🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As campanhas de phishing mais perigosas não são concebidas apenas para enganar os funcionários. Muitos são projetados para esgotar os analistas que os investigam. Quando uma investigação de phishing leva 12 horas em vez de cinco minutos, o resultado pode mudar de um incidente contido para uma violação.
Durante anos, o setor de segurança cibernética concentrou-se na porta de entrada da defesa contra phishing: treinamento de funcionários, gateways de e-mail que filtram ameaças conhecidas e programas de relatórios que incentivam os usuários a sinalizar mensagens suspeitas. Muito menos atenção tem sido dada ao que acontece depois de uma denúncia ser apresentada e à forma como os atacantes exploram o processo de investigação que se segue.
A fadiga de alertas nos Centros de Operações de Segurança não é apenas um inconveniente operacional. Pode se tornar uma superfície de ataque. As equipes do SOC relatam cada vez mais campanhas de phishing que parecem projetadas não apenas para comprometer os alvos, mas também para sobrecarregar os analistas responsáveis por investigá-los.
Isso muda a forma como as organizações devem pensar sobre a defesa contra phishing. A vulnerabilidade não é apenas do funcionário que clica. É também o analista que não consegue acompanhar a fila. Quando as investigações que deveriam ser encerradas em minutos se estendem para 3, 6 ou 12 horas devido ao congestionamento da fila, a janela para o sucesso do invasor aumenta drasticamente.
Quando o volume de phishing se torna uma arma
O phishing é frequentemente tratado como uma série de ameaças independentes. Uma mensagem. Uma vítima em potencial. Uma investigação. Os invasores que operam em grande escala pensam em termos de sistemas, não de mensagens individuais. Um SOC é um desses sistemas e possui capacidade finita e modos de falha previsíveis.
Considere uma campanha de phishing direcionada a uma grande empresa. O invasor envia milhares de mensagens. A maioria são iscas de baixa sofisticação que provavelmente serão capturadas por gateways de e-mail ou funcionários treinados. Essas mensagens inundam o SOC com relatórios e alertas. Os analistas começam a triagem, trabalhando em uma fila que cresce mais rápido do que conseguem eliminá-la.
Enterradas nesse volume estão algumas mensagens de spearphishing cuidadosamente elaboradas visando indivíduos com acesso a sistemas críticos. Essas mensagens são a verdadeira carga útil. A inundação não é apenas um jogo de números. É efetivamente um ataque de negação de serviço contra a atenção do SOC, às vezes chamado de negação de serviço informacional (IDoS).
Este padrão não é puramente teórico. Os exercícios da equipe vermelha e os relatórios de incidentes documentaram adversários que sincronizam campanhas de phishing de alto volume para coincidir com tentativas direcionadas de spear phishing. A onda das commodities cria ruído. A mensagem direcionada se esconde dentro dela.
O modo de falha previsível
Essa tática funciona porque a triagem de phishing do SOC tende a seguir um padrão previsível em todas as organizações. Quando o volume de relatórios de phishing aumenta, a maioria dos SOCs responde de maneira previsível. Os analistas começam a triagem mais rapidamente, gastando menos tempo por envio. A profundidade da investigação diminui. Uma pesquisa do setor mostra que 66% das equipes SOC não conseguem acompanhar os alertas recebidos. O foco muda da investigação completa para a limpeza da fila. Os gerentes podem despriorizar os relatórios de phishing em relação aos alertas de outros sistemas de detecção, presumindo que os relatórios enviados pelos usuários sejam de menor fidelidade.
Cada resposta é racional por si só. Juntos, eles criam as condições de que um invasor precisa.
Os gerentes de SOC observam um padrão consistente durante períodos de alto volume: a qualidade da decisão cai à medida que a carga de trabalho aumenta. Os analistas começam a ancorar-se em indicadores superficiais. Mensagens que “parecem” envios anteriormente benignos recebem menos escrutínio. Novos indicadores de compromisso podem ser ignorados quando aparecem numa fila lotada e não isoladamente.
A vantagem do invasor aumenta porque as mensagens mais perigosas são projetadas especificamente para explorar esses atalhos. Um e-mail de spearphishing direcionado ao assistente executivo do CFO não chega com uma aparência dramaticamente diferente de tudo o mais na fila. Ele foi criado para se parecer com a categoria de mensagens que os analistas, sob pressão, aprenderam a superar rapidamente — uma comunicação com o fornecedor, uma notificação de compartilhamento de documentos, um e-mail rotineiro de processo de negócios.
A economia por trás do ataque
A economia desta dinâmica favorece fortemente o atacante. Gerar milhares de e-mails de phishing de mercadorias não custa quase nada, especialmente com a IA generativa reduzindo ainda mais a barreira de produção. Mas cada um desses e-mails, uma vez relatados por um funcionário, custa à organização defensora tempo real e largura de banda cognitiva do analista.
Isso cria uma assimetria para a qual os modelos SOC tradicionais não têm uma boa resposta:
Custo do invasor por e-mail falso: próximo de zero. Geração baseada em modelos, infraestrutura de commodities, entrega automatizada.
Custo do Defender por e-mail relatado: minutos de tempo de analista qualificado, mesmo para uma revisão superficial. Horas se a investigação for completa.
Custo do invasor para o payloa real
Durante anos, o setor de segurança cibernética concentrou-se na porta de entrada da defesa contra phishing: treinamento de funcionários, gateways de e-mail que filtram ameaças conhecidas e programas de relatórios que incentivam os usuários a sinalizar mensagens suspeitas. Muito menos atenção tem sido dada ao que acontece depois de uma denúncia ser apresentada e à forma como os atacantes exploram o processo de investigação que se segue.
A fadiga de alertas nos Centros de Operações de Segurança não é apenas um inconveniente operacional. Pode se tornar uma superfície de ataque. As equipes do SOC relatam cada vez mais campanhas de phishing que parecem projetadas não apenas para comprometer os alvos, mas também para sobrecarregar os analistas responsáveis por investigá-los.
Isso muda a forma como as organizações devem pensar sobre a defesa contra phishing. A vulnerabilidade não é apenas do funcionário que clica. É também o analista que não consegue acompanhar a fila. Quando as investigações que deveriam ser encerradas em minutos se estendem para 3, 6 ou 12 horas devido ao congestionamento da fila, a janela para o sucesso do invasor aumenta drasticamente.
Quando o volume de phishing se torna uma arma
O phishing é frequentemente tratado como uma série de ameaças independentes. Uma mensagem. Uma vítima em potencial. Uma investigação. Os invasores que operam em grande escala pensam em termos de sistemas, não de mensagens individuais. Um SOC é um desses sistemas e possui capacidade finita e modos de falha previsíveis.
Considere uma campanha de phishing direcionada a uma grande empresa. O invasor envia milhares de mensagens. A maioria são iscas de baixa sofisticação que provavelmente serão capturadas por gateways de e-mail ou funcionários treinados. Essas mensagens inundam o SOC com relatórios e alertas. Os analistas começam a triagem, trabalhando em uma fila que cresce mais rápido do que conseguem eliminá-la.
Enterradas nesse volume estão algumas mensagens de spearphishing cuidadosamente elaboradas visando indivíduos com acesso a sistemas críticos. Essas mensagens são a verdadeira carga útil. A inundação não é apenas um jogo de números. É efetivamente um ataque de negação de serviço contra a atenção do SOC, às vezes chamado de negação de serviço informacional (IDoS).
Este padrão não é puramente teórico. Os exercícios da equipe vermelha e os relatórios de incidentes documentaram adversários que sincronizam campanhas de phishing de alto volume para coincidir com tentativas direcionadas de spear phishing. A onda das commodities cria ruído. A mensagem direcionada se esconde dentro dela.
O modo de falha previsível
Essa tática funciona porque a triagem de phishing do SOC tende a seguir um padrão previsível em todas as organizações. Quando o volume de relatórios de phishing aumenta, a maioria dos SOCs responde de maneira previsível. Os analistas começam a triagem mais rapidamente, gastando menos tempo por envio. A profundidade da investigação diminui. Uma pesquisa do setor mostra que 66% das equipes SOC não conseguem acompanhar os alertas recebidos. O foco muda da investigação completa para a limpeza da fila. Os gerentes podem despriorizar os relatórios de phishing em relação aos alertas de outros sistemas de detecção, presumindo que os relatórios enviados pelos usuários sejam de menor fidelidade.
Cada resposta é racional por si só. Juntos, eles criam as condições de que um invasor precisa.
Os gerentes de SOC observam um padrão consistente durante períodos de alto volume: a qualidade da decisão cai à medida que a carga de trabalho aumenta. Os analistas começam a ancorar-se em indicadores superficiais. Mensagens que “parecem” envios anteriormente benignos recebem menos escrutínio. Novos indicadores de compromisso podem ser ignorados quando aparecem numa fila lotada e não isoladamente.
A vantagem do invasor aumenta porque as mensagens mais perigosas são projetadas especificamente para explorar esses atalhos. Um e-mail de spearphishing direcionado ao assistente executivo do CFO não chega com uma aparência dramaticamente diferente de tudo o mais na fila. Ele foi criado para se parecer com a categoria de mensagens que os analistas, sob pressão, aprenderam a superar rapidamente — uma comunicação com o fornecedor, uma notificação de compartilhamento de documentos, um e-mail rotineiro de processo de negócios.
A economia por trás do ataque
A economia desta dinâmica favorece fortemente o atacante. Gerar milhares de e-mails de phishing de mercadorias não custa quase nada, especialmente com a IA generativa reduzindo ainda mais a barreira de produção. Mas cada um desses e-mails, uma vez relatados por um funcionário, custa à organização defensora tempo real e largura de banda cognitiva do analista.
Isso cria uma assimetria para a qual os modelos SOC tradicionais não têm uma boa resposta:
Custo do invasor por e-mail falso: próximo de zero. Geração baseada em modelos, infraestrutura de commodities, entrega automatizada.
Custo do Defender por e-mail relatado: minutos de tempo de analista qualificado, mesmo para uma revisão superficial. Horas se a investigação for completa.
Custo do invasor para o payloa real
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #os #invasores #não #enviam #apenas #emails #de #phishing. #eles #armam #a #carga #de #trabalho #do #seu #soc
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário