Se um malware entrar em uma empresa, pode causar sérios danos. Mas, as ameaças cibernéticas também podem vir de dentro de uma organização: os chamados insiders podem causar uma longa lista de problemas de cibersegurança corporativa. E, longe de ser um problema isolado, esses incidentes aumentaram 47% em 2019. Estes casos envolvem um funcionário colocando em risco a segurança cibernética da empresa — intencionalmente ou acidentalmente. Existe, entretanto, um importante elemento interno que, à primeira vista, parece não ser motivo de preocupação: os aplicativos legítimos sendo utilizados pelos hackers.
Como estes ataques ocorrem?
Embora a natureza desses ataques varie, eles são especificamente projetados para não escrever no disco rígido. Em vez disso, são processos executados a partir da memória do computador (RAM). A falta de arquivos maliciosos ou potencialmente perigosos no disco rígido significa que é quase impossível para os sistemas de proteção tradicionais detectar a ameaça.
“Há uma característica que todos esses tipos de incidentes têm em comum: são muito difíceis de detectar. Isso se deve ao fato de que esses ataques não usam nenhum tipo de código, o que significa que o antivírus tradicional não pode identificá-los. Além disso, o uso de processos e aplicativos legítimos torna praticamente impossível detectar comportamentos anormais na rede”, alerta Américo Spachacquercia, Analista de sistemas e consultor em Cibersegurança da Panda Security Brasil.
Além disso, os ataques sem arquivo frequentemente compartilham vetores de entrada. Entre os mais comuns estão aplicativos de acesso remoto, ferramentas administrativas e componentes internos do sistema operacional. Um comportamento que deve ser um sinal vermelho para uma possível atividade de ataque sem arquivo é a atividade incomum em uma CPU (especificamente, grandes aumentos no uso).
Ameaças avançadas exigem tecnologia avançada
Dado que ataques sem arquivo são difíceis de detectar, o que pode ser feito para detê-los? Uma maneira de enfrentá-los é parar de usar as ferramentas que os cibercriminosos tendem a aproveitar nesses ataques, como o PowerShell, console do sistema Windows, fechando assim potenciais vetores de entrada. Existem maneiras de defender proativamente sua organização desses ataques. No entanto, a única forma de garantir a segurança de uma organização é com tecnologia de cibersegurança avançada com Big Data, aprendizado de máquina e IoA. “É vital conhecer absolutamente tudo o que está sendo executado nos endpoints da empresa e em tempo real. A nossa solução Panda Adaptive Defense 360 monitora e classifica todos os aplicativos e binários antes e durante a exceção, garantindo que apenas arquivos executáveis confiáveis possam ser executados. Dessa forma, ela é capaz de bloquear qualquer atividade suspeita e proteger a empresa contra explorações de aplicativos e ataques Living-off-the-Land (LotL)”, completa Américo.
Os ataques sem arquivo são um perigo sempre presente para as empresas, e os cibercriminosos têm muitas maneiras de explorar os aplicativos legítimos em seu sistema. Para ajudar neste controle, a Panda Security desenvolveu um e-book que pode ser obtido neste link.
0 comments