Pare o phishing e elimine a infiltração e comunicação criptografadas
Quais os benefícios de um data center virtual?
23 de janeiro de 2021
Grupo Martins atinge cobertura completa nos centros de distribuição
24 de fevereiro de 2021
Por: Jay Kelley
Era uma vez, os ataques de phishing e spearphishing só surgiam em épocas específicas do ano, como feriados importantes como o Natal ou o Ano Novo Chinês, feriados prontos para o consumidor, como o Dia dos Namorados ou Festival das Lanternas na China, ou em eventos de compras para consumidores como a Black Friday ou Cyber segunda-feira nos Estados Unidos, Boxing Day (26 de Dezembro) no Reino Unido e da Commonwealth of Nations, ou escolhe o dia (11 de novembro) na Ásia.
Os invasores então descobriram que poderiam alavancar o FUD - medo, incerteza e dúvida - impulsionado por desastres naturais e provocados pelo homem, guerras, doenças, eleições ou qualquer evento que impulsione o ciclo de notícias de hoje para semear suas sementes maliciosas.
No Reino Unido, o Information Commissioner's Office (ICO) indicou que o phishing foi a principal causa de violações relacionadas à Internet de abril de 2019 a março de 2020. O Office of the Australian Information Commissioner (OAIC) mostrou que o phishing foi responsável por 36% de todos os casos relatado a eles, no topo de sua lista.
Para esse fim, os ataques de phishing e spearphishing aumentaram drasticamente ao longo de 2020, impulsionados pela ameaça de uma pandemia mundial, nações em quarentena ou bloqueio, trabalhadores que precisam trabalhar em casa e até mesmo eleições contenciosas nos EUA e em outras nações. Até mesmo o anúncio de vacinas para lidar com o COVID-19 estando pronto está sendo aproveitado para motivar até mesmo pessoas desconfiadas a abrir e-mails de fontes desconhecidas - ou mesmo de fontes conhecidas que podem ter suas contas violadas e sequestradas - para então espalhar malware e outros vetores de ataque malicioso e roubar informações corporativas e de usuários ou permitir o acesso ilícito a redes, nuvens, aplicativos e dados confidenciais.
Um dos motivos mais citados para a recente explosão de ataques de phishing foi o trabalho de encomendas domiciliares precipitado pela pandemia de COVID-19. Muitos funcionários, contratados e outros membros da equipe foram forçados a trabalhar em casa ou remotamente e isso atraiu rapidamente a atenção indesejada dos invasores. Eles entenderam que há uma grande probabilidade de que as pessoas que trabalham remotamente fiquem sob pressão cada vez maior, baixem a guarda e comecem a clicar em links de quase todos os e-mails, mesmo aqueles que normalmente podem levantar suspeitas. Eles também sabem que aqueles que trabalham em casa podem estar usando produtos BYOD que não terão as ferramentas normalmente usadas pelas organizações para protegê-los de ataques como phishing. Os invasores e hackers também acreditam que os trabalhadores domiciliares podem não ter largura de banda suficiente para manter o software de segurança em execução ou atualizado, e pode desligar ou perder atualizações de seu software de segurança. Muitas vezes, eles estão certos.
E não são apenas os sites malignos que utilizam a criptografia TLS para parecerem convincentes e legítimos. Também são destinos para os quais o malware, distribuído por ataques de phishing, envia dados que rouba das vítimas e suas organizações; esses destinos são chamados de zonas para soltar. De acordo com o Relatório de Phishing e Fraude 2020 da F5 Labs, todos - 100% - dos incidentes que envolveram zonas de lançamento investigados pelo Centro de Operações de Segurança F5 (SOC) durante 2020 usaram criptografia TLS.
Embora todas essas sejam ótimas soluções, ainda há o problema de lidar com o tráfego criptografado. Se o tráfego for criptografado, ele precisa ser descriptografado antes de ser verificado quanto a malware e outros códigos perigosos. Isso se aplica igualmente ao tráfego criptografado que chega à organização de usuários que clicam em links ruins e propensos a malware em e-mails de phishing, baixam anexos carregados de código malicioso e acessam sites malévolos que parecem reais e benignos porque têm o certificado de criptografia "certo", bem como tráfego criptografado saindo com dados roubados para uma zona de soltar criptografada ou entrando em contato com um servidor de comando e controle (C2) para obter mais instruções ou gatilhos para desencadear ainda mais ataques.
Além disso, isso nem mesmo leva em consideração os regulamentos de privacidade do governo, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia (UE), o Ato de Privacidade do Consumidor da Califórnia (CCPA) ou muitos outros regulamentos em debate em países ao redor do mundo , geralmente incluindo linguagem que impede a descriptografia de informações pessoais do usuário, como dados financeiros ou de saúde do usuário. Qualquer descriptografia de tráfego criptografado precisaria atender a esses mandatos de privacidade, ou poderia levar a litígios e multas substanciais para qualquer organização que viole esses regulamentos.
Hoje, para interromper as ameaças criptografadas suportadas por ataques de phishing, as organizações precisam inspecionar todo o tráfego SSL / TLS de entrada para garantir que qualquer tráfego da web malicioso ou possivelmente iniciado por phishing seja interrompido e eliminado. Mas essa inspeção deve incluir a capacidade de ignorar de forma inteligente a descriptografia do tráfego criptografado que contém informações confidenciais do usuário, como informações financeiras ou relacionadas à saúde. Além disso, as organizações de hoje precisam bloquear totalmente ou pelo menos monitorar as portas da web de saída não padrão para impedir que malware de comunicações criptografadas com C2 e servidores de zona de rejeição, para interromper a exfiltração de dados ou gatilhos de ataque. Há também outros itens importantes a serem considerados, como o tipo de criptografia compatível com os dispositivos na pilha de segurança. Por exemplo, se um invasor souber que determinado dispositivo de segurança é incapaz de suportar o sigilo de encaminhamento (também conhecido como sigilo de encaminhamento perfeito ou PFS), ele pode aproveitá-lo para que o tráfego criptografado seja simplesmente passado pelo dispositivo de segurança. Essa ação é especialmente cara e perigosa em ambientes onde os dispositivos de segurança na pilha são encadeados em série. Se o único dispositivo que não oferece suporte ao PFS contornar o tráfego, ele será contornado pelo resto da cadeia.
Sem essas proteções em vigor, além do treinamento de conscientização sobre segurança e soluções de segurança de email ou anti-phishing implementadas, as organizações estão se deixando vulneráveis a ataques e violações e ao roubo de dados corporativos e de usuários críticos.
Para obter informações sobre como o F5 SSL Orchestrator pode eliminar o ponto cego de segurança fornecido com o tráfego criptografado e como ele pode evitar a ofuscação de dados críticos que estão sendo exfiltrados e roubados, fale com nossos consultores.
fonte:
https://www.f5.com/company/blog/stop-phishing-and-cut-encrypted-exfiltration-and-communication
Era uma vez, os ataques de phishing e spearphishing só surgiam em épocas específicas do ano, como feriados importantes como o Natal ou o Ano Novo Chinês, feriados prontos para o consumidor, como o Dia dos Namorados ou Festival das Lanternas na China, ou em eventos de compras para consumidores como a Black Friday ou Cyber segunda-feira nos Estados Unidos, Boxing Day (26 de Dezembro) no Reino Unido e da Commonwealth of Nations, ou escolhe o dia (11 de novembro) na Ásia.
Os invasores então descobriram que poderiam alavancar o FUD - medo, incerteza e dúvida - impulsionado por desastres naturais e provocados pelo homem, guerras, doenças, eleições ou qualquer evento que impulsione o ciclo de notícias de hoje para semear suas sementes maliciosas.
No Reino Unido, o Information Commissioner's Office (ICO) indicou que o phishing foi a principal causa de violações relacionadas à Internet de abril de 2019 a março de 2020. O Office of the Australian Information Commissioner (OAIC) mostrou que o phishing foi responsável por 36% de todos os casos relatado a eles, no topo de sua lista.
Para esse fim, os ataques de phishing e spearphishing aumentaram drasticamente ao longo de 2020, impulsionados pela ameaça de uma pandemia mundial, nações em quarentena ou bloqueio, trabalhadores que precisam trabalhar em casa e até mesmo eleições contenciosas nos EUA e em outras nações. Até mesmo o anúncio de vacinas para lidar com o COVID-19 estando pronto está sendo aproveitado para motivar até mesmo pessoas desconfiadas a abrir e-mails de fontes desconhecidas - ou mesmo de fontes conhecidas que podem ter suas contas violadas e sequestradas - para então espalhar malware e outros vetores de ataque malicioso e roubar informações corporativas e de usuários ou permitir o acesso ilícito a redes, nuvens, aplicativos e dados confidenciais.
Um dos motivos mais citados para a recente explosão de ataques de phishing foi o trabalho de encomendas domiciliares precipitado pela pandemia de COVID-19. Muitos funcionários, contratados e outros membros da equipe foram forçados a trabalhar em casa ou remotamente e isso atraiu rapidamente a atenção indesejada dos invasores. Eles entenderam que há uma grande probabilidade de que as pessoas que trabalham remotamente fiquem sob pressão cada vez maior, baixem a guarda e comecem a clicar em links de quase todos os e-mails, mesmo aqueles que normalmente podem levantar suspeitas. Eles também sabem que aqueles que trabalham em casa podem estar usando produtos BYOD que não terão as ferramentas normalmente usadas pelas organizações para protegê-los de ataques como phishing. Os invasores e hackers também acreditam que os trabalhadores domiciliares podem não ter largura de banda suficiente para manter o software de segurança em execução ou atualizado, e pode desligar ou perder atualizações de seu software de segurança. Muitas vezes, eles estão certos.
Phishing e criptografia
Como os ataques de phishing aumentaram rapidamente, o número de sites de phishing que usam criptografia manteve o ritmo. De acordo com o recente Phishing and Fraud Report 2020 da F5 Labs , quase 72% dos links de phishing enviam as vítimas para sites criptografados com HTTPS. Isso significa que a grande maioria dos sites de phishing maliciosos agora parecem ser sites válidos e confiáveis, que podem enganar facilmente até o funcionário mais experiente. Esses dados foram corroborados por pesquisas de outros relatórios, também, incluindo um relatório de Venafi que revelou domínios suspeitos de varejo que usam certificados válidos para fazer sites de phishing parecerem válidos, levando ao roubo de contas confidenciais e dados de pagamento.E não são apenas os sites malignos que utilizam a criptografia TLS para parecerem convincentes e legítimos. Também são destinos para os quais o malware, distribuído por ataques de phishing, envia dados que rouba das vítimas e suas organizações; esses destinos são chamados de zonas para soltar. De acordo com o Relatório de Phishing e Fraude 2020 da F5 Labs, todos - 100% - dos incidentes que envolveram zonas de lançamento investigados pelo Centro de Operações de Segurança F5 (SOC) durante 2020 usaram criptografia TLS.
Encontrar ameaças no tráfego criptografado não é fácil
Existem várias soluções disponíveis hoje para lidar com o phishing de vários ângulos diferentes. Existem soluções para treinar a equipe a reconhecer e lidar com ataques de phishing para reduzir a absorção e a eficácia do ataque. Essas soluções abordam a segurança de e-mail, protegendo contra spam, malware e anexos maliciosos, ataques de BEC e muito mais. Existem serviços para gerenciar o e-mail de uma organização. Existem até ofertas que fazem proxy do tráfego da web de uma organização, o replicam ou imitam e entregam código a dispositivos locais para serem renderizados ou que imitam a página da web, mas sem nenhum código suspeito e possivelmente malicioso subjacente.Embora todas essas sejam ótimas soluções, ainda há o problema de lidar com o tráfego criptografado. Se o tráfego for criptografado, ele precisa ser descriptografado antes de ser verificado quanto a malware e outros códigos perigosos. Isso se aplica igualmente ao tráfego criptografado que chega à organização de usuários que clicam em links ruins e propensos a malware em e-mails de phishing, baixam anexos carregados de código malicioso e acessam sites malévolos que parecem reais e benignos porque têm o certificado de criptografia "certo", bem como tráfego criptografado saindo com dados roubados para uma zona de soltar criptografada ou entrando em contato com um servidor de comando e controle (C2) para obter mais instruções ou gatilhos para desencadear ainda mais ataques.
Além disso, isso nem mesmo leva em consideração os regulamentos de privacidade do governo, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia (UE), o Ato de Privacidade do Consumidor da Califórnia (CCPA) ou muitos outros regulamentos em debate em países ao redor do mundo , geralmente incluindo linguagem que impede a descriptografia de informações pessoais do usuário, como dados financeiros ou de saúde do usuário. Qualquer descriptografia de tráfego criptografado precisaria atender a esses mandatos de privacidade, ou poderia levar a litígios e multas substanciais para qualquer organização que viole esses regulamentos.
Mas espere, tem mais ...
Dito isso, há ainda mais nos ataques de phishing atuais que usam criptografia, da qual as organizações devem estar cientes. O Relatório de Phishing e Fraude 2020 da F5 Labs também descobriu que mais de 55% das zonas de depósito usam uma porta SSL / TLS não padrão, enquanto mais de 98% dos sites de phishing usavam portas padrão, como a porta 80 para tráfego HTTP de texto não criptografado e a porta 443 para tráfego criptografado. Isso significa que, principalmente para tráfego criptografado de saída, confiar na varredura de portas padrão não é suficiente. As soluções implantadas precisam fazer a varredura e descriptografar o tráfego de saída em portas não padrão. Isso é fundamental para interromper a ofuscação e a exfiltração de dados críticos.Hoje, para interromper as ameaças criptografadas suportadas por ataques de phishing, as organizações precisam inspecionar todo o tráfego SSL / TLS de entrada para garantir que qualquer tráfego da web malicioso ou possivelmente iniciado por phishing seja interrompido e eliminado. Mas essa inspeção deve incluir a capacidade de ignorar de forma inteligente a descriptografia do tráfego criptografado que contém informações confidenciais do usuário, como informações financeiras ou relacionadas à saúde. Além disso, as organizações de hoje precisam bloquear totalmente ou pelo menos monitorar as portas da web de saída não padrão para impedir que malware de comunicações criptografadas com C2 e servidores de zona de rejeição, para interromper a exfiltração de dados ou gatilhos de ataque. Há também outros itens importantes a serem considerados, como o tipo de criptografia compatível com os dispositivos na pilha de segurança. Por exemplo, se um invasor souber que determinado dispositivo de segurança é incapaz de suportar o sigilo de encaminhamento (também conhecido como sigilo de encaminhamento perfeito ou PFS), ele pode aproveitá-lo para que o tráfego criptografado seja simplesmente passado pelo dispositivo de segurança. Essa ação é especialmente cara e perigosa em ambientes onde os dispositivos de segurança na pilha são encadeados em série. Se o único dispositivo que não oferece suporte ao PFS contornar o tráfego, ele será contornado pelo resto da cadeia.
Sem essas proteções em vigor, além do treinamento de conscientização sobre segurança e soluções de segurança de email ou anti-phishing implementadas, as organizações estão se deixando vulneráveis a ataques e violações e ao roubo de dados corporativos e de usuários críticos.
Para obter informações sobre como o F5 SSL Orchestrator pode eliminar o ponto cego de segurança fornecido com o tráfego criptografado e como ele pode evitar a ofuscação de dados críticos que estão sendo exfiltrados e roubados, fale com nossos consultores.
fonte:
https://www.f5.com/company/blog/stop-phishing-and-cut-encrypted-exfiltration-and-communication
