Não é segredo para ninguém que hoje em dia existem grandes e importantes empreas de outsourcing de TI. Sérias e robustas o suficiente para dar suporte e garantir a segurança do cliente. Mas é preciso analisar bem antes de contratar uma empresa. Cuidar da qualidade e de prévios resultados de uma empresa de outsourcing de TI antes de fechar o negócio é vital. Se você pensar apenas na economia pode acabar sofrendo mais na frente. Em artigo recente da Kaspersky assinado pelos experts Dmitry Kachan e Alina Sukhanova, eles deixam claro que fornecer a essas empresas terceirizadas acesso à sua infraestrutura sem os devidos cuidados pode expor sua empresa ao risco dos chamados ataques de relacionamentos confiáveis.

>>>Clique aqui para ler mais sobre cybersecurity

De acordo com o artigo, em 2023, os ataques cibernéticos em relacionamentos confiáveis ​​foram classificados entre os três principais vetores de ataque usados ​​com mais frequência. “Nesses ataques, os invasores primeiro obtêm acesso à rede do provedor de serviços e, em seguida, se conseguirem obter credenciais ativas para se conectarem à rede da organização alvo, infiltram-se na infraestrutura alvo. Na maioria dos casos, os empreiteiros são pequenas e médias empresas que estão menos protegidas do que as grandes empresas. É também por isso que os provedores de serviços de TI atraem a atenção dos invasores”, garantem os especialistas da Kaspersky.

Relacionamento confiável é um vetor atraente

Segundo os especialistas no artigo, o relacionamento confiável é um vetor atraente para os invasores porque permite que eles realizem ataques em larga escala. Além disso, tais ataques vão demandar um esforço significativamente menor do que outros vetores. Afinal, os invasores só precisam obter acesso à rede do provedor de serviços para expor todos os seus clientes ao risco cibernético, independetemente do setor ou do tamanho da empresa.

“Além disso, os atacantes que utilizam ligações legítimas muitas vezes passam despercebidos, uma vez que as suas ações dentro da infraestrutura da organização afetada se parecem com as ações dos funcionários do fornecedor de serviços. De acordo com estatísticas de 2023, apenas uma em cada quatro organizações afetadas identificou um incidente como resultado da detecção de atividades suspeitas (lançamento de ferramentas de hackers, malware, scanners de rede, etc.) em sua infraestrutura, enquanto o restante descobriu que havia sido infiltrado por um terceiro parte somente após vazamento ou criptografia de dados”, afirmam os especialistas da Kaspersky em seu artigo.

Objetivos do ataque

Segundo os especialistas, há 3 objetivos principais no ataque a provedores de serviços e organizações-alvo (apesar desses objetivos poderem variar):

– Estabelecer persistência na infraestrutura do contratante e permanecer indetectável pelo maior tempo possível para obter acesso à infraestrutura de seus clientes.

– Permanecer indetectado o maior tempo possível para obter informações confidenciais (espionagem industrial).

– Filtre o máximo de dados possível e implante ransomware ou um limpador na infraestrutura da organização para paralisar suas atividades. Observamos esse cenário na maioria dos ataques às organizações-alvo.

E agora?

Por fim, os especialistas falam que os invasores podem permanecer dentro da infraestrutura da organização invadida por até 3 meses. É muito tempo. Isso porque eles precisam obter controle sobre servidores e hosts críticos em vários segmentos da rede. “Só depois disso eles procederam à criptografia dos dados. É tempo suficiente para que o departamento de segurança da informação detecte o incidente e responda às ações dos invasores”, diz o artigo.

“Os resultados das nossas investigações de incidentes indicam que, na esmagadora maioria dos casos, as soluções antivírus detectaram atividades maliciosas, mas os veredictos antivírus não receberam a devida atenção. Portanto, se você possui uma equipe interna de resposta a incidentes, mantenha-a alerta por meio de treinamentos e exercícios cibernéticos; se você não tiver um, assine serviços de resposta a incidentes de um provedor que possa garantir o nível de serviço necessário por meio de SLA apropriado”, dizem os especialistas.

De acordo com os especialistas, os ataques através de relacionamentos confiáveis ​​são bastante difíceis de detectar porque:

– As conexões com a VPN da organização alvo a partir da rede do provedor de serviços nos estágios iniciais são iniciadas a partir de endereços IP legítimos.
– Os invasores usam credenciais legítimas para se conectarem a sistemas dentro da infraestrutura da organização alvo (e de outra forma).
– Os invasores usam cada vez mais ferramentas legítimas em seus ataques.

Ainda de acordo com os dois especialistas da Kaspersky, né possível detectar estes ataques seguindo certas regras. Eles reuniram recomendações para provedores de serviços e seus clientes que ajudarão a detectar ataques em relacionamentos confiáveis ​​antecipadamente ou a evitá-los completamente. Se você é um provedor de serviços de TI:

– Garanta o armazenamento adequado das credenciais emitidas para conexão com a infraestrutura de seus clientes.
– Configure o registro de conexões da sua infraestrutura com a dos clientes.
– Instale imediatamente atualizações de software ou use medidas de proteção adicionais para serviços no perímetro da rede.
Implemente uma política de senha robusta e autenticação multifator.
– Monitore o uso de ferramentas legítimas que podem ser exploradas por invasores.

Se a sua organização utiliza os serviços de empresas de terceirização de TI:

– Ao permitir que provedores de serviços entrem em sua infraestrutura, conceda-lhes acesso por tempo limitado apenas aos hosts necessários.
Monitore conexões VPN: qual conta foi autorizada, a que horas e de qual endereço IP.
– Implemente uma política de senha robusta e autenticação multifator para conexões VPN.
– Limitar os privilégios das contas emitidas aos prestadores de serviços, aplicando o princípio do menor privilégio.
– Aplicar os mesmos requisitos de segurança da informação a terceiros que se conectam à infraestrutura interna e aos hosts da rede interna.
– Identifique situações em que cadeias de contas diferentes são usadas para acessar sistemas dentro da infraestrutura. Por exemplo, se os funcionários do provedor de serviços se conectarem à VPN usando uma conta e depois autenticarem via RDP usando outra conta.
– Monitore o uso de utilitários de acesso remoto e tunelamento ou outras ferramentas legítimas que possam ser usadas por invasores.
– Garanta a detecção dos seguintes eventos dentro do perímetro da rede: varredura de portas, força bruta de senhas de contas de domínio, força bruta de nomes de contas locais e de domínio.
– Preste atenção especial às atividades dentro da sua infraestrutura fora do horário de trabalho.
– Faça backup de seus dados e garanta que seus backups estejam protegidos tão estritamente quanto seus ativos principais.

Para ler o artigo completo em inglês clique aqui.

Image by Pete Linforth from Pixabay