Vetores de ataque: o que são e como são explorados

Vetor de ataque definido

Um vetor de ataque é o método ou combinação de métodos que os ciber criminosos usam para atacar ou se infiltrar na rede de uma vítima.

Os adversários geralmente desenvolvem um arsenal de vetores de ataque que usam de forma rotineira para realizar seus ataques. Com o tempo e com o uso repetido, esses vetores de ataque podem se tornar “cartões de visitas” virtuais para ciber criminosos ou gangues de e-crime organizadas, possibilitando que analistas de inteligência de ameaças, prestadores de serviços de cibersegurança, autoridades policiais e agências governamentais atribuam uma identidade a adversários diferentes.

Reconhecer e rastrear os vetores de ataque de um adversário pode ajudar uma organização a se defender melhor contra ataques direcionados existentes ou futuros. Além disso, saber quem está por trás de um ataque — determinado em parte pelo uso de um vetor de ataque exclusivo — pode ajudar a organização a entender as capacidades dos adversários e tomar medidas para proteger os negócios e seus ativos no futuro.

Vetores de ataque vs superfície de ataque vs vector de ameaça vs ator de ameaças

O que é uma superfície de ataque?

Uma superfície de ataque é a soma de todas as possíveis exposições a riscos de segurança no ambiente de uma organização. Em outras palavras, é o conjunto de todas as possíveis vulnerabilidades (conhecidas e desconhecidas) e controles em todos os componentes de hardware, software e rede.

As superfícies de ataque podem ser categorizadas em três tipos básicos:

1. Superfície de ataque digital: abrange todo o ambiente de rede e software de uma organização. Pode incluir aplicações, código, portas e outros pontos de entrada e saída.
2. Superfície de ataque físico: toda a infraestrutura de uma organização, como sistemas de desktop, notebooks, dispositivos móveis, servidores, portões de acesso, infraestrutura de telecomunicações e até mesmo alimentações elétricas.
3. Superfície de ataque de engenharia social: ataques que exploram a mente humana, usada frequentemente em phishing, pretexting (smishing), vishing (correio de voz) e outras técnicas de manipulação para enganar o ser humano

O que é um vetor de ameaça?

Vetor de ameaça é um termo usado para descrever o método que um ciber criminoso usa para obter acesso inicial à rede ou infraestrutura de uma vítima. Vetor de ameaça é frequentemente usado de forma intercambiável com vetor de ataque.

O que é um ator de ameaças?

Um ator de ameaças, também conhecido como ator mal-intencionado ou adversário digital, é qualquer pessoa ou organização que intencionalmente cause danos na esfera digital. Eles exploram fragilidades em computadores, redes e sistemas para realizar ataques disruptivos contra indivíduos ou organizações.

O termo “ator de ameaças” inclui ciber criminosos, mas é muito mais amplo. Ideólogos como o hacktivistas (ativistas hackers), terroristas, insiders e até mesmo trolls da Internet são todos considerados atores de ameaças.

Como os vetores de ataque são explorados

Os vetores de ameaça geralmente se enquadram em uma de duas categorias:

1. Vetores de ataque passivo
2. Vetores de ataque ativo

Vetores de ataque passivo

Um vetor de ataque passivo é uma técnica de ataque em que o adversário monitora o sistema da vítima em busca de qualquer vulnerabilidade, como porta aberta, erro de configuração ou aplicação de software não corrigida, que ele possa explorar para obter acesso.

Em um ataque passivo, os adversários normalmente não visam prejudicar o sistema ou interromper as operações comerciais. Em vez disso, seu objetivo é obter acesso a dados e outras informações confidenciais.

Como os vetores de ataque passivo normalmente não interrompem o sistema nem alteram o ambiente de nenhuma forma, pode ser difícil para uma organização reconhecer que um ataque está em andamento e tomar as medidas necessárias para proteger os negócios de maiores danos.

Exemplos de vetores de ataque passivo incluem varredura de porta de execução, sniffing, espionagem (como ataque do tipo intermediário) e muitos ataques de engenharia social.

Vetores de ataque ativo

Um vetor de ataque ativo é uma técnica de ataque usada por um adversário que altera um sistema ou interrompe sua operação.

Assim como o ataque passivo, muitos adversários que utilizam vetores de ataque ativo estão tentando obter acesso a dados confidenciais. No entanto, diferentemente do ataque passivo, os criminosos que se envolvem em um ataque ativo também podem fazê-lo simplesmente para causar estragos e caos no ambiente de TI da vítima.

Exemplos de vetores de ataque ativo incluem malware, ransomware, ataque de negação de serviço distribuído (DDoS), roubo de credenciais e outras técnicas comuns.

10 tipos comuns de vetores de ataque

Ataques de engenharia social

Engenharia social ocorre quando um adversário ataca um humano e usa o poder da emoção, como amor, medo ou ganância, para manipular a pessoa e fazê-la tomar uma ação desejada. Normalmente, o objetivo de um ataque de engenharia social é obter informações que podem ser usadas para realizar um ataque mais elaborado, ganhar acesso a dados confidenciais ou credenciais de usuário ou conseguir uma “vitória rápida” de nível relativamente baixo, como estimular um funcionário a comprar e compartilhar um cartão-presente digital com o invasor.

Os ataques de engenharia social são uma grande preocupação dos profissionais de cibersegurança porque não importa quão forte seja a barreira de segurança criada, ou quão consistentes sejam as políticas em vigor, os usuários ainda podem acabar sendo enganados e cedendo suas credenciais a atores mal-intencionados. Uma vez dentro, os atores mal-intencionados podem usar as credenciais roubadas para se passar por usuário legítimo e conseguir se movimentar lateralmente, descobrir quais defesas estão em vigor, instalar backdoors, roubar de identidade e, claro, roubar dados.

Exemplos comuns de engenharia social incluem phishing, pretexting e baiting.

Credenciais comprometidas e fracas

Outro vetor de ataque comum envolve o uso de credenciais comprometidas e fracas. Em ataques baseados em credenciais, os adversários usam uma variedade de métodos para roubar, crackear, adivinhar ou cooptar o ID do sistema, a senha ou ambos, para acessar o sistema ou realizar atividades enquanto se disfarçam como esse usuário.

Depois que conseguem as credenciais, os invasores podem se passar pelo proprietário da conta e imitar alguém que tem acesso legítimo, como um funcionário, subcontratado, conta de serviço e fornecedor externo. Como o invasor parece ser um usuário legítimo, esse tipo de ataque é desafiador para as defesas detectarem.

Exemplos de ataque baseado em credenciais incluem:

• Roubo de credenciais: ato de roubar informações pessoais, como nome de usuário, senhas e informações financeiras, para obter acesso a uma conta ou sistema on-line.
• Pass the Hash - PtH: um ataque em que um adversário rouba um “hash” de credenciais de usuário e o utiliza para criar uma nova sessão de usuário na mesma rede. Ao contrário de outros ataques de roubo de credenciais, um ataque "pass the hash" não exige que o invasor saiba ou quebre a senha para obter acesso ao sistema. Em vez disso, ele usa uma versão armazenada da senha para iniciar uma nova sessão.
• Password spraying: quando um adversário usa uma senha comum (por exemplo, senha123) contra várias contas na mesma aplicação na tentativa de obter acesso ao sistema por acaso.

Ameaças internas

Uma ameaça interna é um risco à cibersegurança que vem de dentro da organização — geralmente proveniente de um funcionário atual ou antigo ou de outra pessoa que tenha acesso direto à rede da empresa, a dados confidenciais e propriedade intelectual (PI), bem como conhecimento dos processos de negócios, políticas da empresa ou outras informações que ajudem a realizar esse tipo de ataque. Nem todos os insiders de ameaças agem intencionalmente: alguns podem ter se tornado um peão e seu ativo digital ter sido comprometido para uso por atores de ameaças externos.

Erro de configuração de segurança e vulnerabilidades

Erro de configuração de segurança é qualquer erro ou vulnerabilidade presente na configuração do código que permite ao invasor acesso a dados confidenciais, levando ao comprometimento de dados ou comprometimento completo do sistema.

Alguns dos erros de configuração de segurança mais comuns são erros de configuração do AD, que são vulneráveis no domínio do Active Directory. Esses erros comuns de configuração de segurança variam desde invasores obtendo privilégios administrativos até problemas decorrentes de serviços executados nos hosts com vários administradores.

Outro exemplo é um erro de configuração de segurança descoberto no JIRA, uma ferramenta de colaboração. Um erro de configuração expôs muitas empresas à vulnerabilidade do lançamento de dados corporativos e pessoais. Neste caso, foi um erro de configuração de autorização nas leis globais que causou o risco de segurança.

Ransomware

Ransomware é um tipo de malware que criptografa os dados da vítima, e o invasor exige um “resgate”, ou pagamento, para restaurar o acesso aos arquivos e à rede. Normalmente, assim que o pagamento é efetuado, a vítima recebe uma chave de descriptografia para restaurar o acesso aos seus arquivos. Se o pagamento do resgate não for efetuado, o ator de ameaças publica os dados no website de vazamento de dados (DLS) ou bloqueia o acesso aos arquivos permanentemente.

O ransomware se tornou um dos tipos mais proeminentes de malware, atacando uma grande variedade de setores, incluindo áreas do governo, educação, finanças e saúde, com milhões de dólares extorquidos em todo o mundo todos os anos.

Malware

Malware (software malicioso) é um programa ou código criado para causar danos intencionais a um computador, rede ou servidor. Ciber criminosos desenvolvem malware para se infiltrar discretamente em um sistema de computador para atacar ou destruir dados confidenciais e sistemas de computador.

Os tipos comuns de malware incluem vírus, ransomware, keyloggers, trojans, worms, spyware, malvertising, scarewares, backdoors e malwares móveis.

Ataque "man-in-the-middle" (MITM)

Um ataque "man-in-the-middle" é um tipo de ciber ataque em que um invasor escuta uma conversa entre dois alvos. O invasor pode tentar “ouvir” uma conversa entre duas pessoas, dois sistemas ou uma pessoa e um sistema.

O objetivo de um ataque MITM é coletar dados pessoais, senhas ou detalhes bancários e/ou convencer a vítima a realizar uma ação, como alterar credenciais de login, concluir uma transação ou iniciar uma transferência de fundos.

Sequestro de sessão

O sequestro de sessão é uma técnica de ciber ataque em que um adversário assume ou sequestra a sessão de um usuário legítimo obtendo o ID da sessão. Uma vez que o criminoso tenha assumido o controle da sessão, ele pode se apresentar como o usuário comprometido e acessar qualquer sistema ou ativo para o qual o usuário tenha privilégios.

Ataque de força bruta

Um ataque de força bruta usa uma abordagem de tentativa e erro para adivinhar sistematicamente informações de login, credenciais e chaves de criptografia. O invasor envia combinações de nome do usuário e senhas até finalmente adivinhar.

Uma vez bem-sucedido, o ator pode entrar no sistema se disfarçando como usuário legítimo e permanecer lá até ser detectado. Eles usam esse tempo para se movimentar lateralmente, instalar backdoors, obter conhecimento sobre o sistema para usar em ataques futuros e roubar dados.

Ataque DDoS

Um ataque de negação de serviço distribuído (DDoS) é um ataque malicioso e direcionado que inunda uma rede com solicitações falsas para interromper as operações comerciais. Quando uma organização sofre esse tipo de ataque, os usuários ficam impossibilitados de executar tarefas rotineiras e necessárias, como acessar e-mails, websites, contas on-line ou outros recursos que sejam operados por um computador ou rede comprometidos.

Embora a maioria dos ataques DDoS não resultem em perda de dados e sejam normalmente resolvidos sem pagamento de resgate, eles custam à organização tempo, dinheiro e outros recursos para restaurar operações comerciais críticas.

Como proteger vetores de ataque

Há uma grande variedade de vetores de ataque, cada um dos quais explora uma vulnerabilidade específica, seja uma pessoa, um software não corrigido, um serviço mal configurado ou uma senha fraca. Não existe um único mecanismo de defesa que proteja a organização de todos os tipos de ataque. Além disso, é importante reconhecer que muitos vetores de ataque têm como alvo pessoas, o que significa que a maioria das ferramentas de segurança, não importa quão avançadas, serão de utilidade limitada para proteger a organização dessas técnicas.

A mistura de vetores de ataque digital e pessoal é o motivo pelo qual é tão importante para uma organização adotar uma abordagem abrangente à segurança e incorporar uma mistura de medidas de segurança preventivas, defensivas, proativas e reativas para melhor proteger a organização e seus ativos. Aqui compartilhamos uma lista de práticas recomendadas para desenvolver e implementar uma estratégia de segurança abrangente:

1. Desenvolver um programa robusto de treinamento de funcionários em cibersegurança.

Os funcionários estão na linha de frente da segurança. É essencial que eles adotem boas práticas de higiene— como usar proteção com senhas fortes, conectar-se apenas a redes Wi-Fi seguras e sempre prestar atenção nos ataques de phishing — em todos os dispositivos. Ofereça sessões de treinamento abrangentes e regulares de conscientização sobre segurança para garantir que entendam o cenário de ameaças em evolução e estejam tomando as medidas necessárias para proteger a si mesmos e a empresa de todas as formas de risco cibernético.

2. Rastrear a configuração do sistema operacional e manter todos os softwares corrigidos e atualizados.

Os hackers estão sempre buscando entradas e backdoors para explorar. Ao manter seus sistemas sempre atualizados, você minimizará sua exposição a riscos conhecidos e limitará vetores de ataque que utilizam erros de configuração e outras vulnerabilidades de TI como um caminho.

3. Priorizar a proteção na nuvem

O adversário está tentando fazer um ataque agressivo à infraestrutura da nuvem. O número de casos de exploração da nuvem observados cresceu, e os adversários estão usando uma ampla gama de técnicas, táticas e procedimentos (TTPs) (por exemplo, erro de configuração, roubo de credenciais etc.) para comprometer dados críticos de negócios e aplicação na nuvem. Para interromper os ataques na nuvem, você precisa de recursos sem agentes para proteção contra erros de configuração, painel de controle e ataque baseado em identidade, combinados com segurança de tempo de execução que protege os workloads na nuvem.

3. Sempre monitore o ambiente em busca de atividades maliciosas e indicadores de ataque (IOAs).

Use um sistema de detecção e resposta de endpoint (EDR) para monitorar todos os endpoints, capturando eventos brutos para encontrar automaticamente as atividades maliciosas não identificadas por métodos de prevenção.

4. Integrar a inteligência de ameaças à sua estratégia de segurança.

Monitorar sistemas em tempo real e manter-se atualizado com a mais recente inteligência de ameaças para identificar o universo do adversário que quer atacar a sua organização. Dados sobre o próximo movimento de um ator de ameaças são cruciais para adaptar proativamente suas defesas e prevenir futuros ataques.

6. Proteger-se contra ataques baseados em identidade

Tenha visibilidade completa e em tempo real sobre o AD, no local e na nuvem, e identifique administradores shadow, contas obsoletas, credenciais compartilhadas e outros caminhos de ataque ao AD.

Reforce a segurança do AD e reduza os riscos monitorando o tráfego de autenticação e o comportamento do usuário e aplique políticas de segurança para detectar anormalidades com proatividade.

Monitore de maneira contínua os pontos fracos de credenciais, desvios de acesso e comprometimentos de senhas com classificações dinâmicas de risco para cada conta de serviço e de usuário.

7. Ampliar a segurança da autenticação multifatorial (MFA)

Proteja endpoints não gerenciados com acesso condicional baseado em riscos e estenda a proteção de autenticação multifatorial (MFA) para aplicações e ferramentas subsequentes usando análises proprietárias sobre comportamento do usuário e tráfego de autenticação.

Aplique políticas consistentes baseadas em riscos para bloquear, permitir, auditar ou intensificar a autenticação automaticamente em cada identidade.

8. Criar uma linha de base para a atividade do usuário

Centralize a atividade e o comportamento dos usuários em todos os logs de dados relevantes, incluindo acesso, autenticação e endpoint.

Use esses dados para criar uma linha de base referente à atividade de cada usuário, grupo de usuários, função, cargo e dispositivo que possa ajudar a identificar atividades incomuns ou suspeitas.

Atribua uma classificação de risco personalizada a cada usuário e endpoint para fornecer mais contexto à equipe de cibersegurança.

9. Aproveitar a análise de comportamentos e a IA para identificar ameaças

Aproveite as ferramentas de análise e com tecnologia IA para monitorar o comportamento dos usuários e dispositivos em tempo real.

Compare os alertas com a classificação de risco para fornecer mais contexto sobre o evento e priorizar o trabalho de resposta.

10. A prática leva à perfeição

Executar o exercício Red Team/Blue Team. Embora a tecnologia seja claramente fundamental na luta para detectar e impedir invasões, as equipes de segurança são o elo crucial na cadeia para interromper os ataques. Para equipes de segurança, a prática leva à perfeição. Promova a cultura de executar rotineiramente exercícios tabletop e de Red team/Blue team para identificar lacunas e eliminar pontos fracos em suas práticas e respostas de cibersegurança. E as equipes de segurança não devem ser as únicas a praticar — inicie programas de conscientização do usuário para combater a ameaça contínua de phishing e técnicas de engenharia social relacionadas.

Identificando vetores de ataque com a CrowdStrike

Na CrowdStrike, acreditamos que uma parte fundamental da prevenção e defesa contra ciber ataques é entender o adversário que pode ter como alvo sua organização e os vetores de ataque nos quais ele se baseia.

Oferecemos serviços robustos de criação de perfil de ator para conseguirmos identificar o adversário que pode ter como alvo nossos clientes, bem como suas capacidades e intenções. Isso nos permite desenvolver estratégias personalizadas com nossos clientes para proteger seus dados e ativos em maior risco e fortalecer as defesas nas áreas exploradas com mais frequência pelo ator de ameaças.

Como parte de nossas ofertas de Inteligência Humana (HUMINT), desenvolvemos o CrowdStrike Adversary Universe para ajudar as organizações a entender melhor os humanos por trás desses ataques e os métodos que eles usam.