🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A indústria de segurança cibernética passou os últimos anos perseguindo ameaças sofisticadas, como zero-days, comprometimentos da cadeia de suprimentos e explorações geradas por IA. No entanto, o ponto de entrada mais confiável para invasores ainda não mudou: credenciais roubadas.
Os ataques baseados em identidade continuam a ser um vetor de acesso inicial dominante nas violações atuais. Os invasores obtêm credenciais válidas por meio do preenchimento de credenciais de bancos de dados de violações anteriores, pulverização de senhas contra serviços expostos ou campanhas de phishing — e as usam para entrar pela porta da frente. Não são necessárias explorações. Apenas um nome de usuário e senha válidos.
O que torna isso difícil de defender é o quão normal o acesso inicial parece. Um login bem-sucedido a partir de uma credencial legítima não aciona os mesmos alarmes que uma verificação de porta ou um retorno de chamada de malware. O invasor parece um funcionário. Uma vez lá dentro, eles despejam e quebram senhas adicionais, reutilizam essas credenciais para migrar lateralmente e expandem sua posição em todo o ambiente. Para equipes de ransomware, essa cadeia leva à criptografia e à extorsão em poucas horas. Para os intervenientes do Estado-nação, o mesmo ponto de entrada apoia a persistência a longo prazo e a recolha de informações.
A IA está acelerando o que já funciona
O padrão de ataque fundamental aqui não mudou muito. Mas o que mudou foi a velocidade e o polimento com que é executado. Os invasores estão aproveitando a IA para dimensionar suas operações, automatizando testes de credenciais em conjuntos de alvos maiores, escrevendo ferramentas personalizadas com mais rapidez e criando e-mails de phishing que são materialmente mais difíceis de distinguir de comunicações legítimas.
Esta aceleração coloca pressão adicional sobre os defensores já sobrecarregados. As violações estão se espalhando mais rapidamente, se espalhando ainda mais e afetando mais o ambiente, desde sistemas de identidade até infraestrutura em nuvem e terminais. As equipes de RI construídas para um ritmo de envolvimento mais lento estão descobrindo que seus processos existentes não conseguem acompanhar o ritmo.
Uma abordagem dinâmica para resposta a incidentes
É aqui que a forma como as equipes pensam sobre a resposta a incidentes é tão importante quanto os controles técnicos que implantam. No SEC504, ensinamos a Abordagem Dinâmica para Resposta a Incidentes, ou DAIR — um modelo projetado para lidar com incidentes de qualquer tamanho e formato de forma mais eficaz do que a abordagem linear tradicional.
O modelo clássico trata o processo como uma sequência: preparar, identificar, conter, erradicar, recuperar, interrogar. O problema não é a teoria, é que os incidentes reais não se desenrolam em linha reta. Novos dados surgem durante a contenção que alteram o que você pensava que era o escopo. As evidências coletadas durante a erradicação revelam táticas do invasor que você não conhecia durante a detecção inicial. O escopo quase sempre aumenta – raramente diminui.
O DAIR dá conta desta realidade. Depois de detectar e verificar um incidente, as equipes de resposta entram em um ciclo: definir o escopo do comprometimento, conter os sistemas afetados, erradicar a ameaça e recuperar as operações. Esse ciclo se repete à medida que novas informações surgem. Considere um compromisso baseado em credenciais onde o escopo inicial identifica uma única estação de trabalho afetada. Durante a contenção, a análise forense revela um mecanismo de persistência baseado em registo. Essa descoberta leva a equipe de volta à definição do escopo – agora pesquisando em toda a empresa o mesmo indicador em outros sistemas. Um endereço IP confirmado do invasor descoberto durante essa varredura aciona outra passagem pela contenção e erradicação. Cada ciclo produz melhor informação, que alimenta a próxima ronda de ações de resposta.
A resposta continua circulando até que a equipe e os tomadores de decisão organizacionais determinem que o incidente foi totalmente resolvido. Isto é o que separa o DAIR do modelo tradicional: trata a natureza confusa e iterativa das investigações do mundo real como uma característica do processo, e não como um desvio dele.
A comunicação vem em primeiro lugar
Quando várias equipes convergem para um incidente — abrangendo analistas de SOC, engenheiros de nuvem, líderes de RI e administradores de sistema — pode ser difícil manter o alinhamento. A maioria das organizações não está perfeitamente alinhada entre essas funções antes que ocorra um incidente. O que você pode controlar é quão bem você se comunica quando a resposta estiver em andamento.
A comunicação é o fator mais importante aqui na resposta eficaz a incidentes. Determina se os dados de definição do âmbito chegam às pessoas certas, se as ações de contenção são coordenadas ou contraditórias e se os decisores têm informações precisas para orientar as prioridades. Além da comunicação, a prática e o ensaio consistentes são essenciais. E as capacidades técnicas da sua equipe ainda são extremamente importantes. À medida que a IA se torna cada vez mais parte do kit de ferramentas defensivas, são necessários profissionais experientes para configurar e direcionar essas capacidades de forma eficaz.
Desenvolvendo habilidades importantes
As organizações que lidam bem com ataques baseados em identidade são as
Os ataques baseados em identidade continuam a ser um vetor de acesso inicial dominante nas violações atuais. Os invasores obtêm credenciais válidas por meio do preenchimento de credenciais de bancos de dados de violações anteriores, pulverização de senhas contra serviços expostos ou campanhas de phishing — e as usam para entrar pela porta da frente. Não são necessárias explorações. Apenas um nome de usuário e senha válidos.
O que torna isso difícil de defender é o quão normal o acesso inicial parece. Um login bem-sucedido a partir de uma credencial legítima não aciona os mesmos alarmes que uma verificação de porta ou um retorno de chamada de malware. O invasor parece um funcionário. Uma vez lá dentro, eles despejam e quebram senhas adicionais, reutilizam essas credenciais para migrar lateralmente e expandem sua posição em todo o ambiente. Para equipes de ransomware, essa cadeia leva à criptografia e à extorsão em poucas horas. Para os intervenientes do Estado-nação, o mesmo ponto de entrada apoia a persistência a longo prazo e a recolha de informações.
A IA está acelerando o que já funciona
O padrão de ataque fundamental aqui não mudou muito. Mas o que mudou foi a velocidade e o polimento com que é executado. Os invasores estão aproveitando a IA para dimensionar suas operações, automatizando testes de credenciais em conjuntos de alvos maiores, escrevendo ferramentas personalizadas com mais rapidez e criando e-mails de phishing que são materialmente mais difíceis de distinguir de comunicações legítimas.
Esta aceleração coloca pressão adicional sobre os defensores já sobrecarregados. As violações estão se espalhando mais rapidamente, se espalhando ainda mais e afetando mais o ambiente, desde sistemas de identidade até infraestrutura em nuvem e terminais. As equipes de RI construídas para um ritmo de envolvimento mais lento estão descobrindo que seus processos existentes não conseguem acompanhar o ritmo.
Uma abordagem dinâmica para resposta a incidentes
É aqui que a forma como as equipes pensam sobre a resposta a incidentes é tão importante quanto os controles técnicos que implantam. No SEC504, ensinamos a Abordagem Dinâmica para Resposta a Incidentes, ou DAIR — um modelo projetado para lidar com incidentes de qualquer tamanho e formato de forma mais eficaz do que a abordagem linear tradicional.
O modelo clássico trata o processo como uma sequência: preparar, identificar, conter, erradicar, recuperar, interrogar. O problema não é a teoria, é que os incidentes reais não se desenrolam em linha reta. Novos dados surgem durante a contenção que alteram o que você pensava que era o escopo. As evidências coletadas durante a erradicação revelam táticas do invasor que você não conhecia durante a detecção inicial. O escopo quase sempre aumenta – raramente diminui.
O DAIR dá conta desta realidade. Depois de detectar e verificar um incidente, as equipes de resposta entram em um ciclo: definir o escopo do comprometimento, conter os sistemas afetados, erradicar a ameaça e recuperar as operações. Esse ciclo se repete à medida que novas informações surgem. Considere um compromisso baseado em credenciais onde o escopo inicial identifica uma única estação de trabalho afetada. Durante a contenção, a análise forense revela um mecanismo de persistência baseado em registo. Essa descoberta leva a equipe de volta à definição do escopo – agora pesquisando em toda a empresa o mesmo indicador em outros sistemas. Um endereço IP confirmado do invasor descoberto durante essa varredura aciona outra passagem pela contenção e erradicação. Cada ciclo produz melhor informação, que alimenta a próxima ronda de ações de resposta.
A resposta continua circulando até que a equipe e os tomadores de decisão organizacionais determinem que o incidente foi totalmente resolvido. Isto é o que separa o DAIR do modelo tradicional: trata a natureza confusa e iterativa das investigações do mundo real como uma característica do processo, e não como um desvio dele.
A comunicação vem em primeiro lugar
Quando várias equipes convergem para um incidente — abrangendo analistas de SOC, engenheiros de nuvem, líderes de RI e administradores de sistema — pode ser difícil manter o alinhamento. A maioria das organizações não está perfeitamente alinhada entre essas funções antes que ocorra um incidente. O que você pode controlar é quão bem você se comunica quando a resposta estiver em andamento.
A comunicação é o fator mais importante aqui na resposta eficaz a incidentes. Determina se os dados de definição do âmbito chegam às pessoas certas, se as ações de contenção são coordenadas ou contraditórias e se os decisores têm informações precisas para orientar as prioridades. Além da comunicação, a prática e o ensaio consistentes são essenciais. E as capacidades técnicas da sua equipe ainda são extremamente importantes. À medida que a IA se torna cada vez mais parte do kit de ferramentas defensivas, são necessários profissionais experientes para configurar e direcionar essas capacidades de forma eficaz.
Desenvolvendo habilidades importantes
As organizações que lidam bem com ataques baseados em identidade são as
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #nenhuma #exploração #necessária: #como #os #invasores #passam #pela #porta #da #frente #por #meio #de #ataques #baseados #em #identidade
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário