No cerne da segurança da informação está a necessidade de defender os dados — inclusive contra perpetradores de ameaças que procuram monetizar dados roubados para ganhos geopolíticos ou financeiros. Vimos recentemente um aumento nas três maneiras pelas quais os criminosos cibernéticos beneficiam-se de vazamentos de dados. Eles estão sendo pagos para devolver dados roubados, destruir esses dados roubados e ainda revelar quais modificações foram feitas nos dados devolvidos.
Agora visualizemos a cadeia de ataque. Mas vamos começar pelo final dela, onde o malfeitor atinge seu objetivo de vazamento de dados. Os dados não ficam parados em uma organização, acessíveis para todos. Existem regras de acesso em relação aos dados e essas regras variam conforme a pessoa que está acessando. Por exemplo:
- Um site do Microsoft 365 SharePoint tem regras de acesso que determinam quem pode fazer download de arquivos confidenciais.
- As credenciais de login na máquina de um usuário determinam quem pode acessar os arquivos naquele dispositivo.
Independentemente de onde os dados residam, a chave para acessá-los é uma identidade. Os criminosos cibernéticos compreendem isso — que, ao possuir a identidade, eles podem chegar ao que a organização tem de mais valioso. Por isso eles mapeiam seu ataque, movimentando-se lateralmente de uma identidade para outra, ampliando seus privilégios com o objetivo de acessar aqueles arquivos.
Essa série de jogadas de xadrez pode incluir o uso de uma credencial de conta de administrador vulnerável por parte do atacante, a ampliação dos privilégios do administrador clandestino e a obtenção de acesso aos arquivos corporativos. Na fase pós-comprometimento, a movimentação lateral com comprometimento de identidade é uma atividade de rotina do perpetrador de ameaças.
O papel fundamental do e-mail em ajudar os atacantes a alcançar o xeque-mate
Uma retrospectiva de todos os movimentos do jogo de xadrez da cadeia de ataque levanta algumas questões, como: “Qual foi a jogada de abertura do atacante?” e “Como ele conseguiu entrar na organização, para começo de conversa?”
Bem, seguindo o tema da identidade, a forma mais comum de identidade voltada ao público é o endereço de e-mail. O seu nome completo no diretório, a sua credencial de login no seu computador, a sua identidade no Microsoft 365 — tudo isso está vinculado e exposto externamente como seu endereço de e-mail.
Infelizmente os atacantes sabem disso. E as razões são:
- O e-mail continua sendo o vetor de ameaças mais utilizado por elementos maliciosos.
- Os atacantes continuam utilizando e-mail para entregar malware.
- O comprometimento de e-mail corporativo (BEC) é um problema multibilionário no mundo todo.
- Ataques de phishing de credenciais são entregues por e-mail.
- O e-mail continua sendo o movimento de abertura para muitos perpetradores de ameaças.
Também por isso a Proofpoint começa a história com a proteção de pessoas. Quando os perpetradores de ameaça visam pessoas, eles visam seus endereços de e-mail, suas identidades e os dados aos quais essas identidades têm acesso.
Essa é a nossa exclusividade. Nenhum outro fornecedor do mercado pode alinhar os elementos de defesa em profundidade necessários para proteger você contra as jogadas de xadrez de um perpetrador de ameaças — do movimento de abertura ao cheque-mate.