VisionSet

GOVERNO BRASILEIRO SOFRE MAIS DE MIL ATAQUES EM QUATRO MESES

Governo brasileiro sofre mais de mil ciberataques em quatro meses 

Que o Brasil vem sendo alvo de ciberataques, todo mundo sabe. No entanto, os números para 2020 estão sendo arrebatadores. Apenas nos primeiros quatro meses, o país já coleciona mais de mil deles dessas ações, como aponta o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR-Gov) – o que é o suficiente para deixar a todos em alerta. 

Mas, afinal, por que isso vem acontecendo? Entenda agora e conte com a VisionSet para manter a sua proteção. 

Ataques cibernéticos no Brasil 

Os ataques não aconteceram apenas esse ano, o Brasil vem sendo alvo deles há um bom tempo. As agências governamentais, instituições financeiras e cidadãos, de uma maneira geral, também estão ameaçados por grupos envolvidos em crimes cibernéticos o tempo todo. Contudo, nos últimos anos, tudo ficou mais intenso. 

 Em outubro de 2016, alguns meses após o término das Olimpíadas, os hackers acessaram e alteraram com êxito os registros do Domain Name System (DNS) de todos os 36 domínios online do banco brasileiro Banrisul.  Eles redirecionaram usuários de desktop e aparelhos móveis para sites de phishing e  provavelmente também redirecionaram dados de transações de ATM para seus próprios servidores, acessando, assim, as informações de crédito de usuários inocentes.  

Em maio de 2017, o ataque global de ransomware ‘WannaCry‘ interrompeu os sistemas da autoridade de Previdência Social, do governo brasileiro; a sede da Vivo, maior operadora de telecomunicações do Brasil; o Ministério Público, em São Paulo; e a empresa do setor energético Petrobras. Todas elas sofrendo prejuízos devastadores. 

Por que os governos são alvos? 

Os governos são grandes empresas que carregam muitas informações sigilosas, além disso, eles também detêm dados sobre milhares de pessoas, sejam elas crianças e adultos, sobre empresas privadas e claro, do próprio Governo. Suas informações são tão valiosas que uma vez em mãos erradas, podem vir a se tornar algo perigoso, como um dano reputacional. 

Trabalha neste segmento? Se proteja com a gente 

Enquanto os governos lutam com o aumento de ataques, recursos restritos e equipamentos desatualizados, é preciso estar equipado com o máximo de estratégias que a tecnologia tem no mercado e pensando nisso, a VisionSet oferece o melhor da tecnologia de segurança da informação.  

Toda estratégia de segurança se torna vencedora não somente com tecnologia, mas também com uma equipe que de fato está preparada para para guiar a companhia pela jornada de segurança com objetivos claros e faseados.  

O conceito de Fase nesse caso, se inicia com uma separação lógica sobre quais ações tomar primeiro. Então, primariamente se realiza um assessment para entender onde a empresa está posicionada na jornada de segurança e como seguir para alcançar o objetivo de alcançar a tão sonhada maturidade em segurança.  

O que não é visto, não é tocado e é com essa máxima que devemos ter em mente na hora de entender o que se ataca primeiro. Por exemplo, faz todo sentido ter um firewall forte, com tecnologias como IPS, por exemplo, que previnem atacantes de ingressarem facilmente em um ambiente corporativo. Porém, como o próprio conteúdo dessa matéria, diversos cenários de ataque contemplam o ataque do elo mais frágil de toda essa cadeia, que é justamente o usuário comum e sua inexperiência em compreender por exemplo que aquele email de phishing travestido de um email enviado por um gerente por exemplo, é uma ameaça. Dessa forma, principalmente nos dias de hoje onde um atacante é capaz de ingressar de forma legítima no ambiente corporativo a partir da máquina do usuário, é que sim, devemos considerar que não faz sentido ter somente um método de proteção, neste exemplo o Firewall, mas também deve haver visibilidade dentro do ambiente para que as devidas tratativas sejam realizadas.  

Posterior ao perímetro ( Firewall) deve haver um cuidado com boas práticas na gestão de credenciais privilegiadas, que podem dar ao atacante um acesso legítimo a servidores chave da cadeia de entrega de aplicações, ou até mesmo do controlador de domínio.  

Costumo verificar primeiro o estado da proteção do Firewall, afinal, toda casa tem que ter uma porta. Posteriormente, verifico se boas práticas como manter as credenciais em compliance com a troca de senhas recorrente e regras de complexidade tem sido seguidas. Em domínios Microsoft, principalmente os que possuem versões mais antigas de sistemas operacionais (Windows 7, 8 para desktops e 2003 e 2008 para servidores) possuem diversas brechas que atacantes utilizam, como os protocolos notadamente inseguros NTLM, RDP e SMB na versão 1. Além disso, para manter a relação de confiança com o domínio. Ambientes Microsoft guardam os hashes de credenciais utilizadas dentro dos servidores privilegiados alvos. Isso favorece que atacantes consigam se movimentar lateralmente, servidor a servidor, buscando credenciais com capacidade administrativa privilegiada, para que os privilégios sejam escalados e finalmente ele consiga a ação de Domain Takeover 

Seguindo cenários inseguros, é possível para um atacante conseguir credenciais com alto poder administrativo como as credenciais que os analistas de help desk utilizam somente para instalar aplicativos nas máquinas dos usuários.  

Por isso é tão importante seguir na jornada e dentro dela pelas fases, orientado por uma equipe realmente capaz de apoiar nessa tomada de decisões.  

É possível ter todo o controle das credenciais e automatizar e muito esse controle e nessa fase, promover soluções que além de proteger as credenciais, detectam tentativas de roubo de credenciais dentro do ambiente e ainda realizam toda a auditoria dos acessos, guardando comandos executados e gravando a interação dos usuários com os servidores. Dessa forma se inibe também o atacante malicioso internoNós da Visionset podemos te apoiar com isso.  

Dadas as tratativas para as fases 1 e 2, seguindo para a terceira fase, temos a visibilidade, análise de vulnerabilidades e tráfegos incomuns na rede, execução de scripts e etc.  

Ainda visando manter compatibilidade e certa comodidade para administradores de domínio, ambientes Microsoft possuem diversos componentes para conversa entre servidores, indo desde chamadas de procedimento Remoto (RPC) até conversas entre servidores sem TLS ativado. Dessa forma, qualquer atacante pode inspecionar a rede, ler e até interceptar essas conversas.  

De forma a detectar tais comportamentos, é que adicionamos nessa fase um IDS (Intrusion detection System), um Siem para correlacionar todos os eventos de segurança e análise de vulnerabilidades de ativos para compor claramente uma cadeia de visibilidade. 

Com as devidas tratativas pelas fases aliada a capacidade técnica do time Visionset, Conseguimos automatizar ações de proteção, diminuir a exposição do uso de credencais e entregar visibilidade para tomada de decisão sobre quais patches serão mais críticos de serem aplicados, quem e quando acessaram o ambiente corporativo. Além de controlar melhor a elevação de alguns direitos administrativos, aplicando o conceito de Least Priviledge, entregando somente o necessário para usuários realizarem suas necessidades e nada mais.  

Seguindo abordagens técnicas de ponta, junto dos melhores fabricantes reconhecidos internacionalmente, a Visionset oferece o melhor de dois mundos que devem sempre convergir. Afinal de contas, sua segurança, é nossa segurança! 

Somos uma empresa dedicada à cibersegurança e damos a possibilidade de nossos clientes impedirem violações e garantirem a segurança de seus dados com a garantia que a estratégia é a melhor possível. Conte conosco !  

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *