e um catálogo cada vez maior de modelos de ameaças. 

 
Aplicativos maliciosos do Azure 

No primeiro semestre de 2020, a Microsoft relatou um aumento de 775% nos usuários do Azure no mês passado. Isso significa que várias empresas passaram a usar o diretório online para gerir seus ambientes de negócio.  

Certifique-se de ver quais aplicativos seus usuários estão consentindo –e têm o consentimento para usar—e agende revisões de rotina de aplicativos aprovados para que você possa revogar qualquer aplicativo que pareça malicioso. 

Os invasores descobriram que podem incluir aplicativos maliciosos do Azure em campanhas de phishing e, assim que o usuário clicar para instalar o aplicativo, o invasor se infiltrou em sua rede. 

Como a Varonis pode auxiliar com o Azure 

A Varonis pode rastrear as solicitações de consentimento do Aplicativo Azure para detectar sinais desse ataque desde o início. Além disso, como a Varonis está capturando, analisando e definindo o perfil de todos os eventos no Office 365 para cada entidade, assim que um aplicativo malicioso começar a se passar por usuário – enviando emails e baixando arquivos – nossos modelos de ameaças baseados em comportamento serão acionados. 

Ameaças internas 

Ameaças internas podem ser particularmente difíceis de detectar quando um funcionário está usando um dispositivo pessoal para acessar dados confidenciais porque o dispositivo não tem controles de segurança corporativa, como DLP, por exemplo, que normalmente podem detectar um interno exfiltrando esses dados. 

Como a Varonis pode ajudar 

A Varonis pode ajudar a detectar ameaças internas identificando primeiro onde residem os dados confidenciais em toda a organização e, em seguida, aprendendo como os usuários normalmente interagem com esses dados. A Varonis define os comportamentos de acesso aos dados do usuário ao longo do tempo e monitora a atividade do arquivo e enriquece isso com dados VPN, DNS e proxy. Dessa forma, a Varonis pode detectar quando um usuário baixa uma grande quantidade de dados pela rede ou acessa dados confidenciais que nunca fizeram antes e pode fornecer uma trilha de auditoria completa dos arquivos que o usuário acessou. 

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

novos-ataques-ao-active-directory-exploram-vulnerabilidade-do-kerberos
Novos Ataques ao Active Directory exploram vulnerabilidade do Kerberos
Invasores estão utilizando privilégio de contas, tickets de acesso e roubo de senhas para acessar ambientes corporativos  Depois de uma série de ataques massivos ao Active Directory (AD), da Microsoft, engenheiros de sistemas da Varonis, empresa pioneira em segurança e análise de dados, descobriram que hackers estão agora explorando uma das formas de autenticação mais utilizadas em acessos do tipo SSO (Single Sign-On), o Kerberos. O novo protocolo de autenticação é…
explicação-da-autenticação-kerberos
Explicação da autenticação Kerberos
Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.
evite-o-roubo-de-senhas-que-pode-ser-realizado-pelos-ataques-meltdown-e-spectre
Evite o roubo de senhas que pode ser realizado pelos ataques Meltdown e Spectre
Senhas são essenciais para o trabalho. O roubo de senhas pode causar prejuízos graves. Impeça que os ataques Meltdown e Spectre roubem suas senhas.
maneiras-de-proteger-o-active-directory
Maneiras de proteger o Active Directory
Manter um monitoramento ativo e compreender o AD é vital para proteger a empresa contra violações de dados