Atualização de Ameaças: COVID-19
Resumo
A pandemia COVID-19 está mudando a vida cotidiana dos trabalhadores em todo o mundo. O Cisco Talos continua a ver os atacantes se aproveitarem da situação do coronavirus para atrair usuários desavisados para várias armadilhas, como campanhas de phishing, fraude e desinformação. Talos ainda não observou nenhuma nova técnica durante este evento. Em vez disso, vimos atores mal-intencionados mudarem o assunto de seus ataques para se concentrar em temas ao redor do COVID. Continuamos monitorando a situação e estamos compartilhando informações com a comunidade de segurança, clientes, autoridades e governos.
Proteger sua organização contra ameaças que alavancam os temas COVID depende da mesma forte base de infra-estrutura de segurança que sua organização já tem. No entanto, as organizações de segurança devem garantir que as proteções e os recursos existentes funcionem em um ambiente recém-remoto, que os usuários estejam cientes das ameaças e como identificá-las e que as organizações implementaram práticas recomendadas de segurança para o trabalho remoto.
O que Talos está fazendo sobre isso?
Observamos três grandes categorias de ataques aproveitando o COVID com participação conhecida da APT em cada uma dessas categorias:
Campanhas de Malware e Phishing usando iscas temáticas do COVID
- Ataques contra organizações que realizam pesquisas e trabalhos relacionados ao COVID
- Fraude e desinformação
Talos continua monitorando ataques aproveitando temas covid. Estamos detectando e bloqueando agressivamente domínios maliciosos, spam e ataques de phishing. Além disso, estamos compartilhando informações com clientes e parceiros através do nosso programa AEGIS, parceria de inteligência com a aplicação da lei e organizações governamentais e a Aliança de Ameaças Cibernéticas (CTA). Os clientes com um retentor Cisco Talos Incident Response (CTIR) também podem receber inteligência de ameaça acionável no que diz respeito às informações relacionadas ao COVID à medida que as descobrimos. Para clientes que desejam um engajamento mais direto, o retentor CTIR também pode ser usado para consulta diretamente com nossos analistas de inteligência para resolver preocupações sobre os ataques com tema de pandemia à medida que se aplicam ao seu ambiente. Também recomendamos que nossos clientes revisem seus planos de RI e playbooks associados para que estejam preparados para os piores cenários antes que aconteçam, e pratiquem esses planos e cartilhas através de exercícios de mesa.
O que os usuários devem fazer?
Trabalhar em casa apresenta seu próprio, às vezes um novo conjunto de preocupações de segurança. Os funcionários devem continuar a ter cuidado com os e-mails não solicitados que recebem que contêm anexos ou links incorporados relacionados à pandemia. Talos observou um declínio geral no volume de e-mails maliciosos desde o final de janeiro, provavelmente devido a uma combinação da queda do botnet Necurse das recentes férias de spam da Emotet. Dito isto, as campanhas de spam e phishing estão aumentando significativamente o uso de temas COVID. É provável que essa atividade continue até que o ciclo de notícias mude.
As mesmas precauções que os funcionários normalmente tomariam enquanto estavam no escritório deveriam ser tomadas enquanto trabalhavam em casa. Bloqueie a tela enquanto estiver longe do dispositivo. Use apenas pontos de acesso WiFi confiáveis e seguros. Pratique a higiene sensata dos dados e mantenha os dados corporativos sobre ativos protegidos pelas empresas. Além disso, evite usar seus dispositivos corporativos para uso pessoal.
O que as empresas devem fazer?
As empresas devem se preparar para a pandemia covid, focando-se na adaptação a um novo ambiente sem fronteiras. Isso inclui melhorar os controles de TI, visibilidade e resposta listados abaixo. As organizações podem aproveitar o NIST SP 800-46, que fornece uma estrutura para teletrabalho corporativo e acesso remoto. Além disso, as empresas devem garantir que os funcionários estejam cientes da segurança e possam identificar, evitar e relatar atividades maliciosas suspeitas associadas à pandemia. As organizações de segurança direcionadas e maduras devem rastrear atores de ameaças relevantes aproveitando a pandemia COVID.
Do ponto de vista da segurança corporativa, a Talos recomenda as seguintes áreas-chave de segurança corporativa:
ACESSO REMOTO
Não exponha o RDP (Remote Desktop Protocol, protocolo remoto de desktop) à internet. Use conexões VPN seguras com esquemas de autenticação multifatorial, como o Cisco Duo. As soluções NAC também podem ser aproveitadas para garantir que os sistemas que tentam se conectar remotamente ao ambiente corporativo atendam a um conjunto mínimo de padrões de segurança, como proteção anti-malware, níveis de patches, etc. antes de conceder-lhes acesso a recursos corporativos. Identificar e remediar continuamente as violações das políticas de acesso.
GESTÃO DE IDENTIDADE
Proteja aplicativos críticos e voltados para o público com autenticação multifatorial e suporte a políticas corporativas. Verifique se os recursos de término de conta remota e de acesso funcionam conforme pretendido em um ambiente remoto.
CONTROLE DE ENDPOINT
Como muitas pessoas podem estar trabalhando a partir de redes domésticas, a visibilidade do ponto final, a proteção e a mitigação usando uma solução como o Cisco AMP for Endpoints,agora é mais importante do que nunca. Considere se os recursos de remediação e reimagem funcionarão como pretendido em um ambiente remoto. Criptografe dispositivos sempre que possível e adicione essa verificação à sua solução NAC como um portão para conectividade. Outro método simples de proteger pontos finais é via DNS, como com a Umbrella,bloqueando a resolução de domínios maliciosos antes que o host tenha a chance de fazer uma conexão.
GESTÃO DE DADOS
Você sabe onde vivem dados críticos, quem tem acesso a eles e como esses dados se movem dentro (e agora potencialmente sem) seu ambiente? As organizações devem garantir que sua força de trabalho remota esteja habilitada a compartilhar dados de forma segura e dentro da política. Monitore dados críticos que se movem fora dos requisitos de políticas. Por último, certifique-se de que sua estratégia de backup considere como fazer backup de dados fora da premissa.
TREINAMENTO DE CONSCIENTIZAÇÃO
Educar os usuários sobre spam, phishing, fraude de SMS, engenharia social e processos de engajamento de segurança interna. Um programa abrangente de conscientização dos funcionários ajudará a garantir que os funcionários sejam informados sobre o uso adequado dos recursos corporativos, mesmo quando trabalham em locais remotos. Os clientes existentes da CTIR que precisam de assistência adicional podem aproveitar seus retentores para avaliações de prontidão.
PROCESSOS
Revisar planos de resposta para identificar quaisquer pontos de falha em pessoa única e planejar o que acontece se essa pessoa não estiver mais disponível. Além disso, identifique funções operacionais que atualmente requerem presença física (perícia e aquisição de dados, re-imagem de ponto final, etc.) e implemente solução de capacidade remota.
ENDGAME
Infelizmente, os atacantes provavelmente continuarão a alavancar a pandemia COVID para o futuro previsível. Este evento é um ponto de pressão glocal que os atacantes podem explorar para usuários-alvo através de uma variedade de vetores usando métodos de ataque existentes. Como defensores, devemos perceber que as mesmas defesas que tivemos semanas atrás ainda serão eficazes contra muitas dessas campanhas. No entanto, devemos reconhecer o aumento da superfície de ataque criada por este novo ambiente de trabalho remoto. A segurança efetiva não necessariamente seguirá a mudança no ambiente de trabalho, a menos que seja configurada com isso em mente. Concentre-se em ter uma defesa confiável e em camadas com um forte programa de conscientização de segurança para ajudar a proteger sua organização contra essas e futuras ameaças.
Para saber mais como a Cisco pode te apoiar neste momento, clique aqui.
Tags: