Uma estratégia profunda e compreensiva de segurança, utilizando camadas sobrepostas de proteção é algo que já se provou como uma das melhores abordagens da cibersegurança. Esse é o motivo pelo qual o estudo da cadeia de ataque, a compreensão dos passos dados pelos atacantes, é algo tão crucial para o sucesso da segurança.

Via de regra, um ciberataque possui 7 estágios em cadeia:

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploit

5 Instalação

6 Comando e Controle

7 Ações

 

Contudo, na prática, essa cadeia acaba sendo mais complicada que o necessário para questões de aprendizagem. Por isso, é suficiente começar o entendimento com uma cadeia mais simples e específica, um ataque a um endpoint composto por apenas 3 grandes passos.

 

1 – Entrega das Instruções

Esse estágio se inicia com os atacantes ganhando algum espaço no ambiente ao lançar mão de suas ferramentas e enviar instruções para elas, dizendo o que deve ser feito.

Como defensores, temos muitas oportunidades, sem nem mesmo utilizar a segurança de endpoint, para interromper o ataque nesse estágio, incluindo conscientização dos funcionários, segurança de rede e proteção de email.

Contudo, se um atacante passar por essas camadas de proteção em nossa defesa, nós ainda podemos utilizar a segurança de enpoint para bloquear o exploit utilizado para distribuição, detectar URL maliciosa e prevenir o “armamento” de documentos. Também temos a oportunidade de detectar as comunicações de controle e comando com o servidor de controle.

 

2 – Execução e Exploit

Em seguida, os atacantes buscam exploits existentes nos endpoints e executam códigos maliciosos.

As defesas de endpoint costumam ser muito focadas em interromper executáveis maliciosos, seja utilizando abordagens funcionais como assinaturas ou abordagens mais recentes como Machine Learning.

Contudo, outras técnicas complementares devem ser aplicadas nesse estágio, incluindo soluções de anti-exploit para prevenir roubo de credenciais, escalonamento de privilégio e abuso de aplicação.

 

3 – Pós-Execução

FInalmente, chegamos ao momento posterior ao ataque, onde os criminosos de fato executam dano à empresa.

Mesmo que um atacante chegue tão longe, existem camadas de defesa que podem ser aplicadas. Data Loss Prevention (DLP) pode ser usado para evitar a extração dos dados.

Adicionalmente, técnicas de análise de comportamento, como proteção contra ransomware, podem detectar atividade maliciosa em curso e interromper o atacante antes que ele atinja seus objetivos. A análise posterior à execução também pode ser aplicada para se entender os detalhes específicos dessa cadeia de ataque.

Muitas vezes a defesa de endpoints acaba sendo concentrada primariamente na interrupção de executáveis, contudo, existem muitas outras oportunidades ao longo da cadeia de ataque para interromper esse ataque. Algumas técnicas de defesa podem ser muito avançadas, ou podem ser abordagens mais fundamentais que estão já em curso por muitos anos.

Independente da abordagem, a mesma missão deve ser cumprida. Se sua defesa em camadas consegue interromper o ataque ao longo da cadeia de ataque, então você acabou interrompendo todo o ataque e mantendo seu ambiente seguro.