Recentemente foram divulgadas notícias sonantes sobre ciberataques. Falamos do exploit Sunburst na SolarWinds Orion e mais recentemente o exploit Hafnium do servidor Microsoft Exchange. Ambos os ataques tiveram origem em ameaças zero day e impacto em organizações a nível global.
Zero day é um termo que se aplica tanto à vulnerabilidade como à ameaça. Uma vulnerabilidade zero day é uma falha de segurança de software. O programador desconhece esta vulnerabilidade. Por vezes até conhecem mas não existem atualizações para corrigir as falhas. Uma ameaça zero day, ou ataque zero day é um ataque que nunca foi visto antes e que explora esta vulnerabilidade.
Acontecimentos Zero-Day
Em dezembro de 2020, a empresa FireEye informou que o malware Sunburst tinha instalado em sistemas internos. Através de atualizações de software SolarWinds Orion. Assim, descobriu-se rapidamente que o malware estava muito mais difundido do que o FireEye. O ataque causou uma brecha em cerca de 18.000 sistemas em todo o mundo. Em muitos casos não se sabe com certeza de qual será o impacto final.
Este evento afetou agências. Tais como o Departamento de Segurança Interna dos EUA e partes do Pentágono. No entanto, os atacantes também conseguiram acesso a sistemas cruciais. Foram mais de 425 empresas da Fortune 500. Entre elas, todas as 10 maiores TELCOs dos EUA, e cinco sucursais do exército dos EUA.
Recentemente a Microsoft foi alvo de quatro ataques zero day. Estima-se terem afetado pelo menos 30.000 empresas e agências. O ataque visou vulnerabilidades em versões de Microsoft Exchange Servers em todos os EUA. Segundo consta o ataque foi realizado por Hafnium. Um grupo avançado de ameaça persistente (APT) da China.
No dia 2 de março a Microsoft lançou correções para abordar as quatro vulnerabilidades. Exemplo, (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065). No entanto, as empresas podem não estar a aplicá-las com a rapidez que se justifica e o número de vítimas pode continuar a crescer.
Melhores práticas de prevenção para ataques zero day
Os ataques zero day são mais comuns pelo que a prevenção se torna crucial. As empresas devem tomar medidas para assegurar a proteção do negócio, de colaboradores e dados críticos. Além disso, seguindo as melhores práticas de segurança contra ameaças de zero-day é possível aumentar a segurança da sua rede.
Manter os sistemas atualizados
Os ciberataques estão sempre a evoluir e no caso das ameaças de zero day o cenário não é diferente. Ademais, é preciso que as soluções continuem a evoluir para que estejam à frente dos mesmos. É por isso que é imperativo atualizar o software dos sistemas . A versão de ontem pode não proteger contra as ameaças de amanhã.
Subscrever os princípios de Zero Trust Networking
As estratégias de confiança zero-trust protegem os ambientes digitais. Têm por base o princípio de que nenhum acesso é dado a menos que seja autorizado. Isto é aplicado aos utilizadores e equipamentos.
A zero-trust utiliza a micro-segmentação para dividir os perímetros de segurança em pequenas zonas. Fá-lo para criar pontos de acesso separados para partes distintas da rede. Embora o acesso possa ser concedido a uma zona, o acesso a outras zonas exige uma autorização separada. Contudo, as políticas são definidas para dar aos utilizadores o acesso mais limitado possível. desde que permita completar uma tarefa.
Instruir os colaboradores para detetar phishing
Basta um clique errado para comprometer os dados da empresa. A formação em cibersegurança deve começar no Dia 1 como parte do processo de integração e incluir informação sobre como detetar um esquema de phishing. Assim, os colaboradores devem identificar possíveis ataques e saber como denunciá-los aos administradores da rede. A proteção contra a violação de dados exige que todos os funcionários de todos os departamentos estejam totalmente preparados. Ter um colaborador mal preparado será certamente um elo fraco.
Forçar a autenticação multi-fator sempre que possível
Os ciberataques evoluem e se tornam mais complexos a utilização da autenticação por múltiplos fatores aumenta os níveis de segurança. Combate o erro humano, exigindo mais do que uma prova de que o utilizador é quem parece ser. Assim, uma forma comum de autenticação por múltiplos fatores é exigir um nome de utilizador e uma palavra-passe. Depois, pedir um código temporário enviado para um dispositivo de confiança. Assim sendo, impedirmos o acesso a contas com nomes de utilizador e palavras-passe roubadas.
O que fazer se for vítima de um ataque zero day
As empresas podem preparar-se para ciberataques e muito especificamente para lidarem com ameaças de zero-day, mas elas podem acontecer. Uma vez descoberta uma falha, é importante seguir estes passos para mitigar o impacto:
- Seguir as orientações: por exemplo, a Microsoft divulgou informações sobre as falhas de segurança e a instalação de correções.
- Permitir a prevenção de ameaças para impedir tráfego suspeito de entrar ou sair da rede. Assim, ajuda a prevenir ataques aos seus servidores. Contudo, pode ainda impedir a perda de dados em casos de phishing.
- Configurar o bloqueio geográfico para proteção extra. Útil contra ataques que possam vir de países conhecidos por altas taxas de hackers. Assim sendo, este passo pode reduzir o potencial de um ataque ao seu negócio.
- Utilizar uma VPN para que os serviços não sejam expostos na Internet e para proteger todos. Isto é, aplique as mesmas proteções que obteriam se estivessem no escritório.
Saber o que fazer antes de ocorrer uma falha de segurança e ter um plano no caso de ser atacado. Contudo, são dois argumentos que podem permitir que a sua empresa sobreviva a estes aos mais complexos ataques informáticos. Além disso, saber com o que conta e o que o futuro reserva no que respeita a cibersegurança é o primeiro passo para estar bem preparado para o que aí vem. Para ficar a saber mais sobre como podemos ajudar a proteger a sua empresa e a definir um plano de resposta rápida em caso de ataque, entre em contacto connosco.
