Get best of the week

Cinco riscos de segurança ao trabalhar remotamente



Os profissionais de segurança cibernética nas empresas tiveram que se adaptar repentinamente ao fato de que quase 100% dos usuários trabalham remotamente. Hoje, diante da incerteza, as empresas estão tentando preservar os processos de negócios e a segurança está desaparecendo. Profissionais que anteriormente atendiam principalmente computadores locais podem não estar prontos para lidar com novas ameaças de acesso remoto.

Nossa equipe de resposta a incidentes ajuda nossos clientes a resolver problemas de segurança diariamente. Mas nos últimos dois meses, a natureza dos ataques ao conectar uma VPN e usar aplicativos e dados em nuvem mudou. Compilamos uma lista de cinco ameaças ao trabalho remoto para informar o que nossos especialistas enfrentam durante a pandemia do COVID-19.

1. Ataques de força bruta da VPN


Como agora muitas pessoas trabalham em casa, os atacantes têm mais oportunidades de ataques de força bruta via VPN. O ZDNet relata que recentemente o número de conexões VPN cresceu 33%. Isso significa que desde o início de 2020, os atacantes têm mais de um milhão de novos alvos.

Em aproximadamente 45% dos casos, a equipe de resposta do Varonis precisa investigar ataques de força bruta. A maioria desses ataques tem como objetivo obter acesso a uma VPN ou Active Directory. Ocorreu que as organizações desativaram os bloqueios internos e outras restrições na conexão com uma VPN para não parar de trabalhar ou reduzir os custos de TI. Isso torna o sistema vulnerável a esses ataques.

Os atacantes realizam ataques de força bruta. Eles selecionam um portal VPN e tentam se autenticar repetidamente usando listas de credenciais pré-compiladas. Esse ataque é chamado de preenchimento de credenciais. Se pelo menos um login ou senha for selecionado corretamente, um invasor poderá invadir o sistema.

Além disso, se o sistema usar o logon único (SSO), um invasor também poderá obter o logon de domínio correto. Um invasor penetra na rede muito rapidamente. Ele pode iniciar o reconhecimento efetuando login no domínio e tentando aumentar os privilégios.

Como a Varonis pode ajudar


As soluções da Varonis têm mais de cem modelos de ameaças embutidos para detectar autenticação suspeita (credenciais, falsificação de senha, força bruta) em uma VPN ou Active Directory. Você notará que nossos modelos de ameaças levam em consideração várias fontes: os dados de atividade da VPN são complementados por informações do Active Directory, proxies da Web e data warehouses, como o SharePoint ou o OneDrive.



Você também pode visualizar rapidamente a atividade contextual da VPN (logs processados) na biblioteca de pesquisas salvas, que pode ser usada para criar relatórios ou procurar ameaças:



Várias centenas de tentativas de login com falha do mesmo endereço IP ou dispositivo podem servir como evidência de ataque de força bruta. Mas, mesmo que os invasores ajam silenciosamente e lentamente, a Varonis pode detectar pequenos desvios analisando a telemetria de perímetro, a atividade do Active Directory e o acesso a dados e comparando essas informações com o modelo básico de comportamento do usuário ou dispositivo.



2. Gerenciamento e controle através de phishing


Outra ameaça bem conhecida adaptada às condições de pandemia é o phishing. Os invasores capitalizam o medo das pessoas durante uma pandemia, enganando os usuários a clicar em links maliciosos e baixar malware. Phishing é um mal real.
Os criminosos desenvolveram mapas dos centros de distribuição do COVID-19 e criaram sites que vendem suprimentos médicos ou oferecem meios milagrosos, após o qual você instala malware no seu computador. Alguns golpistas agem descaradamente, por exemplo, pedindo US $ 500 por uma máscara N-95. Outros ataques visam obter acesso ao seu computador e todos os dados nele contidos. Assim que você clicar no link malicioso, um programa será baixado no seu computador com a ajuda do qual o invasor estabelecerá uma conexão com o servidor de comando. Ele começará o reconhecimento e elevará os privilégios para encontrar e roubar seus dados confidenciais.

Como a Varonis pode ajudar


A Varonis detecta atividades de rede que se assemelham à captura de gerenciamento e controle (não apenas conectando-se a endereços IP ou domínios maliciosos conhecidos). A solução realiza uma verificação profunda do tráfego DNS e detecta programas maliciosos que mascaram a transmissão de dados no tráfego HTTP ou DNS.

Além de detectar malware e suas conexões com o servidor de comando, os modelos de ameaças da Varonis geralmente detectam um usuário comprometido registrando tentativas incomuns de acessar arquivos ou email. A Varonis monitora a atividade de arquivos e a telemetria de perímetro e cria perfis básicos de comportamento do usuário. A solução então compara a atividade atual com esses perfis básicos e um catálogo cada vez maior de modelos de ameaças.



3. Aplicativos maliciosos no Azure


Esse vetor de ataque é relativamente novo; no mês passado, foi discutido em nosso blog . Recomendamos a leitura da versão completa do artigo, pois aqui fornecemos apenas uma breve descrição dele.
A Microsoft disse que, no mês passado, o número de inquilinos do Azure aumentou 775%. Isso significa que alguns de vocês agora estão criando ambientes do Azure para seus funcionários remotos e muitos estão envidando todos os seus esforços para manter os negócios em movimento e introduzir rapidamente novos recursos. Talvez isso se aplique a você.

Você precisa saber quais aplicativos os usuários permitem acesso aos dados e planejar verificações regulares dos aplicativos aprovados para poder bloquear tudo o que representa um risco.

Os criminosos perceberam que poderiam usar aplicativos mal-intencionados para o Azure em campanhas de phishing e, quando o usuário instala o aplicativo, os atacantes obtêm acesso à rede.



Como a Varonis pode ajudar


A Varonis pode rastrear solicitações de instalação para um aplicativo do Azure e detectar sinais desse ataque desde o início. A Varonis coleta, analisa e perfila todos os eventos no Office 365 para cada componente; portanto, assim que um aplicativo mal-intencionado começa a se passar por um usuário (envia e-mails e carrega arquivos), nossos modelos de ameaças comportamentais funcionam.

4. Ignorar autenticação multifator


Outra ameaça para funcionários remotos é um ataque do tipo intermediário. Seus funcionários podem não ter trabalhado remotamente antes e não estão muito familiarizados com o Office 365; portanto, eles podem ser enganados por janelas de logon falsas no Office 365 . Os invasores usam essas janelas de logon para roubar credenciais e tokens de autenticação, suficientes para simular um usuário e um logon. Além disso, os funcionários remotos podem usar um roteador Wi-Fi inseguro que pode ser facilmente invadido.

Em resumo, um invasor intercepta um token de autenticação que o servidor envia para você e o usa para entrar no sistema pelo computador. Tendo obtido acesso, um invasor assume o controle do seu computador. Ele tenta infectar os computadores de outros usuários ou procura imediatamente dados confidenciais.

Como a Varonis pode ajudar


A Varonis pode detectar o login simultâneo de diferentes locais, bem como tentativas de login que não correspondem ao comportamento anterior do usuário e servem como evidência de fraude. A Varonis monitora seus dados em busca de tentativas anormais de acesso que os cibercriminosos podem fazer simplesmente estando dentro da sua rede.



5. Ameaças internas


Agora é um momento de grande incerteza para todos. As pessoas fazem todos os esforços para superar a crise, e o medo e a incerteza os fazem se comportar de maneira incomum.

Os usuários baixam arquivos de trabalho para um computador desprotegido. Isso se deve ao medo de perder um emprego ou à incapacidade de fazê-lo de forma eficaz. Ambas as opções têm um lugar para estar. Isso complica o trabalho dos serviços de TI e de segurança da informação que precisam garantir a segurança dos dados.

As ameaças internas podem ser difíceis de detectar, especialmente quando um funcionário usa um dispositivo pessoal para acessar dados confidenciais . Ele não possui controles de segurança corporativos, como DLP, que podem detectar o usuário que está transmitindo esses dados.

Como a Varonis pode ajudar


Detectamos ameaças internas identificando onde os dados confidenciais da empresa estão localizados e, em seguida, examinamos como os usuários normalmente trabalham com esses dados. A Varonis monitora por muito tempo as ações dos usuários com dados e arquivos e os complementa com dados VPN, DNS e proxy. Portanto, Varonis notifica você quando um usuário baixa uma grande quantidade de dados pela rede ou acessa dados confidenciais aos quais ele não tinha acesso antes e pode fornecer uma lista completa dos arquivos que o usuário acessou.



Na maioria das vezes, os funcionários não têm intenção maliciosa. No entanto, é importante que a empresa entenda como armazenar dados confidenciais, pois ameaças internas são uma ocorrência frequente. A capacidade de responder diretamente ao comportamento dos funcionários não é apenas uma maneira de reduzir riscos, mas também discutir problemas com a equipe.

Pensamentos finais


A Varonis pode ajudá-lo a investigar qualquer coisa que pareça suspeita e fornecer recomendações sobre como se recuperar de um ataque. Se necessário, fornecemos licenças de avaliação gratuita.
Como você entende, não confiamos em um tipo de proteção. Defendemos vários níveis de proteção que cobrem todos os sistemas, como uma web. Nossa equipe de resposta a incidentes ajudará a integrar a Varonis à sua estratégia atual de segurança cibernética e fornecerá recomendações sobre outros sistemas de segurança nos quais você pode querer investir.

More articles:


All Articles