Tempo de espera do invasor, mas sem correlação consistente com o impacto da violação.
A boa notícia é que o tempo médio de permanência do intruso caiu novamente de 24 dias em 2020 para 21 dias em 2021. A má notícia é que o número dá pouca indicação da verdadeira natureza da atividade bem-sucedida do intruso em toda a ecosfera de segurança.
O tempo de permanência é o período de tempo entre a suposta intrusão inicial e a detecção de uma intrusão. A suposição usual é que quanto menor o tempo de permanência, menos danos podem ser causados. Esta não é uma suposição válida em todas as intrusões.
Os números vêm do relatório M-Trends 2022 da Mandiant (Documento: PDF ), que se baseia nas investigações de violação da empresa entre 1º de outubro de 2020 e 31 de dezembro de 2021. Eles mostram que o valor médio do tempo de permanência diminuiu consistentemente nos últimos anos , de 205 dias em 2014 a 78 (2018), 56 (2019), 24 (2020) a 21 (2021). O problema é que o tempo de permanência não tem correlação consistente com o efeito da violação.
Durante o mesmo período de rápido declínio nos últimos anos, houve um aumento igualmente rápido nos ataques de ransomware bem-sucedidos. O tempo médio de permanência de um ataque de ransomware nas Américas e na EMEA é de apenas quatro dias, inevitavelmente reduzindo o número médio geral.
Ao mesmo tempo, os longos tempos de permanência individuais não foram eliminados. Oito por cento das investigações da Mandiant revelaram tempos de permanência de mais de um ano e meio, enquanto metade destes teve tempos de permanência de mais de 700 dias. Além disso, 20% das investigações revelaram tempos de permanência entre 90 e 300 dias.
Portanto, a extensão do declínio no número médio de tempo de permanência pode ter menos a ver com a melhoria das posturas defensivas do que com o aumento e os ataques de ransomware criminosos bem-sucedidos.
Há uma dificuldade semelhante em interpretar as mudanças entre o reconhecimento de violação interna e externa. No geral, o tempo necessário para que fontes externas notifiquem uma vítima de que houve uma violação caiu drasticamente. “O tempo médio global de permanência para incidentes identificados externamente caiu de 73 para 28 dias”, observa o relatório.
No entanto, deve-se notar que o recebimento de uma nota de extorsão é definido como uma notificação ‘externa’. O aumento do ransomware com um tempo de permanência de apenas quatro dias nas Américas e EMEA (nove dias na APAC) será responsável por parte desse declínio no tempo de permanência de intrusões notificadas externamente sem qualquer indicação de melhoria na detecção e notificação externas.
“Inversamente”, diz o relatório, “incidentes que foram identificados internamente viram um prolongamento do tempo médio global de permanência de 12 para 18 dias”. Isso pode implicar que os invasores estão melhorando sua capacidade de se esconder mais rapidamente do que os defensores estão melhorando sua capacidade de detectar.
No entanto, na perspectiva de Scott Runnells (diretor técnico da Mandiant e especialista em resposta a incidentes), quanto menor o tempo de permanência, maior a probabilidade de encontrar artefatos do invasor que possam auxiliar na resposta. “À medida que o tempo de permanência aumenta”, disse ele à SecurityWeek , “começamos a ter lacunas nos dados que podemos analisar. Alguns dos dados mais críticos ficam fora dos registros. Quanto menor o tempo de permanência, mais podemos aprender sobre o invasor.”
No geral, a Mandiant detectou uma redução de 2% nos incidentes de ransomware. Isso compreendeu um aumento na APAC, mas uma diminuição maior nas Américas. Mandiant sugere que a diminuição pode ter sido causada por “um aumento nas ações de aplicação da lei tomadas contra atores motivados financeiramente, levando a prisões, remoção de servidores e apreensão de fundos extorquidos”. No entanto, não vê isso como necessariamente um declínio permanente na ameaça de ransomware, acrescentando: “Com baixos riscos e barreira à entrada e altas recompensas, vemos isso como uma ameaça contínua que representa um risco para todas as organizações”.
O principal vetor de infecção inicial em todas as investigações da Mandiant é uma exploração, com 37% (oito pontos a mais do que em 2020). Os comprometimentos da cadeia de suprimentos foram os segundos mais frequentes com 17% (acima de menos de 1% em 2020). Oitenta e seis por cento das violações da cadeia de suprimentos foram relacionadas à SolarWinds e SUNBURST.
Outros 14% das invasões envolveram um vetor de infecção inicial relacionado a um comprometimento anterior, incluindo transferências de um grupo para outro. Uma descoberta positiva, no entanto, é que houve muito menos intrusões relacionadas a phishing (de 23% em 2020 para apenas 11% em 2021). “Isso mostra a capacidade das organizações de detectar e bloquear melhor os e-mails de phishing, bem como o treinamento de segurança aprimorado dos funcionários para reconhecer e relatar tentativas de phishing”, diz Mandiant.
“Vinte e cinco por cento dos ambientes visados tinham mais de um grupo de ameaças distinto em residência”, disse Runnels à SecurityWeek . “Isso está quatro pontos abaixo do ano passado, mas ainda dentro de uma linha de tendência crescente. Isso pode ser uma mistura de grupos trabalhando em conjunto: o grupo A ganha acesso e depois vende esse acesso ao grupo B, que é algo que costumamos ver com o FIN12.”
Mas a Mandiant também vê alvos de alto valor sendo comprometidos por vários grupos. “Isso geralmente acontece quando novas vulnerabilidades são publicadas, e a pressa para corrigir é muitas vezes superada pela pressa criminosa para identificar e posteriormente comprometer”, continuou ele. “Vimos isso com Log4j e ProxyShell e espero que continuemos a ver isso enquanto essa cadência de patch/exploit entre defensores e atacantes continuar.” Ele observou que não é incomum que Mandiant seja trazido para investigar um minerador de moedas muito barulhento, cuja presença pode ser detectada pela equipe de segurança, apenas para encontrar outro ator mais furtivo também na residência.
O relatório observa que a Mandiant está monitorando 1.100 novos grupos de atividades este ano. Isso não deve ser confundido com 1.100 novos grupos de ameaças, embora a empresa esteja monitorando mais grupos de ameaças (e mais malware) do que no ano passado. Um cluster de atividade é apenas uma indicação de atividade maliciosa que ainda não pode ser associada a nenhum grupo conhecido. “À medida que esses clusters começam a se fortalecer e crescer”, disse Runnels, “não é incomum reconhecer sobreposições que podem indicar que podem ser o mesmo novo grupo ou um grupo existente”.
Até que a Mandiant tenha informações suficientes para dizer com 100% de certeza que este cluster são causados pelo mesmo ator, ele não faz suposições. “Nossa equipe de inteligência está muito hesitante em voltar atrás em uma atribuição, então muitas novas atividades são descritas apenas como um cluster. Mas pode ser um grupo existente que mudou os TTPs que usa.”
Ele usou a China como exemplo. “A China ficou quieta por alguns anos e depois ressurgiu com o que parece talvez uma reorganização ou simplesmente novas ferramentas e técnicas, mas algumas dessas ferramentas estão sugerindo que pode haver um novo intendente centralizado. Portanto, é difícil dizer que há mais grupos ou apenas mais novos agrupamentos de atividades, porque talvez o antigo ator tenha chegado a um ambiente diferente e tenha que usar técnicas novas ou diferentes.”
Os TTPs usados pelos invasores nos levam ao MITRE. “Começamos a vincular nossas descobertas de um ataque à estrutura MITRE”, disse Runnels. “Sempre que vejo um rascunho de inferência, vou àquela seção do MITRE que detalha as técnicas. As dez técnicas mais frequentes devem servir como uma lista de priorização de defensores e investigadores.” Ele não vê isso como suficiente para uma defesa e investigação abrangentes, mas como uma parte importante do processo.
“Os defensores devem garantir que tenham visibilidade dos artefatos que serão produzidos por essas técnicas. Por exemplo, relatamos que apenas 45% dos incidentes que a Mandiant investigou alavancaram intérpretes de comando e script , o mais comum é o PowerShell.”
Isso provavelmente não surpreenderá nenhum defensor ou investigador experiente, mas Runnels diz: “Isso deve levantar questões sobre seu ambiente e sua postura de segurança. Tenho visibilidade desses artefatos e por quanto tempo retenho esses artefatos? Um bom exemplo é se um script do PowerShell for executado em um ponto de extremidade, eu registro a execução dele e registro o conteúdo do script? Eu protejo o log de ser excluído por invasores? Temos uma solução de EDR que oferece suporte a isso? São dados muito importantes para equipes de segurança e suporte e investigadores.”
A estrutura do MITRE agora é reforçada pelos resultados das investigações de intrusão da Mandiant e todos eles são apresentados no Relatório M-Trends de 2022.
“Várias tendências dos anos anteriores continuaram em 2021”, conclui Sandra Joyce, EVP da Mandiant Intelligence. “A Mandiant encontrou mais grupos de ameaças do que em qualquer período anterior, incluindo grupos recém-descobertos. Em uma tendência paralela, nesse período começamos a rastrear mais novas famílias de malware do que nunca. No geral, isso se refere a um cenário de ameaças que continua crescendo em volume e diversidade de ameaças. Também continuamos a testemunhar que o ganho financeiro é a principal motivação para os invasores observados, como destacam os estudos de caso deste ano sobre FIN12 e FIN13. Se mudarmos para a perspectiva do defensor, veremos várias melhorias, apesar de um cenário de ameaças incrivelmente desafiador.”
Nota do editor: M-Trends é um dos poucos relatórios que a SecurityWeek considera leitura obrigatória, pois os dados são compilados de incidentes reais, não de pesquisas de fornecedores usando perguntas elaboradas para distorcer os resultados em favor da venda de algo. Em outras palavras, são dados do mundo real com detalhes descobertos durante o processo de investigação de incidentes em centenas de clientes, muitos de organizações de alto perfil.
Este artigo é uma tradução de: https://www.securityweek.com/attacker-dwell-times-down-no-consistent-correlation-breach-impact-mandiant (Autor: Kevin Townsend )
