Pesquisa de site

O que é um ataque cibernético? Técnicas e alvos comuns de ataque

Um ataque cibernético é uma tentativa não autorizada de acessar um sistema de computador para dimensionar, modificar ou roubar dados.

Os cibercriminosos podem usar uma variedade de vetores de ataque para lançar um ataque cibernético, incluindo malware, phishing, ransomware e ataques man-in-the-middle. Cada um desses ataques é possível graças a riscos inerentes e riscos residuais.

Um cibercriminoso pode roubar, alterar ou destruir um alvo específico invadindo um sistema suscetível. As ameaças cibernéticas podem variar em sofisticação, desde a instalação de software malicioso, como malware ou um ataque de ransomware (como o WannaCry), em uma pequena empresa, até a tentativa de derrubar a infraestrutura crítica, como um governo local ou agência governamental, como o FBI ou o Departamento de Segurança Interna. Um subproduto comum de um ataque cibernético é uma violação de dados, em que dados pessoais ou outras informações confidenciais são expostos.

À medida que mais organizações colocam seus dados mais importantes online, há uma necessidade crescente de profissionais de segurança da informação que entendam como usar o gerenciamento de riscos da informação para reduzir seus riscos de segurança cibernética. Isso, combinado com o uso crescente e o foco regulatório na terceirização, significa que as estruturas de gerenciamento de risco de fornecedores e gerenciamento de risco de terceiros são mais importantes do que nunca.

Por que os ataques cibernéticos acontecem?

As motivações por trás dos ataques cibernéticos variam. A categoria mais comum de ataques cibernéticos são os ataques de estado-nação Esse tipo de ataque é lançado por cibercriminosos que representam uma nação (geralmente a Rússia). Os invasores de estado-nação geralmente visam infraestruturas críticas porque têm o maior impacto negativo em uma nação quando comprometidas.

Um exemplo de tal incidente é o ataque ao Colonial Pipeline. O grupo cibercriminoso russo DarkSide infectou os sistemas de TI da Colonial Pipelines com ransomware, interrompendo todas as suas operações. Para retomar seu suprimento crítico de gasolina para o estado, a Colonial Pipeline pagou o resgate da Darkside em troca de uma chave de descriptografia para restabelecer seus sistemas criptografados.

Devido à crescente ameaça de ataques de estados-nação, a implementação de controles de segurança cibernética e segurança de rede em toda a organização é agora mais importante do que nunca.

Ameaças cibernéticas internas x externas

Os ataques cibernéticos podem vir de dentro ou de fora da sua organização:

  • Ataque cibernético interno: iniciado de dentro do perímetro de segurança de uma organização, como uma pessoa que autorizou o acesso a dados confidenciais que roubam dados
  • Ataque cibernético externo: iniciado de fora do perímetro de segurança, como um ataque de negação de serviço distribuído (ataque DDoS) alimentado por um botnet.

O que os ataques cibernéticos visam?

Os ataques cibernéticos têm como alvo um recurso (físico ou lógico) que possui uma ou mais vulnerabilidades que podem ser exploradas. Como resultado do ataque, a confidencialidade, integridade ou disponibilidade do recurso pode ser comprometida.

Em alguns ataques cibernéticos, o dano, a exposição de dados ou o controle de recursos podem se estender além daquele inicialmente identificado como vulnerável, incluindo a obtenção de acesso à rede Wi-Fi de uma organização, mídia social, sistemas operacionais ou informações confidenciais, como números de cartão de crédito ou contas bancárias.

Um dos exemplos mais famosos de um ataque cibernético implantado para vigilância foi o ataque à cadeia de suprimentos da Solarwinds. Os criminosos cibernéticos russos obtiveram acesso a várias entidades do governo dos EUA pegando carona em malware de uma atualização para o produto Solarwinds Orion. Como esse produto estava sendo usado pelo governo dos EUA, os cibercriminosos conseguiram obter acesso às suas redes e interceptar correspondências internas privadas.

Esses ataques cibernéticos altamente complexos são capazes de contornar firewalls e VPNs porque se escondem atrás de processos legítimos de computador. Isso também torna muito difícil para a aplicação da lei rastrear os cibercriminosos responsáveis.

Confidencialidade, integridade e disponibilidade são conhecidas como tríade da CIA e são a base da segurança da informação.

Ataques cibernéticos passivos vs. ativos

Os ataques cibernéticos podem ser passivos ou ativos.

Os ataques cibernéticos passivos incluem tentativas de obter acesso ou fazer uso de informações de um sistema de destino sem afetar os recursos do sistema - por exemplo, typosquatting.

Os ataques cibernéticos ativos incluem tentativas intencionais de alterar um sistema ou afetar a operação - por exemplo, violações de dados e ataques de ransomware.

Tipo mais comum de ataques cibernéticos

Exemplos de ataques cibernéticos ativos incluem:

  • Ataques de força bruta: um método popular de cracking que envolve adivinhar nomes de usuário e senhas para obter acesso não autorizado a um sistema ou dados confidenciais.
  • Cross-site scripting (XSS): um tipo de vulnerabilidade de segurança normalmente encontrada em aplicativos Web. O XSS permite que os invasores injetem scripts do lado do cliente em páginas da Web visualizadas por outros usuários e podem ser usados para ignorar o controle de acesso, como a política de mesma origem.
  • Ataques de negação de serviço (DoS): ocorrem quando usuários legítimos não conseguem acessar sistemas de informação, dispositivos ou outros recursos de rede devido às ações de um agente mal-intencionado de ameaças cibernéticas.
  • Exploração: Um software, dados ou sequência de comandos que aproveita a vulnerabilidade para causar comportamento não intencional ou para obter acesso não autorizado a dados confidenciais.
  • Falsificação de e-mail: a criação de e-mails com um endereço de remetente falsificado. Como os principais protocolos de e-mail não têm autenticação, ataques de phishing e e-mails de spam podem falsificar o cabeçalho do e-mail para enganar o destinatário sobre o remetente do e-mail.
  • Phishing: coleta informações confidenciais, como credenciais de login, números de cartão de crédito, números de contas bancárias ou outras informações financeiras, disfarçando-se de site legítimo.
  • Man-in-the-middle: Um invasor retransmite e possivelmente altera a comunicação entre duas partes que acreditam estar se comunicando diretamente. Isso permite que o invasor retransmita a comunicação, ouça e até modifique o que cada parte está dizendo.
  • Man-in-the-browser: um proxy para um cavalo de Tróia que infecta um navegador da Web aproveitando as vulnerabilidades do navegador para modificar páginas da Web e conteúdo de transações ou inserir novo conteúdo de forma secreta.
  • Inundação de ping: Um simples ataque de negação de serviço em que o invasor sobrecarrega a vítima com pacotes de "solicitação de eco" (ping) ICMP.
  • Ping da morte: Um ataque a um sistema de computador que envolve o envio de um ping malformado ou mal-intencionado para um computador
  • Ataque Smurf: Um ataque distribuído de negação de serviço em que um grande número de pacotes ICMP (Internet Control Message Protocol) com o IP de origem falsificado da vítima pretendida é transmitido para uma rede de computadores usando um endereço de transmissão IP.
  • Estouros de buffer: os invasores exploram problemas de estouro de buffer substituindo a memória de um aplicativo. Isso altera o caminho de execução do programa, acionando uma resposta que danifica arquivos ou expõe informações privadas
  • Estouros de heap: uma forma de estouro de buffer que ocorre quando um pedaço de memória é alocado para o heap e os dados são gravados nessa memória sem que nenhuma verificação vinculada seja feita nos dados.
  • Estouros de pilha: um tipo de estouro de buffer que faz com que um programa grave mais dados em um buffer localizado na pilha do que o alocado para o buffer, resultando em corrupção de dados adjacentes na pilha que faz com que o programa falhe ou opere incorretamente.
  • Ataques de cadeia de caracteres de formato: ocorre quando os dados enviados de uma cadeia de caracteres de entrada são avaliados como um comando pelo aplicativo. Dessa forma, o invasor poderia executar código, ler a pilha ou causar uma falha de segmentação no aplicativo em execução, causando novos comportamentos que poderiam comprometer a segurança ou a estabilidade do sistema.
  • Ataques de acesso direto: um ataque em que um hacker consegue obter acesso a um computador e baixar dados diretamente dele.
  • Engenharia social: a engenharia social é um vetor de ataque que explora a psicologia humana e a suscetibilidade para manipular as vítimas para que divulguem informações confidenciais e dados confidenciais ou executem uma ação que viole os padrões de segurança usuais.
  • Spyware: software indesejado, um tipo de software malicioso ou malware, projetado para expor informações confidenciais, roubar dados de uso da Internet, obter acesso ou danificar seu dispositivo de computação.
  • Adulteração: Modificação de um produto ou serviço com a intenção de causar danos ao usuário final.
  • Escalonamento de privilégios: A exploração de um erro de programação, vulnerabilidade, falha de design, supervisão de configuração ou controle de acesso em um sistema operacional ou aplicativo para obter acesso não autorizado a recursos que geralmente são restritos ao aplicativo ou usuário.
  • Vírus: Um programa de computador que, quando executado, se replica modificando outros programas de computador e inserindo seu próprio código.
  • Ataque de balanço: um tipo de ataque de phishing que visa executivos de alto nível, como o CEO ou CFO, para roubar informações confidenciais de uma empresa. Isso pode incluir informações financeiras ou informações pessoais dos funcionários.
  • Worms: Um tipo de software malicioso que se auto-replica, infectando outros computadores enquanto permanece ativo em sistemas infectados.
  • Ransomware: Um tipo de software malicioso, ou malware, projetado para negar o acesso a um sistema de computador ou dados até que o resgate seja pago. O ransomware se espalha por meio de e-mails de phishing, malvertising, visita a sites infectados ou exploração de vulnerabilidades.
  • Cavalos de Tróia: Qualquer malware que engane os usuários sobre sua verdadeira intenção.
  • Código malicioso: Qualquer programa ou arquivo que seja prejudicial a um usuário de computador. Os tipos de malware incluem vírus de computador, worms, cavalos de Tróia, spyware, adware e ransomware.
  • Injeção de SQL: Uma técnica de injeção de código, usada para atacar aplicativos orientados a dados, na qual instruções SQL maliciosas são inseridas em um campo de entrada para execução (por exemplo, para despejar o conteúdo do banco de dados para o invasor).
  • Exploração de dia zero: uma vulnerabilidade de segurança não corrigida que é desconhecida para o desenvolvedor de software, hardware ou firmware e a exploração que os invasores usam para tirar proveito da falha de segurança.

Saiba como escolher o melhor produto de gerenciamento de superfície de ataque para o setor de tecnologia >

Exemplos comuns de ameaças cibernéticas passivas:

  • Vigilância por computador: O monitoramento da atividade do computador e dos dados armazenados em um disco rígido.
  • Vigilância de rede: O monitoramento da atividade e dos dados transferidos por redes de computadores.
  • Escuta telefônica: O monitoramento de conversas telefônicas e baseadas na Internet por terceiros, geralmente por meios secretos.
  • Derivação de fibra: usa um método de derivação de rede que extrai o sinal de uma fibra óptica sem interromper a conexão.
  • Varredura de portas: Uma técnica usada para identificar portas abertas e serviços disponíveis em um host de rede.
  • Varredura ociosa: Um método de varredura de porta TCP que consiste em enviar pacotes falsificados para um computador para descobrir quais serviços estão disponíveis
  • Registro de pressionamento de tecla (keylogging): A ação de gravar as teclas pressionadas em um teclado para que a vítima não saiba que suas ações estão sendo monitoradas.
  • Raspagem de dados: Uma técnica na qual um programa de computador extrai dados de uma saída legível por humanos provenientes de outro programa
  • Backdoor: Um método secreto de contornar a autenticação ou criptografia normal em um computador, produto, dispositivo incorporado ou sua modalidade.
  • Typosquatting: Typosquatting é uma forma de cybersquatting em que alguém se senta em nomes de domínio semelhantes aos de outra marca ou direitos autorais, visando usuários da Internet que digitam incorretamente um endereço de site em seu navegador da web, em vez de usar um mecanismo de pesquisa.
  • Espionagem: O ato de ouvir secreta ou furtivamente a conversa privada ou comunicações de outras pessoas sem o seu consentimento
  • Vulnerabilidades: uma fraqueza que pode ser explorada por um ataque cibernético para obter acesso não autorizado ou executar ações não autorizadas em um sistema de computador.

Alvos comuns de ataques cibernéticos de infraestrutura

Existem seis alvos comuns de ataques cibernéticos de infraestrutura:

  1. Sistemas de controle: Sistemas de controle que ativam e monitoram controles industriais ou mecânicos, como controle de válvulas e comportas na infraestrutura física.
  2. Energia: os cibercriminosos podem ter como alvo redes elétricas ou linhas de gás natural que abastecem cidades, regiões ou residências.
  3. Finanças: A infraestrutura financeira é frequentemente alvo de crimes cibernéticos devido à crescente interconectividade de sistemas de computador e sistemas financeiros.
  4. Telecomunicações: os ataques de negação de serviço (DoS) geralmente visam telecomunicações que passam pela Internet, reduzindo a capacidade de comunicação.
  5. Transporte: ataques cibernéticos bem-sucedidos à infraestrutura de transporte têm um efeito semelhante aos ataques de telecomunicações, afetando a programação e a acessibilidade do transporte.
  6. Água: A infraestrutura hídrica é frequentemente controlada por computadores, tornando-se um grande alvo para os cibercriminosos e um dos mais perigosos se comprometida. Os sistemas de esgoto também podem ser comprometidos.

O que é uma ameaça cibernética?

Uma ameaça cibernética é um potencial de violação da segurança cibernética que existe quando há uma circunstância, capacidade, ação ou evento que pode causar uma violação de dados ou qualquer outro tipo de acesso não autorizado.

Qualquer vulnerabilidade que possa ser explorada é uma ameaça cibernética. As ameaças cibernéticas podem vir de maneiras intencionais e acidentais:

  • Ameaça cibernética intencional: um exemplo é um cibercriminoso instalando o ataque de ransomware WannaCry, que teve como alvo computadores que executam o sistema operacional Microsoft Windows, criptografando dados e exigindo pagamentos de resgate na criptomoeda Bitcoin.
  • Ameaças cibernéticas acidentais: segurança do bucket do S3 mal configurada, levando a uma violação de big data. Verifique a segurança do Amazon S3 ou outra pessoa o fará.

É por isso que entender a diferença entre segurança cibernética e segurança da informação, bem como realizar uma avaliação de risco de segurança cibernética, é mais importante do que nunca. Sua organização precisa ter um conjunto de políticas e procedimentos para gerenciar a segurança das informações de acordo com os princípios de gerenciamento de riscos e ter contramedidas para proteger as preocupações financeiras, legais, regulatórias e de reputação.

Se um ataque cibernético levar a um incidente de segurança, sua organização deve ter etapas para detectá-lo, classificá-lo, gerenciá-lo e comunicá-lo aos clientes, quando aplicável. O primeiro passo lógico é desenvolver um plano de resposta a incidentes e, eventualmente, uma equipe de segurança cibernética.

Como detectar ataques cibernéticos

As ameaças cibernéticas surgem de riscos residuais ou inerentes. Para detectar ataques cibernéticos, várias contramedidas podem ser configuradas nos níveis organizacional, processual e técnico.

Exemplos de contramedidas organizacionais, processuais e técnicas são os seguintes:

  • Contramedida organizacional: fornecer treinamento em segurança cibernética para todos os níveis de sua organização.
  • Contramedida processual: envio de questionários de avaliação de fornecedores a todos os fornecedores terceirizados.
  • Contramedida técnica: instalar antivírus, antimalware, software antispyware e sistemas de detecção de intrusão de rede (NIDS) em todos os computadores e monitorar continuamente seus fornecedores e sua organização em busca de vazamentos de dados.

Como os ataques cibernéticos afetam seus negócios

>

Ataques cibernéticos bem-sucedidos podem levar à perda de dados confidenciais do cliente, incluindo informações pessoais e números de cartão de crédito. Isso dá aos cibercriminosos a capacidade de vender seus dados pessoais na dark web, exigir resgate ou assediar seus clientes.

Sem mencionar o enorme impacto regulatório, financeiro, legal e, o mais importante, reputacional das violações. Os hackers também podem usar informações pessoais para falsificação de identidade ou roubo de identidade.

Por exemplo, eles podem usar o nome do seu cliente para comprar produtos ilegais ou obter acesso a mais informações pessoais, como números de cartão de crédito.

Os ataques cibernéticos também podem interromper suas principais atividades de negócios Os ataques DDoS têm o poder de desligar completamente seu site. Mesmo se você for uma grande empresa, não está necessariamente protegido. Em 2016, ataques DDoS derrubaram o PayPal e o Twitter.

Pesquisadores da Universidade de Kent identificaram pelo menos 57 impactos negativos de ataques cibernéticos, desde ameaças à vida, causando depressão, multas regulatórias e interrompendo as atividades diárias. No geral, os pesquisadores agrupam os impactos negativos em cinco áreas principais:

  1. Físico/Digital
  2. Económico
  3. Psicológico
  4. Reputacional
  5. Social/Social

O artigo intitulado Uma taxonomia de danos cibernéticos: definindo os impactos dos ataques cibernéticos e entendendo como eles se propagam pode ser encontrado no Journal of Cybersecurity (Oxford University Press).

Como proteger sua empresa contra ataques cibernéticos

Proteger sua empresa contra ataques cibernéticos pode assumir diferentes formas. Desde a criação de senhas fortes até o uso de software sofisticado de segurança cibernética, é importante ter um plano de prevenção em vigor. Aprender os TTPs (Táticas, Técnicas e Procedimentos) de agentes de ameaças anteriores também pode ajudar a antecipar futuros ataques cibernéticos.

Aqui estão quatro bons lugares para começar a proteger sua empresa contra ataques cibernéticos:

  1. Aplique práticas de segurança fortes: certifique-se de que todos os níveis da sua organização usem senhas fortes e gerenciadores de senhas para reduzir a ameaça de uma senha vazada ou quebrada, resultando em acesso não autorizado. Além disso, eduque seus funcionários sobre golpes de phishing e não baixe anexos de e-mail de remetentes desconhecidos. Leia nossa lista de verificação de segurança de senha para obter mais informações.
  2. Faça backup e certifique-se de que haja uma trilha de auditoria para informações comerciais importantes: Com um backup seguro e uma trilha de auditoria para todas as principais informações comerciais, você não saberá se houve uma violação de dados ou acesso não autorizado ou alterações em seus dados
  3. Criptografe todos os dados comerciais e informações do cliente: Certifique-se de que todos os dados comerciais e de clientes sejam fortemente criptografados, portanto, se forem expostos, há menos chance de os cibercriminosos acessarem informações de clientes ou segredos comerciais como parte da espionagem corporativa.
  4. Use software sofisticado de segurança cibernética: o software antivírus e antimalware é importante, mas geralmente não é suficiente. Sua organização precisa monitorar continuamente as exposições de dados e enviar questionários automatizados de segurança do fornecedor.

Quais Estados-nação participam de ataques cibernéticos?

Muitos atores de estados-nação estão cometendo ataques cibernéticos uns contra os outros, incluindo Estados Unidos, Reino Unido, Ucrânia, Coreia do Norte e Rússia. Dito isso, a China e os EUA têm as duas capacidades de guerra cibernética mais sofisticadas. Fora dos estados-nação, também existem entidades não estatais que realizam terrorismo cibernético para desligar infraestruturas nacionais críticas, como energia, transporte e operações governamentais, ou para coagir e intimidar o governo ou a população civil.

Por exemplo, em fevereiro de 2020, a infraestrutura de telecomunicações iraniana sofreu um ataque distribuído de negação de serviço (DDoS) que levou a conectividade nacional a cair para 75% do uso normal.

Isso é parte da razão pela qual a China e os Estados Unidos investiram pesadamente em programas de guerra cibernética.

Programa de guerra cibernética da China

O Exército de Libertação Popular (PLA) tem uma estratégia de guerra cibernética chamada "Guerra Eletrônica de Rede Integrada" que orienta as operações de rede de computadores e ferramentas de guerra cibernética. A estratégia vincula ferramentas de guerra em rede e armas de guerra eletrônica contra os sistemas de informação de um oponente durante o conflito.

O PLA acredita que assumir o controle do fluxo de informações de um oponente e estabelecer o domínio das informações é fundamental para o sucesso da guerra. Concentrando-se em atacar a infraestrutura para interromper a transmissão e o processamento de informações, o PLA domina o ciberespaço sobre seus inimigos. O PLA pode usar bloqueadores eletrônicos, técnicas eletrônicas de engano e supressão para obter interrupção.

Eles também podem usar técnicas mais tradicionais, como vírus ou técnicas de hacking, para sabotar os processos de informação. O principal ponto focal é enfraquecer as habilidades cibernéticas do inimigo para maximizar a ofensiva física.

Além disso, suspeita-se que o governo chinês colete dados de empresas estrangeiras em setores identificados como prioridades estratégicas pelo governo chinês, incluindo telecomunicações, saúde, fabricação de semicondutores e aprendizado de máquina.

O Programa de Guerra Cibernética dos Estados Unidos

Os Estados Unidos se concentram em planos de segurança em resposta à guerra cibernética, agindo na defesa em vez de atacar. A responsabilidade pela segurança cibernética é dividida entre o Departamento de Segurança Interna (Homeland Security), o Federal Bureau of Investigation (FBI) e o Departamento de Defesa (DOD).

Recentemente, o Comando Cibernético foi formado como um departamento dedicado a lidar com ameaças cibernéticas para garantir que o presidente possa navegar e controlar os sistemas de informação pela Internet. O Comando Cibernético é um subcomando militar do Comando Estratégico dos EUA e é responsável por proteger a infraestrutura cibernética militar. O Comando Cibernético é composto pelo Comando Cibernético das Forças do Exército, Vigésima Quarta Força Aérea, Comando Cibernético da Frota e Comando Cibernético das Forças Marítimas.

Atores estatais e não estatais têm como alvo os Estados Unidos em guerra cibernética, espionagem cibernética e outros ataques cibernéticos, portanto, o Comando Cibernético foi projetado para dissuadir possíveis ataques adversários conduzindo operações cibernéticas próprias.

O UpGuard ajuda centenas de grandes empresas e corporações a proteger seus dados e evitar violações de dados. O UpGuard BreachSight ajuda as organizações a reduzir seus riscos cibernéticos, garantir a conformidade com os regulamentos e gerenciar a segurança de fornecedores terceirizados.

Também podemos ajudá-lo a monitorar, classificar e enviar continuamente questionários de segurança aos seus fornecedores para controlar o risco de terceiros e melhorar sua postura de segurança, bem como criar automaticamente um inventário, aplicar políticas e detectar alterações inesperadas em sua infraestrutura de TI.

Artigos relacionados