.
O tempo médio que as organizações globais levam para detectar ataques cibernéticos caiu para o nível mais baixo de todos os tempos, dez dias, revelou hoje a Mandiant.
A loja cibernética afirma que a tendência descendente continua desde os 16 dias do ano passado e deve ser vista como “uma grande vitória para os mocinhos”, mas uma análise mais aprofundada dos dados subjacentes mostra que ainda existem algumas questões óbvias em jogo.
Por um lado, a repartição regional no último relatório M-Trends da gigante da segurança da informação, divulgado hoje, mostra que a nova média (mediana) mais baixa de todos os tempos de dez dias é distorcida por dados em regiões anteriormente com baixo desempenho.
A JAPAC, por exemplo, baixou o seu tempo médio de permanência para nove dias, o que está abaixo da mediana global actual – ótimo – mas no ano passado a média da região foi de 33 dias, mais do dobro do valor global, que a JAPAC distorceu desfavoravelmente.
A EMEA também relatou um pior tempo de permanência anual de 22 dias em comparação com 20 dias em 2022. A Mandiant diz que o pequeno aumento em relação aos números do ano passado, que foram os mais baixos já registrados para a região, pode ser devido à normalização dos dados após a Mandiant trabalhar na Ucrânia.
Além disso, em 14 por cento das investigações, os investigadores descobriram que os tempos de permanência na EMEA se enquadravam na categoria “cinco anos ou menos”. A categoria abaixo captura tempos de permanência de “um ano ou menos”, ilustrando a escala de invasões que passam despercebidas por longos períodos de tempo.
Os dados nas Américas permaneceram inalterados – o tempo médio de permanência na região permaneceu em dez dias, igual aos resultados de 2022.
A Mandiant deixou claro no início de seu relatório que, embora o tempo de permanência dos invasores esteja diminuindo, ainda não é bom o suficiente para impedir que os melhores do ramo atinjam seus objetivos.
Os seus próprios red teamers são capazes de atingir os seus objectivos dentro de cinco a sete dias, disse, e dado que inimigos igualmente capazes realizam os seus ataques regularmente, estes tempos precisam de diminuir se o número de ataques bem sucedidos também o for.
A Mandiant também incluiu mais casos de ransomware em seus dados este ano, cinco por cento a mais, na verdade. Isso pode ter influenciado a tendência global de redução do tempo de permanência, uma vez que afirma que as invasões de ransomware são normalmente detectadas mais rapidamente do que outros tipos.
O braço de defesa cibernética do Google Cloud não entrou em muitos detalhes sobre quais outros tipos de ataques foram incluídos em sua análise, a não ser dizer que avaliou as descobertas de cada uma de suas investigações sobre ataques direcionados em 2023.
Isso pode abranger todos os tipos de ataques envolvendo roubo de dados, malware, exploração de dia zero, espionagem cibernética – um tema quente ultimamente em que a Mandiant tem estado envolvida e, claro, ransomware.
Em média, um incidente de ransomware é detectado em cinco dias, quase duas vezes mais rápido que no ano passado (nove dias). É verdade que isso é mais rápido quando se analisa o número de detecções externas (cinco dias) do que as internas (seis dias).
O que Mandiant entende por dois tipos de detecções:
-
Detecção interna: ferramentas de segurança cibernética fazendo seu trabalho, detectando atividades maliciosas e comprometimentos. Também inclui relatórios feitos por funcionários bem treinados que detectam atividades suspeitas
-
Detecção externa: quando uma fonte fora de uma organização a informa pela primeira vez sobre um comprometimento. Isto pode abranger uma ampla gama de entidades, incluindo autoridades policiais, pesquisadores de segurança cibernética, parceiros da indústria ou os próprios criminosos cibernéticos
As invasões sem o envolvimento do ransomware são detectadas de forma comparativamente mais lenta, mas são feitas de forma mais eficiente usando recursos internos (nove dias) do que dependendo de entidades externas (20 dias).
No geral, o tempo necessário para detectar ransomware diminuiu em todos os tipos de detecção. Mandiant diz que isso geralmente sugere que os defensores estão melhorando suas capacidades de detecção.
No entanto, a proporção de incidentes detectados internamente ainda é compensada pela dependência das organizações de fontes externas que as alertam sobre problemas, destacando a importância dos parceiros da indústria para o ecossistema de segurança.
Menos de metade (46 por cento) das invasões são detectadas utilizando os próprios recursos de uma organização, em comparação com 54 por cento dos alvos que tomam conhecimento dos seus incidentes através de terceiros, diz Mandiant.
A dependência de amigos – e inimigos – caiu em relação à média de 2022 de 63 por cento, mas descontando o ano passado, a última vez que a Madiant registou uma maior dependência de fontes externas foi em 2014.
Já se passaram alguns anos, mas no longo prazo, as detecções de invasões internas pelas próprias organizações não melhoraram muito.
Porém, toda a culpa não deve recair sobre os defensores, uma vez que os atacantes estão cada vez mais sofisticados na forma como conduzem as suas operações, encontrando continuamente novas formas de contornar os controlos de segurança.
“Os invasores ajustam regularmente suas táticas, técnicas e procedimentos para atingir seus objetivos, o que pode ser um desafio para os defensores”, disse Jurgen Kutscher, vice-presidente da Mandiant Consulting do Google Cloud. “Apesar disso, nossos investigadores da linha de frente aprenderam que as organizações fizeram um trabalho melhor em 2023 na proteção de sistemas e na detecção de comprometimentos.
“Os defensores devem estar orgulhosos, mas as organizações devem permanecer vigilantes. Um tema chave em todo o M-Trends 2024 é que os invasores estão tomando medidas para evitar a detecção e permanecer nos sistemas por mais tempo, e uma das maneiras de conseguir isso é através do uso de zero vulnerabilidades diárias. Isso destaca ainda mais a importância de um programa eficaz de caça a ameaças, bem como a necessidade de investigações abrangentes e remediação no caso de uma violação.”
Um relatório combinado da Mandiant e do Threat Analysis Group (TAG) do Google no mês passado revelou um aumento anual de 56% no número de dias zero explorados por atores ofensivos no ciberespaço.
O ritmo a que os zero-days estão a ser desenvolvidos para software específico para empresas também parece estar a ultrapassar o das plataformas de utilizador final, com um aumento anual de 64 por cento.
“Ao longo dos anos, aprendemos que quanto mais rápido descobrirmos e corrigirmos os bugs dos invasores, menor será a vida útil da exploração e mais custará aos invasores manterem suas capacidades”, diz o relatório. [PDF] ler.
“Nós, como indústria, devemos agora aprender como aproveitar essas lições aprendidas e aplicá-las ao ecossistema mais amplo de fornecedores que agora estão sob ataque”.
Para o próximo ano, a Mandiant espera que os defensores fiquem especialmente preocupados com a tendência ascendente nas explorações de dia zero, bem como com um aumento geral no trabalho que os atacantes estão a realizar para escapar às medidas de segurança.
Espera-se também que os invasores aumentem os ataques a dispositivos de ponta e outras tecnologias onde as organizações normalmente têm dificuldade para aplicar uma detecção robusta.
“Continuaremos a compartilhar nosso conhecimento de linha de frente em M-Trends para melhorar nossa conscientização, compreensão e capacidades de segurança coletiva”, disse Mandiant. ®
.
