Por: Equipe SOC iT.eam | 02 de abril de 2020, às 18:37
A epidemia gerada pelo COVID-19 está causando impactos econômicos, sociais e políticos no mundo inteiro. E, como era de se esperar, as cyberameaças estão se aproveitando da situação.
A equipe de monitoramento do nosso SOC observou um aumento exponencial em ataques que se aproveitam da necessidade de implementação emergencial do “Home Office” por grande parte das organizações. As equipes de infraestrutura tiveram de implementar serviços de forma emergencial para atender este processo, gerando possíveis brechas de segurança ao ambiente. Citamos aqui, alguns dos mais frequentes cyberameaças detectados por nossa equipe:
Roubo de Credenciais
Neste período de COVID-19 o número de ataques com o objetivo de roubar credenciais cresceu no mundo todo. Para que seja possível executar o roubo, os “hackers” estão utilizando técnicas desde Ataques mais simples como Força Bruta, como ataques mais complexos de execução de “exploits”, “Man in the Middle” , “Site Mirroring”, este ultimo inclusive com vasta utilização contra órgãos e autoridades mundiais, como podemos ver nesse artigo aqui.
Phishing Scams
Desde o início da Epidemia, muitos “hackers” estão se aproveitando da curiosidade das pessoas para realizarem golpes de Phishing. Esta técnica está sendo aplicada, principalmente, via e-mail, mas também está presente em redes sociais. Tais golpes utilizam títulos chamativos, com o intuído de atrair os usuários a se cadastrarem em sites que apresentam dados sobre o COVID-19 em tempo real, downloads de e-books sobre o vírus, e infectando-os com malwares dos mais variados tipos, como os conhecidos ransomware. Esse artigo da Forbes traz alguns exemplos de como os criminosos tem utilizado do coronavírus para infectar usuários e tira proveito dessa técnica com o COVID-19. Veja também uma notícia nossa sobre quais são os ataques mais comuns nas empresas.
Como se proteger
Como forma de colaborar na mitigação de possíveis impactos ao ambiente de parceiros, a equipe de SOC (Centro de Operações de Segurança) da iT.eam preparou algumas informações e dicas de como se prevenir sobre os principais riscos identificados neste período de quarentena.
Monitoramento
É de extrema importância monitorar os ativos e conexões efetuadas para identificar estas ameaças. O time de monitoramento pode desenvolver regras de detecções para identificar comportamentos que possa indicar um possível usuário compromissado, como por exemplo:
- Acessos ao serviço de VPN fora do horário comercial;
- Ataque por Força Bruta com destino a autenticação do serviço de VPN;
- Alertas do Antivírus relacionados a máquinas de usuários em trabalho de Home Office;
- Monitoramento do serviço de anti-spam e conexões do serviço de e-mail;
- Comportamentos suspeitos na utilização do e-mail empresarial;
- Comunicações com IP’s conhecidos por realizarem golpes relacionados ao COVID-19;
Fator Múltiplo de Autenticação – MFA
A convergência das organizações para o trabalho remoto originou a necessidade de publicação de diversos serviços organizacionais, e a popularização de alguns que já eram publicados, mas não eram disponibilizados para todos, como o serviço de VPN.
Como resultado dessas publicações, a exposição dos servições corporativos aumentaram, e consequentemente, os ataques de roubos de credenciais se tornaram mais prováveis e seu impacto mais devastador. Por isso, recomendamos que as organizações protejam seus sistemas através da implantação de ferramentas que introduzam maior segurança ao processo de autenticação dos serviços.
Políticas Seguras para trabalho remoto
Pelo fato de muitos colaboradores realizarem o trabalho remoto, algumas camadas de segurança que estão presentes em uma rede corporativa não existem em suas casas, por isso, é ainda mais importante que a empresa tenha o controle sobre o nível de segurança dos endpoints e implementem as melhores práticas de configurações.
Algumas ferramentas de MDM podem auxilia-los nos processo através da criação de políticas de parametrizações nos computadores dos colaboradores. Abaixo, possuem algumas configurações recomendadas:
- Antivírus instalado e atualizado;
- Firewall do Windows ativado;
- Windows e Softwares atualizados;
Anti-spam
A utilização de phising para contaminar os usuários, e a partir dali comprometer o restante da infraestrutura, ainda é uma das técnicas mais utilizadas pelos atacantes, e com a redução das camadas de segurança decorrentes do “Home Office” essas técnicas estão ainda mais efetivas.
Por isso recomendamos revisitar as configurações de anti-spam da sua empresa e garantir a melhor configuração para proteção de seus usuários.
Precisa de ajuda para planejar a proteção da sua empresa nesse momento? Entre em contato conosco!