.
O velho ditado de que “aqueles que não aprendem com a história estão condenados a repeti-la” certamente pode ser aplicado à segurança cibernética. A Microsoft espera poupar as empresas que usam seus serviços de nuvem de repetir a história, compartilhando o que aprendeu.
Se as empresas pretendem se proteger em um ambiente de ameaças que está em constante mudança e evolução, elas precisam de uma estratégia de gerenciamento de postura que não apenas considere os padrões do setor e as melhores práticas dos fornecedores, mas também aprenda com os ataques recentes, de acordo com Israel Cohen, gerente sênior de produtos gerenciador do Microsoft 365 Defender.
A gigante do software está, portanto, adicionando um recurso ao Microsoft 365 Defender que mapeia automaticamente as técnicas usadas em ataques contra uma organização e, em seguida, recomenda o que os profissionais de segurança podem fazer para reforçar sua postura de segurança e evitar um ataque semelhante.
“Investigar os incidentes que afetaram a organização ajuda a entender como o adversário entrou e quais erros de configuração foram aproveitados durante o ataque”, escreveu Cohen em um postagem no blog esta semana anunciando a disponibilidade geral das recomendações de postura de segurança. “Esses aprendizados permitem que os analistas de segurança identifiquem quais configurações devem ser abordadas para fechar essas lacunas e evitar que a organização seja afetada pelo mesmo ataque novamente”.
O gerenciamento de postura de segurança na nuvem é um parte em expansão do ambiente de segurança cibernética que pode ter um crescimento anual de 14,5% – atingindo US$ 15,2 bilhões até 2031. É uma medida proativa de segurança cibernética em um momento em que a maioria das defesas ainda é reativa. A maioria dos principais fornecedores de segurança oferece esses recursos, e o espaço atraiu sua parcela de atenção na recente RSA Conference.
O Microsoft 365 Defender pesquisa e analisa as técnicas dos criminosos e as mapeia para a postura de segurança da empresa, com as informações disponibilizadas em um relatório de análise de ameaças.
“Para cada ameaça, você poderá ver uma pontuação que reflete a gravidade das configurações incorretas que o invasor explorou e o número de ativos afetados”, escreveu Cohen, acrescentando que a equipe de segurança de uma empresa pode “ver a lista de controles de postura recomendados diretamente na guia de ações recomendadas na página de análise de incidente ou ameaça no Microsoft 365 Defender.”
Nomeando nomes
Em sintonia com a postura de segurança proativa, o grupo Defender Threat Intelligence da Microsoft adicionou esta semana mais de duas dúzias de novos perfis de grupos de ameaças emergentes – incluindo grupos de alto perfil como volt tufão e Satin Sandstorm – à sua lista em andamento.
A Microsoft mantém uma lista de Perfis Intel de ameaças conhecidas que os analistas de segurança corporativa podem usar para identificar adversários e colocar as defesas necessárias em prática. As informações incluem as várias ferramentas, táticas e procedimentos (TTPs) que cada malfeitor usa, indicadores de compromisso (IOCs), histórico e tendências, bem como as etapas recomendadas que as organizações podem seguir.
Os perfis são atualizados diariamente por meio da descoberta e verificação automatizadas do cenário de ameaças, com os dados mantidos por uma equipe de mais de 8.000 especialistas em todo o mundo. A comunidade de inteligência de ameaças da Microsoft rastreia mais de 300 grupos de ameaças – incluindo 160 gangues de estado-nação e mais de 50 operadores de ransomware.
O Volt Typhoon é um grupo de ameaças ligado ao governo chinês e identificado pela Microsoft que está atacando empresas de infraestrutura crítica nos EUA – incluindo Guam, um território americano – para interromper as comunicações com países e organizações da região da Ásia-Pacífico. Agências dos EUA e suas contrapartes no Canadá, Austrália, Nova Zelândia e Reino Unido emitiram no final do mês passado um consultor [PDF] sobre o grupo.
Os nomes nos Perfis da Intel refletem o relativamente novo da Microsoft convenção por nomear grupos de crimes cibernéticos de acordo com as condições climáticas. Portanto, neste caso, “Typhoon” significa que o grupo é da China e “Sandstorm” significa Irã.
“Esta nova convenção traz mais clareza aos clientes e outros pesquisadores de segurança já confrontados com dados de inteligência de ameaças esmagadores”, escreveu Michael Browning, gerente sênior de marketing de produtos da Microsoft, em um postagem no blog. “Na nova taxonomia, os grupos de agentes de ameaças recebem nomes de eventos climáticos, que são forças universais às quais todos devemos neutralizar e nos adaptar – assim como as ameaças cibernéticas”.
Um grupo de ameaças com qualquer outro nome…®
.
