{"id":19271,"date":"2022-04-19T19:44:19","date_gmt":"2022-04-19T22:44:19","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19271"},"modified":"2022-04-19T19:44:21","modified_gmt":"2022-04-19T22:44:21","slug":"relatorio-m-trends-de-2022-mandiant-tempo-de-espera-do-invasor","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/04\/basico\/relatorio-m-trends-de-2022-mandiant-tempo-de-espera-do-invasor\/","title":{"rendered":"Relat\u00f3rio M-Trends de 2022, Mandiant, tempo de espera do invasor"},"content":{"rendered":"\n

\u00a0<\/h2>\n

Tempo de espera do invasor, mas sem correla\u00e7\u00e3o consistente com o impacto da viola\u00e7\u00e3o.
<\/span><\/h2>\n

\u00a0<\/p>\n

A boa not\u00edcia \u00e9 que o tempo m\u00e9dio de perman\u00eancia do intruso caiu novamente de 24 dias em 2020 para 21 dias em 2021. A m\u00e1 not\u00edcia \u00e9 que o n\u00famero d\u00e1 pouca indica\u00e7\u00e3o da verdadeira natureza da atividade bem-sucedida do intruso em toda a ecosfera de seguran\u00e7a.<\/span><\/p>\n

\u00a0<\/p>\n

O tempo de perman\u00eancia \u00e9 o per\u00edodo de tempo entre a suposta intrus\u00e3o inicial e a detec\u00e7\u00e3o de uma intrus\u00e3o. <\/span>A suposi\u00e7\u00e3o usual \u00e9 que quanto menor o tempo de perman\u00eancia, menos danos podem ser causados. Esta n\u00e3o \u00e9 uma suposi\u00e7\u00e3o v\u00e1lida em todas as intrus\u00f5es.\u00a0<\/p>\n

\u00a0<\/p>\n

Os n\u00fameros v\u00eam do relat\u00f3rio M-Trends 2022 da Mandiant (Documento: <\/span>PDF<\/span><\/a> ), que se baseia nas investiga\u00e7\u00f5es de viola\u00e7\u00e3o da empresa entre 1\u00ba de outubro de 2020 e 31 de dezembro de 2021. Eles mostram que o valor m\u00e9dio do tempo de perman\u00eancia diminuiu consistentemente nos \u00faltimos anos , de 205 dias em 2014 a 78 (2018), 56 (2019), 24 (2020) a 21 (2021). <\/span>O problema \u00e9 que o tempo de perman\u00eancia n\u00e3o tem correla\u00e7\u00e3o consistente com o efeito da viola\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Durante o mesmo per\u00edodo de r\u00e1pido decl\u00ednio nos \u00faltimos anos, houve um aumento igualmente r\u00e1pido nos ataques de ransomware bem-sucedidos. O tempo m\u00e9dio de perman\u00eancia de um ataque de ransomware nas Am\u00e9ricas e na EMEA \u00e9 de apenas quatro dias, inevitavelmente reduzindo o n\u00famero m\u00e9dio geral.\u00a0<\/span><\/p>\n

\u00a0<\/p>\n

Ao mesmo tempo, os longos tempos de perman\u00eancia individuais n\u00e3o foram eliminados. Oito por cento das investiga\u00e7\u00f5es da Mandiant revelaram tempos de perman\u00eancia de mais de um ano e meio, enquanto metade destes teve tempos de perman\u00eancia de mais de 700 dias. Al\u00e9m disso, 20% das investiga\u00e7\u00f5es revelaram tempos de perman\u00eancia entre 90 e 300 dias.\u00a0<\/p>\n

\u00a0<\/p>\n

Portanto, a extens\u00e3o do decl\u00ednio no n\u00famero m\u00e9dio de tempo de perman\u00eancia pode ter menos a ver com a melhoria das posturas defensivas do que com o aumento e os ataques de ransomware criminosos bem-sucedidos.<\/p>\n

\u00a0<\/p>\n

H\u00e1 uma dificuldade semelhante em interpretar as mudan\u00e7as entre o reconhecimento de viola\u00e7\u00e3o interna e externa. No geral, o tempo necess\u00e1rio para que fontes externas notifiquem uma v\u00edtima de que houve uma viola\u00e7\u00e3o caiu drasticamente. \u201cO tempo m\u00e9dio global de perman\u00eancia para incidentes identificados externamente caiu de 73 para 28 dias\u201d, observa o relat\u00f3rio.\u00a0<\/p>\n

\u00a0<\/p>\n

No entanto, deve-se notar que o recebimento de uma nota de extors\u00e3o \u00e9 definido como uma notifica\u00e7\u00e3o ‘externa’. O aumento do ransomware com um tempo de perman\u00eancia de apenas quatro dias nas Am\u00e9ricas e EMEA (nove dias na APAC) ser\u00e1 respons\u00e1vel por parte desse decl\u00ednio no tempo de perman\u00eancia de intrus\u00f5es notificadas externamente sem qualquer indica\u00e7\u00e3o de melhoria na detec\u00e7\u00e3o e notifica\u00e7\u00e3o externas.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cInversamente\u201d, diz o relat\u00f3rio, \u201cincidentes que foram identificados internamente viram um prolongamento do tempo m\u00e9dio global de perman\u00eancia de 12 para 18 dias\u201d. Isso pode implicar que os invasores est\u00e3o melhorando sua capacidade de se esconder mais rapidamente do que os defensores est\u00e3o melhorando sua capacidade de detectar.<\/p>\n

\u00a0<\/p>\n

No entanto, na perspectiva de Scott Runnells (diretor t\u00e9cnico da Mandiant e especialista em resposta a incidentes), quanto menor o tempo de perman\u00eancia, maior a probabilidade de encontrar artefatos do invasor que possam auxiliar na resposta. \u201c\u00c0 medida que o tempo de perman\u00eancia aumenta\u201d, disse ele \u00e0 SecurityWeek<\/em> , \u201ccome\u00e7amos a ter lacunas nos dados que podemos analisar. Alguns dos dados mais cr\u00edticos ficam fora dos registros. Quanto menor o tempo de perman\u00eancia, mais podemos aprender sobre o invasor.\u201d<\/span><\/p>\n

\u00a0<\/p>\n

No geral, a Mandiant detectou uma redu\u00e7\u00e3o de 2% nos incidentes de ransomware. Isso compreendeu um aumento na APAC, mas uma diminui\u00e7\u00e3o maior nas Am\u00e9ricas. Mandiant sugere que a diminui\u00e7\u00e3o pode ter sido causada por \u201cum aumento nas a\u00e7\u00f5es de aplica\u00e7\u00e3o da lei tomadas contra atores motivados financeiramente, levando a pris\u00f5es, remo\u00e7\u00e3o de servidores e apreens\u00e3o de fundos extorquidos\u201d. No entanto, n\u00e3o v\u00ea isso como necessariamente um decl\u00ednio permanente na amea\u00e7a de ransomware, acrescentando: \u201cCom baixos riscos e barreira \u00e0 entrada e altas recompensas, vemos isso como uma amea\u00e7a cont\u00ednua que representa um risco para todas as organiza\u00e7\u00f5es\u201d.<\/p>\n

\u00a0<\/p>\n

O principal vetor de infec\u00e7\u00e3o inicial em todas as investiga\u00e7\u00f5es da Mandiant \u00e9 uma explora\u00e7\u00e3o, com 37% (oito pontos a mais do que em 2020). Os comprometimentos da cadeia de suprimentos foram os segundos mais frequentes com 17% (acima de menos de 1% em 2020). Oitenta e seis por cento das viola\u00e7\u00f5es da cadeia de suprimentos foram relacionadas \u00e0 SolarWinds e SUNBURST.\u00a0<\/p>\n

\u00a0<\/p>\n

Outros 14% das invas\u00f5es envolveram um vetor de infec\u00e7\u00e3o inicial relacionado a um comprometimento anterior, incluindo transfer\u00eancias de um grupo para outro. Uma descoberta positiva, no entanto, \u00e9 que houve muito menos intrus\u00f5es relacionadas a phishing (de 23% em 2020 para apenas 11% em 2021). \u201cIsso mostra a capacidade das organiza\u00e7\u00f5es de detectar e bloquear melhor os e-mails de phishing, bem como o treinamento de seguran\u00e7a aprimorado dos funcion\u00e1rios para reconhecer e relatar tentativas de phishing\u201d, diz Mandiant.<\/p>\n

\u00a0<\/p>\n

\u201cVinte e cinco por cento dos ambientes visados \u200b\u200btinham mais de um grupo de amea\u00e7as distinto em resid\u00eancia\u201d, disse Runnels \u00e0 SecurityWeek<\/em> . \u201cIsso est\u00e1 quatro pontos abaixo do ano passado, mas ainda dentro de uma linha de tend\u00eancia crescente. Isso pode ser uma mistura de grupos trabalhando em conjunto: o grupo A ganha acesso e depois vende esse acesso ao grupo B, que \u00e9 algo que costumamos ver com o FIN12.\u201d<\/p>\n

\u00a0<\/p>\n

Mas a Mandiant tamb\u00e9m v\u00ea alvos de alto valor sendo comprometidos por v\u00e1rios grupos. \u201cIsso geralmente acontece quando novas vulnerabilidades s\u00e3o publicadas, e a pressa para corrigir \u00e9 muitas vezes superada pela pressa criminosa para identificar e posteriormente comprometer\u201d, continuou ele. \u201cVimos isso com Log4j e ProxyShell e espero que continuemos a ver isso enquanto essa cad\u00eancia de patch\/exploit entre defensores e atacantes continuar.\u201d Ele observou que n\u00e3o \u00e9 incomum que Mandiant seja trazido para investigar um minerador de moedas muito barulhento, cuja presen\u00e7a pode ser detectada pela equipe de seguran\u00e7a, apenas para encontrar outro ator mais furtivo tamb\u00e9m na resid\u00eancia.<\/p>\n

\u00a0<\/p>\n

O relat\u00f3rio observa que a Mandiant est\u00e1 monitorando 1.100 novos grupos de atividades este ano. Isso n\u00e3o deve ser confundido com 1.100 novos grupos de amea\u00e7as, embora a empresa esteja monitorando mais grupos de amea\u00e7as (e mais malware) do que no ano passado. Um cluster de atividade \u00e9 apenas uma indica\u00e7\u00e3o de atividade maliciosa que ainda n\u00e3o pode ser associada a nenhum grupo conhecido. \u201c\u00c0 medida que esses clusters come\u00e7am a se fortalecer e crescer\u201d, disse Runnels, \u201cn\u00e3o \u00e9 incomum reconhecer sobreposi\u00e7\u00f5es que podem indicar que podem ser o mesmo novo grupo ou um grupo existente\u201d.\u00a0<\/span><\/p>\n

\u00a0<\/p>\n

At\u00e9 que a Mandiant tenha informa\u00e7\u00f5es suficientes para dizer com 100% de certeza que este cluster s\u00e3o causados \u200b\u200bpelo mesmo ator, ele n\u00e3o faz suposi\u00e7\u00f5es. \u201cNossa equipe de intelig\u00eancia est\u00e1 muito hesitante em voltar atr\u00e1s em uma atribui\u00e7\u00e3o, ent\u00e3o muitas novas atividades s\u00e3o descritas apenas como um cluster. Mas pode ser um grupo existente que mudou os TTPs que usa.\u201d<\/p>\n

\u00a0<\/p>\n

Ele usou a China como exemplo. \u201cA China ficou quieta por alguns anos e depois ressurgiu com o que parece talvez uma reorganiza\u00e7\u00e3o ou simplesmente novas ferramentas e t\u00e9cnicas, mas algumas dessas ferramentas est\u00e3o sugerindo que pode haver um novo intendente centralizado. Portanto, \u00e9 dif\u00edcil dizer que h\u00e1 mais grupos ou apenas mais novos agrupamentos de atividades, porque talvez o antigo ator tenha chegado a um ambiente diferente e tenha que usar t\u00e9cnicas novas ou diferentes.\u201d<\/p>\n

\u00a0<\/p>\n

Os TTPs usados \u200b\u200bpelos invasores nos levam ao MITRE. \u201cCome\u00e7amos a vincular nossas descobertas de um ataque \u00e0 estrutura MITRE\u201d, disse Runnels. \u201cSempre que vejo um rascunho de infer\u00eancia, vou \u00e0quela se\u00e7\u00e3o do MITRE que detalha as t\u00e9cnicas. As dez t\u00e9cnicas mais frequentes devem servir como uma lista de prioriza\u00e7\u00e3o de defensores e investigadores.\u201d Ele n\u00e3o v\u00ea isso como suficiente para uma defesa e investiga\u00e7\u00e3o abrangentes, mas como uma parte importante do processo.\u00a0<\/p>\n

\u00a0<\/p>\n

\u201cOs defensores devem garantir que tenham visibilidade dos artefatos que ser\u00e3o produzidos por essas t\u00e9cnicas. <\/span>Por exemplo, relatamos que apenas 45% dos incidentes que a Mandiant investigou alavancaram int\u00e9rpretes de comando e script , o mais comum \u00e9 o PowerShell.\u201d\u00a0<\/span><\/p>\n

\u00a0<\/p>\n

Isso provavelmente n\u00e3o surpreender\u00e1 nenhum defensor ou investigador experiente, mas Runnels diz: \u201cIsso deve levantar quest\u00f5es sobre seu ambiente e sua postura de seguran\u00e7a. Tenho visibilidade desses artefatos e por quanto tempo retenho esses artefatos? Um bom exemplo \u00e9 se um script do PowerShell for executado em um ponto de extremidade, eu registro a execu\u00e7\u00e3o dele e registro o conte\u00fado do script? Eu protejo o log de ser exclu\u00eddo por invasores? Temos uma solu\u00e7\u00e3o de EDR que oferece suporte a isso? S\u00e3o dados muito importantes para equipes de seguran\u00e7a e suporte e investigadores.\u201d<\/p>\n

\u00a0<\/p>\n

A estrutura do MITRE agora \u00e9 refor\u00e7ada pelos resultados das investiga\u00e7\u00f5es de intrus\u00e3o da Mandiant e todos eles s\u00e3o apresentados no Relat\u00f3rio M-Trends de 2022.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cV\u00e1rias tend\u00eancias dos anos anteriores continuaram em 2021\u201d, conclui Sandra Joyce, EVP da Mandiant Intelligence. \u201cA Mandiant encontrou mais grupos de amea\u00e7as do que em qualquer per\u00edodo anterior, incluindo grupos rec\u00e9m-descobertos. Em uma tend\u00eancia paralela, nesse per\u00edodo come\u00e7amos a rastrear mais novas fam\u00edlias de malware do que nunca. No geral, isso se refere a um cen\u00e1rio de amea\u00e7as que continua crescendo em volume e diversidade de amea\u00e7as. Tamb\u00e9m continuamos a testemunhar que o ganho financeiro \u00e9 a principal motiva\u00e7\u00e3o para os invasores observados, como destacam os estudos de caso deste ano sobre FIN12 e FIN13. Se mudarmos para a perspectiva do defensor, veremos v\u00e1rias melhorias, apesar de um cen\u00e1rio de amea\u00e7as incrivelmente desafiador.”\u00a0<\/p>\n

\u00a0<\/p>\n

Nota do editor: <\/strong> M-Trends \u00e9 um dos poucos relat\u00f3rios que a SecurityWeek considera leitura obrigat\u00f3ria, pois os dados s\u00e3o compilados de incidentes reais, n\u00e3o de pesquisas de fornecedores usando perguntas elaboradas para distorcer os resultados em favor da venda de algo. Em outras palavras, s\u00e3o dados do mundo real com detalhes descobertos durante o processo de investiga\u00e7\u00e3o de incidentes em centenas de clientes, muitos de organiza\u00e7\u00f5es de alto perfil.<\/span><\/em><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/www.securityweek.com\/attacker-dwell-times-down-no-consistent-correlation-breach-impact-mandiant\u00a0<\/a> (Autor: Kevin Townsen<\/span>d<\/span> )<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n\n\n\n\n\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

\u00a0 Tempo de espera do invasor, mas sem correla\u00e7\u00e3o consistente com o impacto da viola\u00e7\u00e3o. \u00a0 A boa not\u00edcia \u00e9 que o tempo m\u00e9dio de perman\u00eancia do intruso caiu novamente de 24 dias em 2020 para 21 dias em 2021. A m\u00e1 not\u00edcia \u00e9 que o n\u00famero d\u00e1 pouca indica\u00e7\u00e3o da verdadeira natureza da atividade […]<\/p>\n","protected":false},"author":2,"featured_media":19273,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19271","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19271"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19271\/revisions"}],"predecessor-version":[{"id":19274,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19271\/revisions\/19274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19273"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}