Por Ricardo Oliveira, Consulting Services Director da Eurotux
Os conflitos de cibersegurança nos anos de 2020, 2021 e 2022 foram facilitados pela pandemia COVID-19 (e como tal pelas medidas implementadas pelas organizações, como forma urgente de viabilizar as operações o mais possível normais, muitas vezes avulso) e as consequências decorrentes destas alterações refletir-se-ão nos anos vindouros. Para além da necessidade urgente de mudança para modelos de trabalho remoto ou híbrido, verificou-se ainda por força das circunstâncias uma aceleração drástica na digitalização de processos de negócio realizada em muitas circunstâncias com principal preocupação na rápida operacionalidade. Quase sempre esta aceleração pecou pela falta da disciplina da cibersegurança (que assegura por exemplo avaliação prévia e realista de riscos e determinação de medidas de tratamento dos mesmos) envolvida nestas decisões.
Além disso, e ainda que se tenha verificado um incremento global dos incidentes de cibersegurança fruto do contexto geopolítico em 2022, vários países Europeus foram conotados em plataformas da Darkweb como frágeis em termos de investimento em cibersegurança, tornando-se em alvos especialmente apetecíveis. Como consequência, os incidentes de cibersegurança com impacto significativo aumentaram de forma considerável em Portugal, tirando partido das fragilidades inerentes à falta de maturidade nestes processos de digitalização. Muitas vezes estes incidentes foram centrados nas maiores fragilidades: o colaborador, a passividade em termos de tratamento de eventos de cibersegurança bem como a falta de maturidade das organizações em termos de cibersegurança (ações de sensibilização, processos, controlos, políticas). A Eurotux, utilizando a experiência internacional de vários anos em termos de resposta a incidentes de cibersegurança, foi elemento ativo em tarefas de recuperação desde o início de 2022, tendo verificado uma alteração significativa tanto em termos de padrão de comportamento como em termos de vetores de ataque.
O phishing, a par da utilização de credenciais obtidas seja pelas tentativas de bruteforce ou pela obtenção de API Keys / credenciais armazenadas nos repositórios de código das organizações com processos de criação/desenvolvimento de infra-estruturas como código, tipicamente utilizando plataformas cloud, foram especialmente explorados como vetor inicial de intrusão; a inexistência de múltiplos fatores de autenticação acabou por ser determinante na agilidade com que os cibercriminosos – em algumas circunstâncias durante semanas ou meses – atacam sistemas até obterem credenciais ou privilégios sem que ninguém se aperceba. Depois da intrusão inicial, foram utilizados os tradicionais mecanismos de exploração de vulnerabilidades de software para movimentação lateral, aumentando a superfície de ataque ou os privilégios com que se leva a cabo um ataque muitas vezes concretizado na forma de ransomware ou de forma mais destrutiva.
A Eurotux tem obtido repetidamente uma conclusão: existem tipicamente várias evidências de tentativas de intrusões sem e com sucesso, seguidas de exploração de vulnerabilidades e obtenção de privilégios crescentes que permanecem ignoradas até que, semanas ou meses depois, se concretiza o expoente máximo do ataque. A existência de uma atividade de monitorização de segurança – o já tradicional SOC – que passa pela análise permanente de eventos, identificação de comportamentos padrão, identificação atempada de vulnerabilidades e correspondentes ações de remediação teria como consequência que uma grande parte destes incidentes de cibersegurança teriam sido detetados a tempo, tendo como tal sido evitadas as consequências danosas para as organizações.